Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описывается запуск записной книжки начало работы Guide for Microsoft Sentinel ML Notebooks, в которой настраиваются базовые конфигурации для запуска записных книжек Jupyter в Microsoft Sentinel и приведены примеры выполнения простых запросов.
В начало работы руководстве по записной книжке Microsoft Sentinel ML используется MSTICPy — мощная библиотека Python, предназначенная для повышения эффективности исследований безопасности и охоты на угрозы в Microsoft Sentinel записных книжках. Он предоставляет встроенные инструменты для обогащения данных, визуализации, обнаружения аномалий и автоматизированных запросов, помогая аналитикам оптимизировать рабочий процесс без обширного пользовательского кода.
Дополнительные сведения см. в разделах Использование записных книжек для выполнения исследований и Использование записных книжек Jupyter для поиска угроз безопасности.
Важно!
После 31 марта 2027 г. Microsoft Sentinel больше не будут поддерживаться в портал Azure и будут доступны только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel в портал Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender.
Если вы по-прежнему используете Microsoft Sentinel в портал Azure, рекомендуется начать планирование перехода на портал Defender, чтобы обеспечить плавный переход и в полной мере воспользоваться преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender.
Предварительные условия
Перед началом работы убедитесь, что у вас есть необходимые разрешения и ресурсы.
| Предварительное условие | Описание |
|---|---|
| Разрешения | Чтобы использовать записные книжки в Microsoft Sentinel, убедитесь, что у вас есть необходимые разрешения. Дополнительные сведения см. в статье Управление доступом к Microsoft Sentinel записным книжкам. |
| Python | Чтобы выполнить действия, описанные в этой статье, вам потребуется Python 3.6 или более поздней версии. В Azure Машинного обучения можно использовать ядро Python 3.8 (рекомендуется) или ядро Python 3.6. Если вы используете записную книжку, описанную в этой статье, в другой среде Jupyter, можно использовать любое ядро, поддерживающее Python 3.6 или более поздней версии. Чтобы использовать записные книжки MSTICPy за пределами Microsoft Sentinel и Azure Машинного обучения (ML), необходимо также настроить среду Python. Установите Python 3.6 или более поздней версии с дистрибутивом Anaconda, который включает в себя множество необходимых пакетов. |
| MaxMind GeoLite2 | Эта записная книжка использует службу поиска географического расположения MaxMind GeoLite2 для IP-адресов. Чтобы использовать службу MaxMind GeoLite2, вам потребуется лицензионный ключ. Вы можете зарегистрироваться для получения бесплатной учетной записи и ключа на странице регистрации Maxmind. |
| Virustotal | Эта записная книжка использует VirusTotal (VT) в качестве источника аналитики угроз. Чтобы использовать поиск аналитики угроз VirusTotal, вам потребуется учетная запись VirusTotal и ключ API. Если вы используете корпоративный ключ VT, сохраните его Azure Key Vault вместо файла msticpyconfig.yaml. Дополнительные сведения см. в разделе Указание секретов как Key Vault секретов в документации MSTICPY. Если вы не хотите настраивать Azure Key Vault прямо сейчас, зарегистрируйтесь и используйте бесплатную учетную запись, пока не сможете настроить хранилище Key Vault. |
Установка и запуск записной книжки руководства по начало работы
В этой процедуре описывается запуск записной книжки с помощью Microsoft Sentinel.
Для Microsoft Sentinel на портале Defender выберите Microsoft Sentinel>Затраты для управления>. Для Microsoft Sentinel в портал Azure в разделе Управление угрозами выберите Записные книжки.
На вкладке Шаблоны выберите Руководство по начало работы для записных книжек машинного обучения Microsoft Sentinel .
Выберите Создать из шаблона.
Измените имя и выберите рабочую область Azure Машинное обучение соответствующим образом.
Выберите Сохранить, чтобы сохранить его в рабочей области машинного обучения Azure.
Выберите Запустить записную книжку , чтобы запустить записную книжку. Записная книжка содержит ряд ячеек:
- Ячейки Markdown содержат текст и графику с инструкциями по использованию записной книжки
- Ячейки кода содержат исполняемый код, который выполняет функции записной книжки
В верхней части страницы выберите вычисления.
Продолжайте чтение ячеек Markdown и выполнение ячеек кода по порядку, следуя инструкциям в записной книжке. Пропуск ячеек или их запуск в порядке может привести к ошибкам позже в записной книжке.
В зависимости от выполняемой функции код в ячейке может выполняться быстро или может занять некоторое время. Когда ячейка запущена, кнопка воспроизведения меняется на загрузочный модуль, а состояние отображается в нижней части ячейки вместе с затраченным временем.
