Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
I denne artikel beskrives det, hvordan du kører Introduktion Vejledning til Microsoft Sentinel ML Notebooks-notesbog, som konfigurerer grundlæggende konfigurationer til kørsel af Jupyter-notesbøger i Microsoft Sentinel og indeholder eksempler på kørsel af simple forespørgsler.
Den Introduktion vejledning til Microsoft Sentinel-notesbøger til ML bruger MSTICPy, et effektivt Python-bibliotek, der er designet til at forbedre sikkerhedsundersøgelser og trusselsjagt i Microsoft Sentinel notesbøger. Den indeholder indbyggede værktøjer til databerigelse, visualisering, registrering af uregelmæssigheder og automatiserede forespørgsler, hvilket hjælper analytikere med at strømline deres arbejdsproces uden omfattende brugerdefineret kodning.
Du kan finde flere oplysninger under Brug notesbøger til at styrke undersøgelser og Brug Jupyter-notesbøger til at jage efter sikkerhedstrusler.
Vigtigt!
Efter den 31. marts 2027 understøttes Microsoft Sentinel ikke længere i Azure Portal og er kun tilgængelig på Microsoft Defender-portalen. Alle kunder, der bruger Microsoft Sentinel i Azure Portal, omdirigeres til Defender-portalen og bruger kun Microsoft Sentinel på Defender-portalen.
Hvis du stadig bruger Microsoft Sentinel i Azure Portal, anbefaler vi, at du begynder at planlægge overgangen til Defender-portalen for at sikre en problemfri overgang og drage fuld fordel af den samlede oplevelse med sikkerhedshandlinger, der tilbydes af Microsoft Defender.
Forudsætninger
Før du begynder, skal du sørge for, at du har de nødvendige tilladelser og ressourcer.
| Forudsætning | Beskrivelse |
|---|---|
| Tilladelser | Hvis du vil bruge notesbøger i Microsoft Sentinel, skal du sørge for, at du har de nødvendige tilladelser. Du kan få flere oplysninger under Administrer adgang til Microsoft Sentinel notesbøger. |
| Python | Hvis du vil udføre trinnene i denne artikel, skal du bruge Python 3.6 eller nyere. I Azure Machine Learning kan du enten bruge en Python 3.8-kerne (anbefales) eller et Python 3.6-kerne. Hvis du bruger den notesbog, der er beskrevet i denne artikel, i et andet Jupyter-miljø, kan du bruge en hvilken som helst kerne, der understøtter Python 3.6 eller nyere. Hvis du vil bruge MSTICPy-notesbøger uden for Microsoft Sentinel og Azure Machine Learning (ML), skal du også konfigurere dit Python-miljø. Installér Python 3.6 eller nyere med Anaconda-distributionen, som indeholder mange af de påkrævede pakker. |
| MaxMind GeoLite2 | Denne notesbog bruger MaxMind GeoLite2-opslagstjenesten til geoplacering for IP-adresser. Hvis du vil bruge Tjenesten MaxMind GeoLite2, skal du have en licensnøgle. Du kan tilmelde dig en gratis konto og nøgle på maxmind-tilmeldingssiden. |
| Virustotal | Denne notesbog bruger VirusTotal (VT) som en trusselsintelligenskilde. Hvis du vil bruge opslaget VirusTotal threat intelligence, skal du have en VirusTotal-konto og API-nøgle. Hvis du bruger en VT-virksomhedsnøgle, skal du gemme den som en Azure Key Vault i stedet for filen msticpyconfig.yaml. Du kan få flere oplysninger under Angiv hemmeligheder som Key Vault hemmeligheder i MSTICPY-dokumentationen. Hvis du ikke vil konfigurere en Azure Key Vault lige nu, skal du tilmelde dig og bruge en gratis konto, indtil du kan konfigurere Key Vault lagerplads. |
Installér og kør notesbogen Introduktion Guide
I denne procedure beskrives det, hvordan du starter notesbogen med Microsoft Sentinel.
For Microsoft Sentinel på Defender-portalen skal du vælge Microsoft Sentinel>Nreat administrere>notesbøger. For Microsoft Sentinel i Azure Portal skal du under Trusselsadministration vælge Notesbøger.
Under fanen Skabeloner skal du vælge En Introduktion vejledning til Microsoft Sentinel ML-notesbøger .
Vælg Opret fra skabelon.
Rediger navnet, og vælg det Azure Machine Learning-arbejdsområde efter behov.
Vælg Gem for at gemme den i dit Azure Machine Learning-arbejdsområde.
Vælg Start notesbog for at køre notesbogen. Notesbogen indeholder en række celler:
- Markdown-celler indeholder tekst og grafik med instruktioner til brug af notesbogen
- Kodeceller indeholder eksekverbar kode, der udfører notesbogfunktionerne
Vælg din beregning øverst på siden.
Fortsæt ved at læse Markdown-celler og køre kodeceller i rækkefølge ved hjælp af vejledningen i notesbogen. Det kan medføre fejl senere i notesbogen, hvis du springer celler over eller løber tør for dem.
Afhængigt af den funktion, der udføres, kan koden i cellen køre hurtigt, eller det kan tage noget tid at fuldføre den. Når cellen kører, ændres afspilningsknappen til en indlæsningsskala, og status vises nederst i cellen sammen med den forløbne tid.
