使用笔记本进行搜寻
Jupyter Notebook 可用于创建和共享包含实时代码、公式、可视化效果与解释性文本的文档。 用途包括数据清理和转换、数字仿真、统计建模、机器学习等等。 Jupyter 扩展了 Microsoft Sentinel 数据的使用范围。 它将完整的可编程性与用于机器学习、可视化效果和数据分析的大量库集合组合在一起。 这些属性使 Jupyter 成为进行安全调查和搜寻的有用工具。
由一些 Microsoft 的安全分析师开发的笔记本会与 Microsoft Sentinel 一起打包。 其中一些笔记本专门用于特定方案,可以按原样使用。 其他笔记本用作示例,以说明可以复制或修改以便在自己的笔记本中使用的技术和功能。 其他笔记本还可从 Microsoft Sentinel GitHub 社区导入。
笔记本包括两个组件:
基于浏览器的界面,你可以在其中输入和运行查询和代码,执行结果也显示在此处。
内核,负责分析和执行代码本身。
Microsoft Sentinel 笔记本的内核在 Azure 虚拟机 (VM) 上运行。 如果笔记本包含复杂的机器学习模型,则可以使用几种许可选项来使用功能更强大的虚拟机。
Microsoft Sentinel 笔记本使用许多常用的 Python 库,如 pandas、matplotlib、bokeh 等。还有很多其他 Python 包供你选择,包括以下方面:
可视化效果和图形
数据处理和分析
统计和数字计算
机器学习和深度学习
msticpy 包可用于许多随附的笔记本。 Msticpy 工具经过明确设计,可帮助创建用于进行搜寻和调查的笔记本。