При первом запуске ячейки кода может потребоваться несколько минут для запуска сеанса в зависимости от параметров вычислений. Когда записная книжка готова к выполнению ячеек кода, отображается индикатор Готовности . Например, вы можете:
Руководство по начало работы для записной книжки Microsoft Sentinel ML содержит разделы, посвященные следующим действиям:
| Имя | Описание |
|---|---|
| Введение | Описать основные сведения о записных книжках и предоставить пример кода, который можно запустить, чтобы узнать, как работают записные книжки. |
| Инициализация записной книжки и MSTICPy | Помогает подготовить среду к запуску остальной части записной книжки. При инициализации записной книжки ожидаются предупреждения конфигурации об отсутствии параметров, так как вы еще ничего не настроили. |
| Запрос данных из Microsoft Sentinel | Помогает проверять, настраивать и тестировать параметры Microsoft Sentinel. Используйте код в этом разделе для проверки подлинности, чтобы Microsoft Sentinel и выполнить пример запроса для проверки подключения. |
| Настройка и тестирование внешних поставщиков данных (VirusTotal и Maxmind GeoLite2) | Помогает настроить параметры для VirusTotal в качестве примера службы аналитики угроз и MaxMind GeoLite2 в качестве примера службы поиска по географическому расположению. Используйте код, приведенный в этом разделе, для выполнения примеров запросов к этим поставщикам данных для их тестирования. |
Код в руководстве по начало работы для записных книжек Microsoft Sentinel ML запускает средство MpConfigEdit, которое содержит ряд вкладок для настройки среды записной книжки. При внесении изменений в средство MpConfigEdit обязательно сохраните изменения, прежде чем продолжить. Параметры записной книжки хранятся в файле msticpyconfig.yaml , который автоматически заполняется начальными сведениями для рабочей области.
Внимательно прочитайте ячейки Markdown, чтобы полностью понять процесс, включая каждый из параметров и файл msticpyconfig.yaml . Дальнейшие действия, дополнительные ресурсы и часто задаваемые вопросы из вики-сайта записных книжек Azure Sentinel связаны с конца записной книжки.
Настройка запросов (необязательно)
Руководство по начало работы для записной книжки Microsoft Sentinel ML содержит примеры запросов, которые можно использовать при изучении записных книжек. Настройте встроенные запросы, добавив дополнительную логику запросов, или выполните полные запросы с помощью exec_query функции . Например, большинство встроенных запросов поддерживают add_query_items параметр , который можно использовать для добавления фильтров или других операций в запросы.
Выполните следующую ячейку кода, чтобы добавить кадр данных, который суммирует количество оповещений по имени оповещения:
from datetime import datetime, timedelta qry_prov.SecurityAlert.list_alerts( start=datetime.utcnow() - timedelta(28), end=datetime.utcnow(), add_query_items="| summarize NumAlerts=count() by AlertName" )Передайте полную строку запроса язык запросов Kusto (KQL) поставщику запросов. Запрос выполняется к подключенной рабочей области, и данные возвращаются в виде кадра данных Panda. Запустить:
# Define your query test_query = """ OfficeActivity | where TimeGenerated > ago(1d) | take 10 """ # Pass the query to your QueryProvider office_events_df = qry_prov.exec_query(test_query) display(office_events_df.head())
Дополнительные сведения см. в разделе:
Применение рекомендаций к другим записным книжкам
В этой статье описано, как запустить руководство по начало работы для записной книжки Microsoft Sentinel ML в рабочей области машинного обучения Azure с помощью Microsoft Sentinel. Эту статью также можно использовать в качестве руководства по выполнению аналогичных действий для запуска записных книжек в других средах, в том числе локально.
Некоторые Microsoft Sentinel записные книжки не используют MSTICPy, например записные книжки сканера учетных данных, примеры PowerShell и C#. Записным книжкам, которые не используют MSTICpy, не требуется конфигурация MSTICPy, описанная в этой статье.
Попробуйте другие записные книжки Microsoft Sentinel, например:
- Настройка среды записной книжки
- Обзор функций записной книжки Cybersec
- Примеры машинного обучения в записных книжках
- Серия Entity Обозреватель, включая варианты учетных записей, доменов и URL-адресов, IP-адресов и узлов Linux или Windows.
Дополнительные сведения см. в разделе:
- Записные книжки Jupyter с Microsoft Sentinel возможностями охоты
- Расширенные конфигурации записных книжек Jupyter и MSTICPy в Microsoft Sentinel
- Создание первой записной книжки Microsoft Sentinel (серия блогов)
- Пошаговое руководство по Обозреватель записной книжке Linux узла (блог)
Связанные материалы
Дополнительные сведения см. в разделе: