Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makalede, Microsoft Sentinel'da Jupyter not defterlerini çalıştırmak için temel yapılandırmaları ayarlayan ve basit sorgu çalıştırma örnekleri sağlayan Microsoft Sentinel ML Not Defterleri için Başlangıç Kılavuzu'nun nasıl çalıştırıldığı açıklanır.
Microsoft Sentinel ML Not Defterleri için Başlangıç Kılavuzu, Microsoft Sentinel not defterlerinde güvenlik araştırmalarını ve tehdit avcılığı özelliklerini geliştirmek için tasarlanmış güçlü bir Python kitaplığı olan MSTICPy'yi kullanır. Veri zenginleştirme, görselleştirme, anomali algılama ve otomatik sorgular için yerleşik araçlar sunarak analistlerin iş akışlarını kapsamlı özel kodlama olmadan kolaylaştırmalarına yardımcı olur.
Daha fazla bilgi için bkz. Araştırmalara güç vermek için not defterlerini kullanma ve Güvenlik tehditlerini avlamak için Jupyter not defterlerini kullanma.
Önemli
31 Mart 2027'nin ardından Microsoft Sentinel artık Azure portal desteklenmeyecektir ve yalnızca Microsoft Defender portalında kullanılabilir. Azure portal Microsoft Sentinel kullanan tüm müşteriler Defender portalına yönlendirilir ve yalnızca Defender portalında Microsoft Sentinel kullanır.
Azure portal hala Microsoft Sentinel kullanıyorsanız, sorunsuz bir geçiş sağlamak ve Microsoft Defender tarafından sunulan birleşik güvenlik işlemleri deneyiminden tam olarak yararlanmak için Defender portalına geçişinizi planlamaya başlamanızı öneririz.
Önkoşullar
Başlamadan önce gerekli izinlere ve kaynaklara sahip olduğunuzdan emin olun.
| Önkoşul | Açıklama |
|---|---|
| İzinler | Microsoft Sentinel not defterlerini kullanmak için gerekli izinlere sahip olduğunuzdan emin olun. Daha fazla bilgi için bkz. Microsoft Sentinel not defterlerine erişimi yönetme. |
| Python | Bu makaledeki adımları gerçekleştirmek için Python 3.6 veya üzeri gerekir. Azure Machine Learning'de Python 3.8 çekirdeği (önerilen) veya Python 3.6 çekirdeği kullanabilirsiniz. Bu makalede açıklanan not defterini başka bir Jupyter ortamında kullanıyorsanız Python 3.6 veya üzerini destekleyen herhangi bir çekirdeği kullanabilirsiniz. MSTICPy not defterlerini Microsoft Sentinel ve Azure Machine Learning (ML) dışında kullanmak için Python ortamınızı da yapılandırmanız gerekir. Gerekli paketlerin çoğunu içeren Anaconda dağıtımıyla Python 3.6 veya üzerini yükleyin. |
| MaxMind GeoLite2 | Bu not defteri IP adresleri için MaxMind GeoLite2 coğrafi konum arama hizmetini kullanır. MaxMind GeoLite2 hizmetini kullanmak için bir lisans anahtarı gerekir. Maxmind kayıt sayfasında ücretsiz bir hesap ve anahtar için kaydolabilirsiniz. |
| Virustotal | Bu not defteri, tehdit bilgileri kaynağı olarak VirusTotal (VT) kullanır. VirusTotal tehdit bilgileri aramasını kullanmak için bir VirusTotal hesabına ve API anahtarına ihtiyacınız vardır. VT kurumsal anahtarı kullanıyorsanız, bunu msticpyconfig.yaml dosyası yerine bir Azure Key Vault depolayın. Daha fazla bilgi için MSTICPY belgelerindeki Gizli dizileri Key Vault gizli dizi olarak belirtme bölümüne bakın. Şu anda bir Azure Key Vault ayarlamak istemiyorsanız, Key Vault depolama alanı ayarlayana kadar ücretsiz bir hesap için kaydolun ve kullanın. |
Başlarken Kılavuzu not defterini yükleme ve çalıştırma
Bu yordamda, not defterinizin Microsoft Sentinel ile nasıl başlatıldığı açıklanır.
Defender portalında Microsoft Sentinel için Microsoft Sentinel>Sat yönetim>Not Defterleri'ni seçin. Azure portal Microsoft Sentinel için Tehdit yönetimi'ninaltındaNot Defterleri'ni seçin.
Şablonlar sekmesinde ml not defterleri Microsoft Sentinel için Başlangıç Kılavuzu'nu seçin.
Şablondan oluştur'u seçin.
Adı düzenleyin ve Azure Machine Learning çalışma alanını uygun şekilde seçin.
Azure Machine Learning çalışma alanınıza kaydetmek için Kaydet'i seçin.
Not defterini çalıştırmak için Not defterini başlat'ı seçin. Not defteri bir dizi hücre içerir:
- Markdown hücreleri, not defterini kullanma yönergelerini içeren metin ve grafikler içerir
- Kod hücreleri, not defteri işlevlerini gerçekleştiren yürütülebilir kod içerir
Sayfanın üst kısmında İşlem'inizi seçin.
Not defterindeki yönergeleri kullanarak markdown hücrelerini okuyarak ve kod hücrelerini sırayla çalıştırarak devam edin. Hücrelerin atlanması veya sıranın dışında çalıştırılması, not defterinin ilerleyen bölümlerinde hatalara neden olabilir.
Gerçekleştirilen işleve bağlı olarak, hücredeki kod hızla çalışabilir veya tamamlanması biraz zaman alabilir. Hücre çalışırken, yürütme düğmesi bir yükleme değiştiricisine dönüşür ve durum, geçen süreyle birlikte hücrenin en altında görüntülenir.
İlk kez bir kod hücresi çalıştırdığınızda işlem ayarlarınıza bağlı olarak oturumu başlatmak birkaç dakika sürebilir. Not defteri kod hücrelerini çalıştırmaya hazır olduğunda Hazır göstergesi gösterilir. Örneğin:
Microsoft Sentinel ML Not Defterleri için Başlangıç Kılavuzu aşağıdaki etkinliklere yönelik bölümler içerir:
| Name | Açıklama |
|---|---|
| Giriş | Not defterinin temellerini açıklayın ve not defterlerinin nasıl çalıştığını görmek için çalıştırabileceğiniz örnek kod sağlar. |
| Not defterini ve MSTICPy'yi başlatma | Ortamınızı not defterinin geri kalanını çalıştırmaya hazırlamanıza yardımcı olur. Not defterini başlatırken, henüz bir şey yapılandırmadığınız için eksik ayarlarla ilgili yapılandırma uyarıları beklenir. |
| Microsoft Sentinel'den Veri Sorgulama | Microsoft Sentinel ayarlarını doğrulamanıza, yapılandırmanıza ve test olmanıza yardımcı olur. Microsoft Sentinel için kimlik doğrulaması yapmak ve bağlantıyı test etmek için bir örnek sorgu çalıştırmak için bu bölümdeki kodu kullanın. |
| Dış veri sağlayıcılarını yapılandırma ve test etme (VirusTotal ve Maxmind GeoLite2) | Örnek tehdit bilgileri hizmeti olarak VirusTotal ve örnek coğrafi konum arama hizmeti olarak MaxMind GeoLite2 ayarlarını yapılandırmanıza yardımcı olur. Bu bölümdeki kodu kullanarak bu veri sağlayıcılarına karşı örnek sorgular çalıştırarak bunları test edin. |
Microsoft Sentinel ML Not Defterleri için Başlangıç Kılavuzu'ndaki kod, not defteri ortamınızı yapılandırmak için bir dizi sekme içeren MpConfigEdit aracını başlatır. MpConfigEdit aracında değişiklik yaparken, devam etmeden önce değişikliklerinizi kaydettiğinizden emin olun. Not defteri ayarları, çalışma alanınızın ilk ayrıntılarıyla otomatik olarak doldurulan msticpyconfig.yaml dosyasında depolanır.
