Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Os blocos de notas do Jupyter combinam a programação completa com uma enorme coleção de bibliotecas para machine learning, visualização e análise de dados. Estes atributos fazem do Jupyter uma ferramenta apelativa para investigação e investigação de segurança.
A base do Microsoft Sentinel é o arquivo de dados; combina consultas de alto desempenho, esquema dinâmico e dimensionamentos em grandes volumes de dados. O portal do Azure e todas as ferramentas Microsoft Sentinel utilizam uma API comum para aceder a este arquivo de dados. A mesma API também está disponível para ferramentas externas, como blocos de notas do Jupyter e Python.
Importante
Após 31 de março de 2027, Microsoft Sentinel deixarão de ser suportados no portal do Azure e só estarão disponíveis no portal do Microsoft Defender. Todos os clientes que utilizem Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e utilizarão apenas Microsoft Sentinel no portal do Defender.
Se ainda estiver a utilizar Microsoft Sentinel no portal do Azure, recomendamos que comece a planear a transição para o portal do Defender para garantir uma transição suave e tirar o máximo partido da experiência de operações de segurança unificada oferecida pelo Microsoft Defender.
Quando utilizar blocos de notas do Jupyter
Embora muitas tarefas comuns possam ser realizadas no portal, o Jupyter expande o âmbito do que pode fazer com estes dados.
Por exemplo, utilize blocos de notas para:
- Efetuar análises que não são fornecidas de forma inicial no Microsoft Sentinel, como algumas funcionalidades de machine learning do Python
- Crie visualizações de dados que não são fornecidas no Microsoft Sentinel, como linhas cronológicas personalizadas e árvores de processamento
- Integrar origens de dados fora do Microsoft Sentinel, como um conjunto de dados no local.
Integrámos a experiência do Jupyter no portal do Azure, facilitando a criação e execução de blocos de notas para analisar os seus dados. A biblioteca Kqlmagic fornece a cola que lhe permite tirar Linguagem de Consulta Kusto consultas (KQL) de Microsoft Sentinel e executá-las diretamente dentro de um bloco de notas.
Vários blocos de notas, desenvolvidos por alguns analistas de segurança da Microsoft, são empacotados com Microsoft Sentinel:
- Alguns destes blocos de notas são criados para um cenário específico e podem ser utilizados tal como estão.
- Outras destinam-se a ilustrar técnicas e funcionalidades que pode copiar ou adaptar para utilização nos seus próprios blocos de notas.
Importe outros blocos de notas do Microsoft Sentinel repositório do GitHub.
Como funcionam os blocos de notas do Jupyter
Os blocos de notas têm dois componentes:
- A interface baseada no browser, onde introduz e executa consultas e código, e onde os resultados da execução são apresentados.
- Um kernel responsável pela análise e execução do próprio código.
O kernel do Microsoft Sentinel bloco de notas é executado numa máquina virtual (VM) Azure. A instância da VM pode suportar a execução de vários blocos de notas ao mesmo tempo. Se os seus blocos de notas incluírem modelos de machine learning complexos, existem várias opções de licenciamento para utilizar máquinas virtuais mais poderosas.
Compreender os pacotes Python
Os blocos de notas Microsoft Sentinel utilizam muitas bibliotecas Python populares, como pandas, matplotlib, bokeh, entre outras. Existem muitos outros pacotes Python à sua escolha, abrangendo áreas como:
- Visualizações e gráficos
- Processamento e análise de dados
- Estatísticas e computação numérica
- Aprendizagem automática e aprendizagem profunda
Para evitar ter de escrever ou colar código complexo e repetitivo em células de blocos de notas, a maioria dos blocos de notas python depende de bibliotecas de terceiros chamadas pacotes. Para utilizar um pacote num bloco de notas, tem de instalar e importar o pacote. Azure Machine Learning Compute tem os pacotes mais comuns pré-instalados. Certifique-se de que importa o pacote ou a parte relevante do pacote, como um módulo, ficheiro, função ou classe.
Microsoft Sentinel blocos de notas utilizam um pacote Python denominado MSTICPy, que é uma coleção de ferramentas de cibersegurança para obtenção, análise, melhoramento e visualização de dados.
As ferramentas MSTICPy foram concebidas especificamente para ajudar na criação de blocos de notas para investigação e investigação e estamos a trabalhar ativamente em novas funcionalidades e melhorias. Para saber mais, confira:
- Documentação das Ferramentas de Segurança do MsTIC Jupyter e Python
- Introdução aos blocos de notas do Jupyter e ao MSTICPy no Microsoft Sentinel
- Configurações avançadas para blocos de notas do Jupyter e MSTICPy no Microsoft Sentinel
Localizar blocos de notas
No Microsoft Sentinel, selecione Blocos de Notas para ver os blocos de notas que Microsoft Sentinel fornece. Saiba mais sobre como utilizar blocos de notas na investigação e investigação de ameaças ao explorar modelos de blocos de notas como a Análise de Credenciais no Azure Log Analytics e Investigação Orientada – Alertas de Processos.
Para obter mais blocos de notas criados pela Microsoft ou com contribuições da comunidade, aceda a Microsoft Sentinel repositório do GitHub. Utilize blocos de notas partilhados no Microsoft Sentinel repositório do GitHub como ferramentas úteis, ilustrações e exemplos de código que pode utilizar ao desenvolver os seus próprios blocos de notas.
O
Sample-Notebooksdiretório inclui blocos de notas de exemplo que são guardados com dados que pode utilizar para mostrar a saída pretendida.O
HowTosdiretório inclui blocos de notas que descrevem conceitos como definir a sua versão predefinida do Python, criar Microsoft Sentinel marcadores a partir de um bloco de notas e muito mais.
Gerir o acesso a Microsoft Sentinel blocos de notas
Para utilizar blocos de notas do Jupyter no Microsoft Sentinel, primeiro tem de ter as permissões certas, consoante a sua função de utilizador.
Embora possa executar Microsoft Sentinel blocos de notas no JupyterLab ou no Jupyter clássico, no Microsoft Sentinel, os blocos de notas são executados numa plataforma Azure Machine Learning. Para executar blocos de notas no Microsoft Sentinel, tem de ter acesso adequado Microsoft Sentinel área de trabalho e a uma área de trabalho Azure Machine Learning.
| Permissão | Descrição |
|---|---|
| permissões de Microsoft Sentinel | Tal como outros recursos de Microsoft Sentinel, para aceder a blocos de notas no painel Blocos de Notas Microsoft Sentinel, uma função leitor de Microsoft Sentinel, Microsoft Sentinel Responder ou Contribuidor Microsoft Sentinel é necessário. Para obter mais informações, veja Permissões no Microsoft Sentinel. |
| permissões do Azure Machine Learning | Uma área de trabalho do Azure Machine Learning é um recurso Azure. Tal como outros recursos Azure, quando é criada uma nova área de trabalho Azure Machine Learning, esta vem com funções predefinidas. Pode adicionar utilizadores à área de trabalho e atribuí-los a uma destas funções incorporadas. Para obter mais informações, veja Azure funções predefinidas do Machine Learning e Azure funções incorporadas. Importante: o acesso a funções pode ser limitado a vários níveis no Azure. Por exemplo, alguém com acesso de proprietário a uma área de trabalho pode não ter acesso de proprietário ao grupo de recursos que contém a área de trabalho. Para obter mais informações, veja Como funciona Azure RBAC. Se for proprietário de uma área de trabalho Azure ML, pode adicionar e remover funções para a área de trabalho e atribuir funções aos utilizadores. Para saber mais, confira: - portal do Azure - PowerShell - CLI do Azure - REST API - modelos de Azure Resource Manager - CLI do Azure Machine Learning Se as funções incorporadas forem insuficientes, também pode criar funções personalizadas. As funções personalizadas podem ter permissões de recursos de leitura, escrita, eliminação e computação nessa área de trabalho. Pode disponibilizar a função a um nível específico da área de trabalho, a um nível de grupo de recursos específico ou a um nível de subscrição específico. Para obter mais informações, veja Criar função personalizada. |
Submeter comentários para um bloco de notas
Submeta comentários, pedidos de funcionalidades, relatórios de erros ou melhorias a blocos de notas existentes. Aceda ao Microsoft Sentinel repositório do GitHub para criar um problema ou bifurque e carregue uma contribuição.
Conteúdo relacionado
- Investigar ameaças de segurança com blocos de notas do Jupyter
- Introdução aos blocos de notas do Jupyter e ao MSTICPy no Microsoft Sentinel
- Buscar proativamente por ameaças
- Controlar os dados durante a investigação com Microsoft Sentinel
Para blogues, vídeos e outros recursos, consulte:
- Criar o seu primeiro bloco de notas Microsoft Sentinel (série de blogues)
- Tutorial: Microsoft Sentinel blocos de notas – Introdução (Vídeo)
- Tutorial: Editar e executar blocos de notas do Jupyter sem sair Estúdio do Azure Machine Learning (Vídeo)
- Detetar Fugas de Credenciais com Blocos de Notas Azure Sentinel (Vídeo)
- Seminário Web: Microsoft Sentinel noções básicas dos blocos de notas (Vídeo)
- Jupyter, msticpy e Microsoft Sentinel