Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln beskriver hur du kör Komma igång guide för Microsoft Sentinel NOTEBOOK-fil för ML, som konfigurerar grundläggande konfigurationer för att köra Jupyter Notebooks i Microsoft Sentinel och innehåller exempel för att köra enkla frågor.
I Komma igång Guide for Microsoft Sentinel ML Notebooks Notebooks används MSTICPy, ett kraftfullt Python-bibliotek som utformats för att förbättra säkerhetsundersökningar och hotjakt i Microsoft Sentinel notebook-filer. Den innehåller inbyggda verktyg för databerikning, visualisering, avvikelseidentifiering och automatiserade frågor, vilket hjälper analytiker att effektivisera sitt arbetsflöde utan omfattande anpassad kodning.
Mer information finns i Använda notebook-filer för att undersöka ochanvända Jupyter Notebooks för att söka efter säkerhetshot.
Viktigt
Efter den 31 mars 2027 kommer Microsoft Sentinel inte längre att stödjas i Azure Portal och kommer endast att vara tillgängligt i Microsoft Defender-portalen. Alla kunder som använder Microsoft Sentinel i Azure Portal omdirigeras till Defender-portalen och använder endast Microsoft Sentinel i Defender-portalen.
Om du fortfarande använder Microsoft Sentinel i Azure Portal rekommenderar vi att du börjar planera övergången till Defender-portalen för att säkerställa en smidig övergång och dra full nytta av den enhetliga säkerhetsåtgärdsupplevelse som erbjuds av Microsoft Defender.
Förhandskrav
Innan du börjar kontrollerar du att du har de behörigheter och resurser som krävs.
| Förutsättningar | Beskrivning |
|---|---|
| Behörigheter | Om du vill använda notebook-filer i Microsoft Sentinel kontrollerar du att du har de behörigheter som krävs. Mer information finns i Hantera åtkomst till Microsoft Sentinel notebook-filer. |
| Python | Om du vill utföra stegen i den här artikeln behöver du Python 3.6 eller senare. I Azure Machine Learning kan du använda antingen en Python 3.8-kernel (rekommenderas) eller en Python 3.6-kernel. Om du använder notebook-filen som beskrivs i den här artikeln i en annan Jupyter-miljö kan du använda valfri kernel som stöder Python 3.6 eller senare. Om du vill använda MSTICPy-notebook-filer utanför Microsoft Sentinel och Azure Machine Learning (ML) måste du också konfigurera Python-miljön. Installera Python 3.6 eller senare med Anaconda-distributionen, som innehåller många av de paket som krävs. |
| MaxMind GeoLite2 | Den här notebook-filen använder uppslagstjänsten MaxMind GeoLite2 för IP-adresser. Om du vill använda MaxMind GeoLite2-tjänsten behöver du en licensnyckel. Du kan registrera dig för ett kostnadsfritt konto och en nyckel på registreringssidan för Maxmind. |
| Virustotal | Den här notebook-filen använder VirusTotal (VT) som källa för hotinformation. Om du vill använda virustotal hotinformationssökning behöver du ett VirusTotal-konto och en API-nyckel. Om du använder en VT-företagsnyckel lagrar du en Azure Key Vault i stället för filen msticpyconfig.yaml. Mer information finns i Ange hemligheter som Key Vault hemligheter i MSTICPY-dokumentationen. Om du inte vill konfigurera en Azure Key Vault just nu registrerar du dig för och använder ett kostnadsfritt konto tills du kan konfigurera Key Vault lagring. |
Installera och kör notebook-filen Komma igång Guide
Den här proceduren beskriver hur du startar anteckningsboken med Microsoft Sentinel.
För Microsoft Sentinel i Defender-portalen väljer du Microsoft Sentinel>Threat managementNotebooks ( Hanteringsanteckningsböcker).> För Microsoft Sentinel i Azure Portal går du till Hothantering och väljer Notebooks.
På fliken Mallar väljer du A Komma igång Guide For Microsoft Sentinel ML Notebooks (A Komma igång Guide for Microsoft Sentinel ML Notebooks).
Välj Skapa från mall.
Redigera namnet och välj Azure Machine Learning-arbetsytan efter behov.
Välj Spara för att spara den på din Azure Machine Learning-arbetsyta.
Välj Starta anteckningsbok för att köra notebook-filen. Anteckningsboken innehåller en serie celler:
- Markdown-celler innehåller text och grafik med instruktioner för hur du använder notebook-filen
- Kodceller innehåller körbar kod som utför notebook-funktionerna
Välj beräkning överst på sidan.
Fortsätt genom att läsa markdown-celler och köra kodceller i ordning med hjälp av instruktionerna i notebook-filen. Om du hoppar över celler eller kör dem i fel ordning kan det orsaka fel senare i notebook-filen.
Beroende på vilken funktion som utförs kan koden i cellen köras snabbt eller ta lite tid att slutföra. När cellen körs ändras uppspelningsknappen till en inläsningsspinnare och statusen visas längst ned i cellen, tillsammans med den förflutna tiden.
Första gången du kör en kodcell kan det ta några minuter att starta sessionen, beroende på dina beräkningsinställningar. En Klar-indikation visas när notebook-filen är redo att köra kodceller. Till exempel:
Notebook-filen Komma igång Guide for Microsoft Sentinel ML Notebooks innehåller avsnitt för följande aktiviteter:
| Namn | Beskrivning |
|---|---|
| Inledning | Beskriv grunderna i notebook-filer och innehåller exempelkod som du kan köra för att se hur notebook-filer fungerar. |
| Initiera notebook-filen och MSTICPy | Hjälper dig att göra din miljö redo att köra resten av notebook-filen. När du initierar notebook-filen förväntas konfigurationsvarningar om saknade inställningar eftersom du inte har konfigurerat något ännu. |
| Fråga efter data från Microsoft Sentinel | Hjälper dig att verifiera, konfigurera och testa Microsoft Sentinel inställningar. Använd koden i det här avsnittet för att autentisera för att Microsoft Sentinel och köra en exempelfråga för att testa anslutningen. |
| Konfigurera och testa externa dataprovidrar (VirusTotal och Maxmind GeoLite2) | Hjälper dig att konfigurera inställningar för VirusTotal, som en exempeltjänst för hotinformation och MaxMind GeoLite2, som ett exempel på en sökningstjänst för geo-plats. Använd koden i det här avsnittet för att köra exempelfrågor mot dessa dataprovidrar för att testa dem. |
Koden i Komma igång Guide for Microsoft Sentinel ML Notebooks startar verktyget MpConfigEdit, som har en serie flikar för att konfigurera notebook-miljön. När du gör ändringar i verktyget MpConfigEdit måste du spara ändringarna innan du fortsätter. Inställningarna för notebook-filen lagras i filen msticpyconfig.yaml , som fylls i automatiskt med inledande information för arbetsytan.
Läs igenom markdown-cellerna noggrant så att du förstår processen helt, inklusive var och en av inställningarna och filen msticpyconfig.yaml . Nästa steg, extra resurser och vanliga frågor och svar från wikin Azure Sentinel Notebooks länkas från slutet av anteckningsboken.
Anpassa dina frågor (valfritt)
Notebook-filen Komma igång Guide for Microsoft Sentinel ML Notebooks innehåller exempelfrågor som du kan använda när du lär dig mer om notebook-filer. Anpassa de inbyggda frågorna genom att lägga till mer frågelogik eller köra fullständiga frågor med hjälp av exec_query funktionen . De flesta inbyggda frågor stöder till exempel parametern add_query_items som du kan använda för att lägga till filter eller andra åtgärder i frågorna.
Kör följande kodcell för att lägga till en dataram som sammanfattar antalet aviseringar efter aviseringsnamn:
from datetime import datetime, timedelta qry_prov.SecurityAlert.list_alerts( start=datetime.utcnow() - timedelta(28), end=datetime.utcnow(), add_query_items="| summarize NumAlerts=count() by AlertName" )Skicka en fullständig Kusto-frågespråk -frågesträng (KQL) till frågeprovidern. Frågan körs mot den anslutna arbetsytan och data returneras som en Panda DataFrame. Köra:
# Define your query test_query = """ OfficeActivity | where TimeGenerated > ago(1d) | take 10 """ # Pass the query to your QueryProvider office_events_df = qry_prov.exec_query(test_query) display(office_events_df.head())
Mer information finns i:
Använd vägledning för andra notebook-filer
Stegen i den här artikeln beskriver hur du kör anteckningsboken Komma igång guide för Microsoft Sentinel ML Notebooks i din Azure Machine Learning-arbetsyta via Microsoft Sentinel. Du kan också använda den här artikeln som vägledning för att utföra liknande steg för att köra notebook-filer i andra miljöer, inklusive lokalt.
Flera Microsoft Sentinel notebook-filer använder inte MSTICPy, till exempel notebook-filer för autentiseringsuppgifter eller PowerShell- och C#-exemplen. Notebook-filer som inte använder MSTICpy behöver inte MSTICPy-konfigurationen som beskrivs i den här artikeln.
Prova andra Microsoft Sentinel notebook-filer, till exempel:
- Konfigurera notebook-miljön
- En rundtur i Notebook-funktioner för Cybersec
- Exempel på Machine Learning i notebook-filer
- Entity Explorer-serien, inklusive variationer för konton, domäner och URL:er, IP-adresser och Linux- eller Windows-värdar.
Mer information finns i:
- Jupyter Notebooks med Microsoft Sentinel jaktfunktioner
- Avancerade konfigurationer för Jupyter Notebooks och MSTICPy i Microsoft Sentinel
- Skapa din första Microsoft Sentinel notebook-fil (bloggserie)
- genomgång av Linux Notebook för Värdutforskaren (blogg)
Relaterat innehåll
Mer information finns i: