本文說明如何執行 Microsoft Sentinel ML Notebooks 筆記本快速入門指南,以設定在 Microsoft Sentinel 中執行 Jupyter Notebook 的基本設定,並提供執行簡單查詢的範例。
Microsoft Sentinel ML Notebooks 記事本快速入門指南使用 MSTICPy,這是一個功能強大的 Python 函式庫,旨在增強 Microsoft Sentinel 記事本內的安全性調查和威脅偵查。 它提供數據擴充、視覺效果、異常偵測和自動化查詢的內建工具,可協助分析師簡化其工作流程,而不需要大量自定義程序代碼。
如需詳細資訊,請參閱使用筆記本來提供調查能力和使用 Jupyter Notebook 尋找安全性威脅。
重要
Microsoft Sentinel 已在 Microsoft Defender 入口網站全面推出,包括對於沒有 Microsoft Defender XDR 或 E5 授權的客戶。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
必要條件
開始之前,請確定您擁有所需的權限和資源。
| 先決條件 | 說明 |
|---|---|
| 許可 | 若要在 Microsoft Sentinel 中使用筆記本,請確定您有必要的權限。 如需詳細資訊,請參閱管理 Microsoft Sentinel 筆記本的存取權。 |
| Python(編程語言) | 若要執行本文中的步驟,您將需要 Python 3.6 或更新版本。 在 Azure Machine Learning 中,您可以使用 Python 3.8 核心 (建議) 或 Python 3.6 核心。 如果您在另一個 Jupyter 環境中使用本教學課程中所述的筆記本,則可以使用支援 Python 3.6 或更新版本的任何核心。 若要在 Microsoft Sentinel 和 Azure Machine Learning (ML) 之外使用 MSTICPy 筆記本,您也必須設定 Python 環境。 使用 Anaconda 散發套件安裝 Python 3.6 或更新版本,其包含許多必要的套件。 |
| MaxMind GeoLite2 | 此筆記本會針對IP位址使用 MaxMind GeoLite2 地理位置查閱服務。 若要使用 MaxMind GeoLite2 服務,您需要授權密鑰。 您可以在 Maxmind 註冊頁面上註冊取得免費帳戶和金鑰。 |
| VirusTotal | 此筆記本使用 VirusTotal (VT) 作為威脅情報來源。 若要使用 VirusTotal 威脅情報查閱,您需要 VirusTotal 帳戶和 API 金鑰。 如果您使用 VT 企業密鑰,請將它儲存為 Azure Key Vault,而不是 msticpyconfig.yaml 檔案。 如需詳細資訊,請參閱 MSTICPY 文件中的將秘密指定為 Key Vault 秘密。 如果您不想立即設定 Azure Key Vault,請註冊並使用免費帳戶,直到您可以設定 Key Vault 儲存體為止。 |
安裝並執行快速入門指南筆記本
此程序說明如何透過 Microsoft Sentinel 啟動您的筆記本程式。
針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel]> [威脅管理]> [Notebooks]。 針對 Azure 入口網站中的 Microsoft Sentinel,於 [威脅管理] 底下,選取 [Notebooks]。
從 [樣本] 索引標籤中,選取 [Microsoft Sentinel ML 筆記本入門指南]。
選取 [從範本建立]。
編輯名稱,並視需要選取 Azure Machine Learning 工作區。
選取 [儲存],將其儲存至您的 Azure Machine Learning 工作區。
選取 [啟動筆記本] 以執行筆記本。 筆記本包含一系列資料格:
- Markdown 資料格包含文字和圖形,其包含使用筆記本的指示
- 程式碼儲存格包含會執行筆記本函式的可執行檔程式碼
在頁面頂端,選取您的 運算。
按照筆記本中的指示,依序閱讀 Markdown 單元格並執行程式碼單元格以繼續以下步驟。 略過儲存格或未依序執行,可能會導致筆記本後續發生錯誤。
視所執行的函式而定,數據格中的程式碼可能會快速執行,或可能需要一些時間才能完成。 當儲存格執行時,播放按鈕會變成載入旋轉圖標,儲存格底部會顯示狀態及已經過的時間。
第一次執行程式代碼數據格時,視計算設定而定,啟動會話可能需要幾分鐘的時間。 當筆記本準備好執行程式代碼數據格時,會顯示 就緒 指示。 例如:
Microsoft Sentinel ML 筆記本快速入門指南包含下列活動的章節:
| 名稱 | 說明 |
|---|---|
| 簡介 | 描述筆記本基本概念,並提供您可以執行的範例程序代碼,以查看筆記本的運作方式。 |
| 初始化筆記本和 MSTICPy | 協助您準備環境以運行筆記本的其餘部分。 初始化筆記本時,預期會出現有關缺少設定的警告,因為您尚未進行任何設定。 |
| 從Microsoft Sentinel 查詢數據 | 協助您驗證、設定及測試 Microsoft Sentinel 設定。 使用本節中的程式代碼來驗證 Microsoft Sentinel,並執行範例查詢來測試連線。 |
| 設定及測試外部資料提供者 (VirusTotal 和 Maxmind GeoLite2) | 協助您配置 VirusTotal 的設定,作為範例的威脅情報服務,以及 MaxMind GeoLite2,作為範例的地理位置查閱服務。 使用本節中的程式代碼,針對這些數據提供者執行範例查詢,以測試它們。 |
Microsoft Sentinel ML Notebooks 快速入門指南 中的程式代碼會啟動 MpConfigEdit 工具,其具有一系列索引卷標來設定筆記本環境。 當您在 MpConfigEdit 工具中進行變更時,請務必先儲存變更再繼續。 筆記本的設定會儲存在 msticpyconfig.yaml 檔案中,此檔案會自動填入工作區的初始詳細數據。
請務必仔細閱讀 Markdown 單元格,讓您完全了解程式,包括每個設定和 msticpyconfig.yaml 檔案。 Azure Sentinel Notebooks Wiki 的後續步驟、額外資源和常見問題會從筆記本結尾連結。
自訂您的查詢(選擇性)
Microsoft Sentinel ML 筆記簿快速入門指南提供範例查詢,供您在學習 Microsoft Sentinel ML 筆記簿時使用。 藉由新增更多查詢邏輯來自定義內建查詢,或使用 exec_query 函式執行完整的查詢。 例如,大部分的內建查詢都支援 add_query_items 參數,可用來將篩選或其他作業附加至查詢。
執行下列程式碼資料格,以新增資料框架,以依警示名稱摘要警示數目:
from datetime import datetime, timedelta qry_prov.SecurityAlert.list_alerts( start=datetime.utcnow() - timedelta(28), end=datetime.utcnow(), add_query_items="| summarize NumAlerts=count() by AlertName" )將完整 Kusto Query Language (KQL) 查詢字串傳遞至查詢提供者。 查詢會針對連接的工作區執行,而資料會以 panda DataFrame 的形式傳回。 請執行:
# Define your query test_query = """ OfficeActivity | where TimeGenerated > ago(1d) | take 10 """ # Pass the query to your QueryProvider office_events_df = qry_prov.exec_query(test_query) display(office_events_df.head())
如需詳細資訊,請參閱
將指引套用至其他筆記本
本文中的步驟描述如何透過 Microsoft Sentinel 在 Azure Machine Learning 工作區中執行 Microsoft Sentinel ML Notebooks 的使用者入門指南筆記本。 您也可以使用本文做為在其他環境 (包括本機) 中執行筆記本的類似步驟的指引。
數個 Microsoft Sentinel 筆記本未使用 MSTICPy,例如認證掃描器筆記本或 PowerShell 和 C# 範例。 未使用 MSTICpy 的筆記本不需要本文所述的 MSTICPy 設定。
試用其他Microsoft Sentinel 筆記本,例如:
- 設定筆記本環境
- Cybersec 筆記本功能的導覽
- Notebooks 中的機器學習範例
- 實體瀏覽器系列,包括帳戶、網域和 URL、IP 位址,以及 Linux 或 Windows 主機的不同版本。
如需詳細資訊,請參閱
- 具備 Microsoft Sentinel 搜捕功能的 Jupyter 筆記本
- Microsoft Sentinel 中 Jupyter Notebook 和 MSTICPy 的進階設定
- 建立第一個Microsoft Sentinel 筆記本 (部落格系列)
- Linux 主機總管筆記本逐步解說 (部落格)
相關內容
如需詳細資訊,請參閱