Første gang du kører en kodecelle, kan det tage flere minutter at starte sessionen, afhængigt af dine beregningsindstillinger. Der vises en klar indikation, når notesbogen er klar til at køre kodeceller. Det kan f.eks. være:
Notesbogen Introduktion vejledning til Microsoft Sentinel ML-notesbøger indeholder afsnit til følgende aktiviteter:
| Navn | Beskrivelse |
|---|---|
| Introduktion | Beskriv grundlæggende funktioner i notesbogen, og angiv eksempelkode, som du kan køre for at se, hvordan notesbøger fungerer. |
| Initialiserer notesbogen og MSTICPy | Hjælper dig med at gøre dit miljø klar til at køre resten af notesbogen. Når notesbogen initialiseres, forventes der konfigurationsadvarsler om manglende indstillinger, fordi du endnu ikke har konfigureret noget. |
| Forespørger om data fra Microsoft Sentinel | Hjælper dig med at bekræfte, konfigurere og teste Microsoft Sentinel indstillinger. Brug koden i dette afsnit til at godkende for at Microsoft Sentinel og køre en eksempelforespørgsel for at teste forbindelsen. |
| Konfigurer og test eksterne dataprovidere (VirusTotal og Maxmind GeoLite2) | Hjælper dig med at konfigurere indstillinger for VirusTotal som et eksempel på en trusselsintelligenstjeneste og MaxMind GeoLite2 som et eksempel på en opslagstjeneste for geografisk placering. Brug koden i dette afsnit til at køre eksempelforespørgsler mod disse dataprovidere for at teste dem. |
Koden i Introduktion Vejledning til Microsoft Sentinel ML Notebooks starter MpConfigEdit-værktøjet, som indeholder en række faner til konfiguration af notesbogmiljøet. Når du foretager ændringer i MpConfigEdit-værktøjet , skal du sørge for at gemme dine ændringer, før du fortsætter. Indstillinger for notesbogen gemmes i filen msticpyconfig.yaml , som automatisk udfyldes med de første oplysninger om dit arbejdsområde.
Sørg for at læse Markdown-cellerne omhyggeligt, så du forstår processen fuldstændigt, herunder hver af indstillingerne og filen msticpyconfig.yaml . Næste trin, ekstra ressourcer og ofte stillede spørgsmål fra wikien til Azure Sentinel Notesbøger er sammenkædet fra slutningen af notesbogen.
Tilpas dine forespørgsler (valgfrit)
Notesbogen Introduktion Vejledning til Microsoft Sentinel ML-notesbøger indeholder eksempelforespørgsler, som du kan bruge, når du lærer om notesbøger. Tilpas de indbyggede forespørgsler ved at tilføje mere forespørgselslogik, eller kør komplette forespørgsler ved hjælp af funktionen exec_query . De fleste indbyggede forespørgsler understøtter add_query_items f.eks. parameteren , som du kan bruge til at føje filtre eller andre handlinger til forespørgslerne.
Kør følgende kodecelle for at tilføje en dataramme, der opsummerer antallet af beskeder efter beskednavn:
from datetime import datetime, timedelta qry_prov.SecurityAlert.list_alerts( start=datetime.utcnow() - timedelta(28), end=datetime.utcnow(), add_query_items="| summarize NumAlerts=count() by AlertName" )Send en komplet KQL-forespørgselsstreng (Kusto Query Language) til forespørgselsudbyderen. Forespørgslen kører i forhold til det forbundne arbejdsområde, og dataene returneres som en Panda DataFrame. Køre:
# Define your query test_query = """ OfficeActivity | where TimeGenerated > ago(1d) | take 10 """ # Pass the query to your QueryProvider office_events_df = qry_prov.exec_query(test_query) display(office_events_df.head())
Du kan finde flere oplysninger under:
Anvend vejledning til andre notesbøger
I trinnene i denne artikel beskrives det, hvordan du kører Introduktion-vejledningen til Microsoft Sentinel notesbog til ML-notesbøger i dit Azure Machine Learning-arbejdsområde via Microsoft Sentinel. Du kan også bruge denne artikel som vejledning til at udføre lignende trin for at køre notesbøger i andre miljøer, herunder lokalt.
Flere Microsoft Sentinel notesbøger bruger ikke MSTICPy, f.eks. notesbøgerne for Credential Scanner eller PowerShell- og C#-eksemplerne. Notesbøger, der ikke bruger MSTICpy, har ikke brug for den MSTICPy-konfiguration, der er beskrevet i denne artikel.
Prøv andre Microsoft Sentinel notesbøger, f.eks.:
- Konfiguration af notesbogmiljøet
- En præsentation af funktioner i cybersec-notesbogen
- Eksempler på maskinel indlæring i notesbøger
- Entity Explorer-serien, herunder variationer for konti, domæner og URL-adresser, IP-adresser og Linux eller Windows-værter.
Du kan finde flere oplysninger under:
- Jupyter-notesbøger med Microsoft Sentinel jagtmuligheder
- Avancerede konfigurationer til Jupyter-notesbøger og MSTICPy i Microsoft Sentinel
- Opret din første Microsoft Sentinel notesbog (blogserie)
- gennemgang af Linux host Explorer-notesbog (blog)
Relateret indhold
Du kan finde flere oplysninger under: