Avancerede konfigurationer til Jupyter-notesbøger og MSTICPy i Microsoft Sentinel

I denne artikel beskrives avancerede konfigurationer til at arbejde med Jupyter-notesbøger og MSTICPy i Microsoft Sentinel.

Du kan finde flere oplysninger under Brug Jupyter-notesbøger til at jagte sikkerhedstrusler og Kom i gang med Jupyter-notesbøger og MSTICPy i Microsoft Sentinel.

Forudsætninger

Denne artikel er en fortsættelse fra Kom i gang med Jupyter-notesbøger og MSTICPy i Microsoft Sentinel. Vi anbefaler, at du udfører selvstudiet, før du fortsætter med de avancerede procedurer, der er beskrevet i denne artikel.

Angiv godkendelsesparametre for API'er for Azure og Microsoft Sentinel

I denne procedure beskrives det, hvordan du konfigurerer godkendelsesparametre for Microsoft Sentinel og andre AZURE API-ressourcer i filen msticpyconfig.yaml.

Sådan tilføjes Azure godkendelses- og Microsoft Sentinel API-indstillinger i MSTICPy-indstillingseditoren:

Fortsæt til den næste celle med følgende kode, og kør den:
```
mpedit.set_tab("Data Providers")
mpedit
```
På fanen Dataprovidere skal du vælge AzureCLI>Add.
Vælg de godkendelsesmetoder, der skal bruges:
- Selvom du kan bruge et andet sæt metoder end standardværdierne, er dette forbrug ikke en typisk konfiguration. Du kan få flere oplysninger i Introduktion Vejledning til Azure Sentinel notesbøger til ML.
- Medmindre du vil bruge godkendelse af env (miljøvariabel), skal du lade felterne clientId, tenantId og clientSecret være tomme.
- Selvom det ikke anbefales, understøtter MSTICPy også brug af klientapp-id'er og hemmeligheder til din godkendelse. I sådanne tilfælde skal du definere felterne clientId, tenantId og clientSecret direkte under fanen Dataprovidere .
Vælg Gem fil for at gemme dine ændringer.

Definer forespørgselsprovidere til automatisk indlæsning

Definer alle forespørgselsprovidere, som du vil indlæse automatisk i MSTICPy, når du kører funktionen nbinit.init_notebook .

Når du ofte opretter nye notesbøger, kan automatisk indlæsning af forespørgselsprovidere spare dig tid ved at sikre, at påkrævede providere indlæses før andre komponenter, f.eks. pivotfunktioner og notesbøger.

Sådan tilføjer du forespørgselsprovidere til automatisk indlæsning:

Fortsæt til den næste celle med følgende kode, og kør den:
```
mpedit.set_tab("Autoload QueryProvs")
mpedit
```
På fanen Autoload QueryProv :
- For Microsoft Sentinel udbydere skal du angive både navnet på udbyderen og det arbejdsområdenavn, du vil oprette forbindelse til.
- For andre forespørgselsprovidere skal du kun angive providernavnet.
Hver provider har også følgende valgfri værdier:
- Opret automatisk forbindelse: Denne indstilling er som standard defineret som Sand , og MSTICPy forsøger at godkende til udbyderen umiddelbart efter indlæsning. MSTICPy forudsætter, at du har konfigureret legitimationsoplysninger for udbyderen i dine indstillinger.
- Alias: Når MSTICPy indlæser en provider, tildeles provideren til et Python-variabelnavn. Variabelnavnet er som standard qryworkspace_name for Microsoft Sentinel providere og qryprovider_name for andre providere.
  
  Hvis du f.eks. indlæser en forespørgselsprovider for ContosoSOC-arbejdsområdet , oprettes denne forespørgselsudbyder i notesbogmiljøet med navnet qry_ContosoSOC. Tilføj et alias, hvis du vil bruge noget kortere eller nemmere at skrive og huske. Navnet på providervariablen er qry_<alias>, hvor <alias> erstattes af det aliasnavn, du har angivet.
  
  De providere, du indlæser af denne mekanisme, føjes også til attributten MSTICPy current_providers , som f.eks. bruges i følgende kode:
```
import msticpy
msticpy.current_providers
```
Vælg Gem indstillinger for at gemme dine ændringer.

Definer automatisk indlæste MSTICPy-komponenter

I denne procedure beskrives det, hvordan du definerer andre komponenter, der automatisk indlæses af MSTICPy, når du kører funktionen nbinit.init_notebook .

Understøttede komponenter omfatter i følgende rækkefølge:

TILookup: Det bibliotek med TI-udbydere, du vil bruge
Geoip: Den GeoIP-udbyder, du vil bruge
AzureData: Det modul, du bruger til at forespørge om oplysninger om Azure ressourcer
AzureSentinelAPI: Det modul, du bruger til at forespørge Microsoft Sentinel API
Notesbøger: Notebooklets fra msticnb-pakken
Pivot: Pivotfunktioner

Komponenterne indlæses i denne rækkefølge, fordi pivotkomponenten skal bruge forespørgsel og andre providere indlæst for at finde de pivotfunktioner, den vedhæfter til objekter. Du kan få flere oplysninger i MSTICPy-dokumentationen. Du kan få flere oplysninger i Introduktion Vejledning til Azure Sentinel notesbøger til ML.

Sådan definerer du automatisk indlæste MSTICPy-komponenter:

Fortsæt til den næste celle med følgende kode, og kør den:
```
mpedit.set_tab("Autoload Components")
mpedit
```
Definer eventuelle parameterværdier efter behov under fanen Autoload-komponenter . Det kan f.eks. være:
- GeoIpLookup. Angiv navnet på den GeoIP-udbyder, du vil bruge, enten GeoLiteLookup eller IPStack.
- AzureData- og AzureSentinelAPI-komponenter. Definer følgende værdier:
  - auth_methods: Tilsidesæt standardindstillingerne for AzureCLI, og opret forbindelse ved hjælp af de valgte metoder.
  - Opret automatisk forbindelse: Indstillet til falsk for at indlæse uden at oprette forbindelse.
  Du kan få flere oplysninger under Angiv godkendelsesparametre for Azure og Microsoft Sentinel API'er.
- Notesbøger. Notebooklets-komponenten har en enkelt parameterblok: AzureSentinel.
  
  Angiv dit Microsoft Sentinel arbejdsområde ved hjælp af følgende syntaks: workspace:\<workspace name>. Navnet på arbejdsområdet skal være et af de arbejdsområder, der er defineret under fanen Microsoft Sentinel.
  
  Hvis du vil tilføje flere parametre, der skal sendes til notebooklets init funktionen, skal du angive dem som key:value-par adskilt af newlines. Det kan f.eks. være:
```
workspace:<workspace name>
providers=["LocalData","geolitelookup"]
```
  Du kan få flere oplysninger i dokumentationen til MSTICNB (MSTIC Notebooklets).
Nogle komponenter, f.eks . TILookup og Pivot, kræver ingen parametre.
Vælg Gem indstillinger for at gemme dine ændringer.

Skift mellem Python 3.6- og 3.8-kerner

Hvis du skifter mellem Python 3.65- og 3.8-kerner, vil du måske opleve, at MSTICPy og andre pakker ikke installeres som forventet.

Dette kan ske, når kommandoen !pip install pkg installeres korrekt i det første miljø, men derefter ikke installeres korrekt i det andet miljø. Dette skaber en situation, hvor det andet miljø ikke kan importere eller bruge pakken.

Vi anbefaler, at du ikke bruger !pip install... til at installere pakker i Azure Machine Learning-notesbøger. Brug i stedet en af følgende indstillinger:

Brug den magiske %pip-linje i en notesbog. Køre:
```
%pip install --upgrade msticpy
```
Installér fra en terminal:
1. Åbn en terminal i Azure Machine Learning-notesbøger, og kør følgende kommandoer:
```
conda activate azureml_py38
pip install --upgrade msticpy
```
2. Luk terminalen, og genstart kernen.

Angiv en miljøvariabel til filen msticpyconfig.yaml

Hvis du kører i Azure Machine Learning og har filen msticpyconfig.yaml i roden af brugermappen, finder MSTICPy automatisk disse indstillinger. Men hvis du kører notesbøgerne i et andet miljø, skal du følge vejledningen i dette afsnit for at angive en miljøvariabel, der peger på placeringen af konfigurationsfilen.

Hvis du definerer stien til filen msticpyconfig.yaml i en miljøvariabel, kan du gemme filen på en kendt placering og sørge for, at du altid indlæser de samme indstillinger.

Brug flere konfigurationsfiler med flere miljøvariabler, hvis du vil bruge forskellige indstillinger til forskellige notesbøger.

Beslut en placering til filen msticpyconfig.yaml , f.eks. i ~/.msticpyconfig.yaml eller %userprofile%/msticpyconfig.yaml.

Azure ml-brugere: Hvis du gemmer konfigurationsfilen i din Azure Machine Learning-brugermappe, finder og bruger funktionen MSTICPy init_notebook (kør i initialiseringscellen) automatisk filen, og du behøver ikke at angive en MSTICPYCONFIG-miljøvariabel.

Men hvis du også har gemt hemmeligheder i filen, anbefaler vi, at du gemmer konfigurationsfilen på det lokale beregningsdrev. Det interne beregningslager er kun tilgængeligt for den person, der har oprettet beregningen, hvorimod det delte lager er tilgængeligt for alle, der har adgang til dit Azure Machine Learning-arbejdsområde.

Du kan få flere oplysninger under Hvad er en Azure Machine Learning-beregningsforekomst?.
Kopiér eventuelt filen msticpyconfig.yaml til den valgte placering.
Angiv miljøvariablen MSTICPYCONFIG til at pege på denne placering.

Brug en af følgende procedurer til at definere miljøvariablen MSTICPYCONFIG .

Hvis du f.eks. vil angive miljøvariablen MSTICPYCONFIG på Windows-systemer:

Flyt filen msticpyconfig.yaml til beregningsforekomsten efter behov.
Åbn dialogboksen Systemegenskaber til fanen Avanceret .
Vælg Miljøvariabler... for at åbne dialogboksen Miljøvariabler .
I området Systemvariabler skal du vælge Ny... og definere værdierne på følgende måde:
- Variabelnavn: Definer som MSTICPYCONFIG
- Variabel værdi: Angiv stien til filen msticpyconfig.yaml

I denne procedure beskrives det, hvordan du opdaterer .bashrc-filen for at angive miljøvariablen MSTICPYCONFIG på Linux systemer.

Flyt filen msticpyconfig.yaml til beregningsforekomsten efter behov.
Åbn en Azure Machine Learning-terminal, f.eks. fra siden Microsoft Sentinel Notesbøger.
Kontrollér, at du har adgang til filen msticpyconfig.yaml .

I din Azure Machine Learning-terminal skal den aktuelle mappe være startmappen for Azure Machine Learning-fillageret, der er monteret i compute-Linux-systemet. Prompten ligner følgende eksempel:
```
azureuser@alicecontoso-azml7:~/cloudfiles/code/Users/alicecontoso$
```
Angiv alle filer i startmappen, herunder filen msticpyconfig.yaml , ved at angive ls.
Hvis du vil flytte filen msticpyconfig.yaml til beregningsfillageret, skal du angive:
```
mv msticpyconfig.yaml ~
```

Brug en af følgende processer til at redigere .bashrc-filen for miljøvariablen:

Kommando	Trin
Vim	1. Kør: `vim ~/.bashrc` 2. Gå til slutningen af filen ved at trykke på SKIFT+G>End. 3. Opret en ny linje ved at angive en og derefter trykke på ENTER. 4. Tilføj miljøvariablen, og tryk derefter på ESC for at vende tilbage til kommandotilstand. 5. Gem filen ved at skrive :wq.
Nano	1. Kør: `nano ~/.bashrc` 1. Gå til slutningen af filen ved at trykke på ALT+/ eller OPTION+/. 1. Tilføj miljøvariablen, og gem derefter filen. Tryk på CTRL+X og derefter på Y.

Tilføj en af følgende miljøvariabler:

Hvis du har flyttet filen msticpyconfig.yaml , skal du køre export MSTICPYCONFIG=~/msticpyconfig.yaml.
Hvis du ikke har flyttet filen msticpyconfig.yaml , skal du køre export MSTICPYCONFIG=~/cloudfiles/code/Users/<YOURNAME>/msticpyconfig.yaml.

Hvis du har brug for at gemme filen msticpyconfig.yaml et andet sted end din Azure Machine Learning-brugermappe, skal du bruge en af følgende muligheder:

En nbuser_settings.py fil i roden af brugermappen. Selvom denne proces er enklere og mindre påtrængende end at redigere kernel.json-filen , understøttes den kun, når du kører funktionen init_notebook i starten af notesbogkoden. Dette er standardfunktionsmåden, men hvis du kører notesbogkoden uden først at køre init_notebook, kan MSTICPy mmight ikke finde konfigurationsfilen.
1. I Azure Machine Learning-terminalen skal du oprette filen nbuser_settings.py i roden af brugermappen, som er mappen med dit brugernavn.
2. Tilføj følgende linjer i nbuser_settings.py-filen :
```
  import os
  os.environ["MSTICPYCONFIG"] = "~/msticpyconfig.yaml"
```
Denne fil importeres automatisk af funktionen init_notebook og angiver MSTICPYCONFIG miljøvariablen for den aktuelle notesbog.
Den kernel.json fil til python-kernen. Brug denne procedure, hvis du planlægger at køre notesbogen manuelt og muligvis uden at kalde funktionen init_notebook i starten.

Der er kerner til Python 3.6 og Python 3.8. Hvis du bruger begge kerner, skal du redigere begge filer.
- Python 3.8-placering: /usr/local/share/jupyter/kernels/python38-azureml/kernel.json
- Python 3.6-placering: /usr/local/share/jupyter/kernels/python3-azureml/kernel.json
Sådan angiver du miljøvariablen i kernel.json-filen :
1. Opret en kopi af filen kernel.json , og åbn originalen i en editor. Du skal muligvis bruge sudo til at overskrive den kernel.json fil, og filindholdet ligner følgende eksempel:
```
{
   "argv": [
   "/anaconda/envs/azureml_py38/bin/python",
   "-m",
   "ipykernel_launcher",
   "-f",
   "{connection_file}"
   ],
   "display_name": "Python 3.8 - AzureML",
   "language": "python"
}
```
2. Tilføj følgende linje efter elementet "language" : "env": { "MSTICPYCONFIG": "~/msticpyconfig.yaml" }
  
  Sørg for at tilføje kommaet i slutningen af "language": "python" linjen. Det kan f.eks. være:
```
{
    "argv": [
    "/anaconda/envs/azureml_py38/bin/python",
    "-m",
    "ipykernel_launcher",
    "-f",
    "{connection_file}"
    ],
    "display_name": "Python 3.8 - AzureML",
    "language": "python",
    "env": { "MSTICPYCONFIG": "~/msticpyconfig.yaml" }
}
```

Bemærk!

Hvis du vil have Linux- og Windows-indstillingerne, skal du genstarte Jupyter-serveren, for at den kan hente den miljøvariabel, du har defineret.

Næste trin

Du kan finde flere oplysninger under:

Emne	Flere referencer
MSTICPy	- Konfiguration af MSTICPy-pakke - MSTICPy-indstillingseditor - Konfiguration af notesbogmiljøet. - MPSettingsEditor-notesbog. Bemærk! GitHub-lageret Azure-Sentinel-notesbøger indeholder også en skabelonfil msticpyconfig.yaml med afsnit med kommentarer, som kan hjælpe dig med at forstå indstillingerne.
notesbøger af Microsoft Sentinel og Jupyter	- Opret din første Microsoft Sentinel notesbog (blogserie) - Jupyter Notesbøger: En introduktion - MSTICPy-dokumentation - dokumentation til Microsoft Sentinel notesbøger - The Infosec Jupyterbook - gennemgang af Linux Host Explorer-notesbog - Hvorfor bruge Jupyter til sikkerhedsundersøgelser - Sikkerhedsundersøgelser med Microsoft Sentinel & notesbøger - Dokumentation til Pandas - Bokeh-dokumentation

Emne

Flere referencer

MSTICPy

- Konfiguration af MSTICPy-pakke
- MSTICPy-indstillingseditor
- Konfiguration af notesbogmiljøet.
- MPSettingsEditor-notesbog.

Bemærk! GitHub-lageret Azure-Sentinel-notesbøger indeholder også en skabelonfil msticpyconfig.yaml med afsnit med kommentarer, som kan hjælpe dig med at forstå indstillingerne.

notesbøger af Microsoft Sentinel og Jupyter

- Opret din første Microsoft Sentinel notesbog (blogserie)
- Jupyter Notesbøger: En introduktion
- MSTICPy-dokumentation
- dokumentation til Microsoft Sentinel notesbøger
- The Infosec Jupyterbook
- gennemgang af Linux Host Explorer-notesbog
- Hvorfor bruge Jupyter til sikkerhedsundersøgelser
- Sikkerhedsundersøgelser med Microsoft Sentinel & notesbøger
- Dokumentation til Pandas
- Bokeh-dokumentation

Feedback

Var denne side nyttig?

Last updated on 2026-04-23