Ayarların her biri ve msticpyconfig.yaml dosyası da dahil olmak üzere işlemi tamamen anlamak için markdown hücrelerini dikkatle okuduğunuzdan emin olun. Sonraki adımlar, ek kaynaklar ve Azure Sentinel Not Defterleri wiki'sinden sık sorulan sorular not defterinin sonundan bağlanır.
Sorgularınızı özelleştirme (isteğe bağlı)
Microsoft Sentinel ML Not Defterleri için Başlangıç Kılavuzu, not defterlerini öğrenirken kullanabileceğiniz örnek sorgular sağlar. Daha fazla sorgu mantığı ekleyerek yerleşik sorguları özelleştirin veya işlevini kullanarak exec_query eksiksiz sorgular çalıştırın. Örneğin, çoğu yerleşik sorgu, filtreleri veya diğer işlemleri sorgulara eklemek için kullanabileceğiniz parametresini destekler add_query_items .
Uyarı sayısını uyarı adına göre özetleyen bir veri çerçevesi eklemek için aşağıdaki kod hücresini çalıştırın:
from datetime import datetime, timedelta qry_prov.SecurityAlert.list_alerts( start=datetime.utcnow() - timedelta(28), end=datetime.utcnow(), add_query_items="| summarize NumAlerts=count() by AlertName" )Tam Kusto Sorgu Dili (KQL) sorgu dizesini sorgu sağlayıcısına geçirin. Sorgu bağlı çalışma alanında çalıştırılır ve veriler panda DataFrame olarak döndürülür. Çalıştırmak:
# Define your query test_query = """ OfficeActivity | where TimeGenerated > ago(1d) | take 10 """ # Pass the query to your QueryProvider office_events_df = qry_prov.exec_query(test_query) display(office_events_df.head())
Daha fazla bilgi için bkz.:
Diğer not defterlerine kılavuz uygulama
Bu makaledeki adımlarda, Microsoft Sentinel aracılığıyla Azure Machine Learning çalışma alanınızda Microsoft Sentinel ML Not Defterleri için Başlarken Kılavuzu'nun nasıl çalıştırıldığı açıklanmaktadır. Bu makaleyi, not defterlerini yerel olarak da dahil olmak üzere diğer ortamlarda çalıştırmak için benzer adımlar gerçekleştirmeye yönelik kılavuz olarak da kullanabilirsiniz.
Birkaç Microsoft Sentinel not defteri, Kimlik Bilgisi Tarayıcısı not defterleri veya PowerShell ve C# örnekleri gibi MSTICPy kullanmaz. MSTICpy kullanmayan not defterlerinin bu makalede açıklanan MSTICPy yapılandırmasına ihtiyacı yoktur.
Aşağıdakiler gibi diğer Microsoft Sentinel not defterlerini deneyin:
- Not Defteri Ortamınızı Yapılandırma
- Cybersec not defteri özellikleri turu
- Not Defterlerinde Makine Öğrenmesi Örnekleri
- Hesaplar, etki alanları ve URL'ler, IP adresleri ve Linux veya Windows konakları için varyasyonlar da dahil olmak üzere Varlık Gezgini serisi.
Daha fazla bilgi için bkz.:
- Microsoft Sentinel avcılık özelliklerine sahip Jupyter not defterleri
- Microsoft Sentinel'de Jupyter not defterleri ve MSTICPy için gelişmiş yapılandırmalar
- İlk Microsoft Sentinel not defterinizi oluşturma (Blog serisi)
- Linux Ana Bilgisayar Gezgini Not Defteri kılavuzu (Blog)
İlgili içerik
Daha fazla bilgi için bkz.: