Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Los cuadernos de Jupyter Notebook combinan la programación completa con una gran colección de bibliotecas para el aprendizaje automático, la visualización y el análisis de datos. Estos atributos hacen de Jupyter una herramienta atractiva para la investigación y búsqueda de seguridad.
La base de Microsoft Sentinel es el almacén de datos; combina consultas de alto rendimiento, esquema dinámico y escalas a volúmenes de datos masivos. La Azure Portal y todas las herramientas de Microsoft Sentinel usan una API común para acceder a este almacén de datos. La misma API también está disponible para herramientas externas como cuadernos de Jupyter Notebook y Python.
Importante
Después del 31 de marzo de 2027, Microsoft Sentinel ya no se admitirá en el Azure Portal y solo estará disponible en el portal de Microsoft Defender. Todos los clientes que usen Microsoft Sentinel en el Azure Portal se redirigirán al portal de Defender y solo usarán Microsoft Sentinel en el portal de Defender.
Si sigue usando Microsoft Sentinel en el Azure Portal, le recomendamos que empiece a planear la transición al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia de operaciones de seguridad unificadas que ofrece Microsoft Defender.
Cuándo usar cuadernos de Jupyter Notebook
Aunque se pueden realizar muchas tareas comunes en el portal, Jupyter amplía el ámbito de lo que puede hacer con estos datos.
Por ejemplo, use cuadernos para:
- Realizar análisis que no se proporcionan de forma inmediata en Microsoft Sentinel, como algunas características de aprendizaje automático de Python
- Creación de visualizaciones de datos que no se proporcionan de forma inmediata en Microsoft Sentinel, como escalas de tiempo personalizadas y árboles de proceso
- Integre orígenes de datos fuera de Microsoft Sentinel, como un conjunto de datos local.
Hemos integrado la experiencia de Jupyter en la Azure Portal, lo que facilita la creación y ejecución de cuadernos para analizar los datos. La biblioteca Kqlmagic proporciona el pegado que le permite tomar consultas de Lenguaje de consulta Kusto (KQL) desde Microsoft Sentinel y ejecutarlas directamente dentro de un cuaderno.
Varios cuadernos, desarrollados por algunos de los analistas de seguridad de Microsoft, se empaquetan con Microsoft Sentinel:
- Algunos de estos cuadernos se compilan para un escenario específico y se pueden usar tal cual.
- Otros están diseñados como ejemplos para ilustrar técnicas y características que puede copiar o adaptar para su uso en sus propios cuadernos.
Importe otros cuadernos desde el repositorio de GitHub de Microsoft Sentinel.
Funcionamiento de los cuadernos de Jupyter Notebook
Los cuadernos tienen dos componentes:
- Interfaz basada en explorador, donde se escriben y ejecutan consultas y código, y donde se muestran los resultados de la ejecución.
- Kernel que es responsable de analizar y ejecutar el propio código.
El kernel del cuaderno de Microsoft Sentinel se ejecuta en una máquina virtual (VM) Azure. La instancia de máquina virtual puede admitir la ejecución de muchos cuadernos a la vez. Si los cuadernos incluyen modelos de aprendizaje automático complejos, existen varias opciones de licencia para usar máquinas virtuales más eficaces.
Descripción de los paquetes de Python
Los cuadernos de Microsoft Sentinel usan muchas bibliotecas populares de Python, como pandas, matplotlib, bokeh y otras. Hay muchos otros paquetes de Python entre los que elegir, que abarcan áreas como:
- Visualizaciones y gráficos
- Procesamiento y análisis de datos
- Estadísticas y computación numérica
- Aprendizaje automático y aprendizaje profundo
Para evitar tener que escribir o pegar código complejo y repetitivo en celdas de cuaderno, la mayoría de los cuadernos de Python se basan en bibliotecas de terceros denominadas paquetes. Para usar un paquete en un cuaderno, debe instalar e importar el paquete. Azure Proceso de Machine Learning tiene los paquetes más comunes preinstalados. Asegúrese de importar el paquete o la parte pertinente del paquete, como un módulo, un archivo, una función o una clase.
Microsoft Sentinel cuadernos usan un paquete de Python denominado MSTICPy, que es una colección de herramientas de ciberseguridad para la recuperación, el análisis, el enriquecimiento y la visualización de datos.
Las herramientas de MSTICPy están diseñadas específicamente para ayudar a crear cuadernos para la búsqueda y la investigación, y estamos trabajando activamente en nuevas características y mejoras. Para más información, vea:
- Documentación de MSTIC Jupyter y Python Security Tools
- Introducción a los cuadernos de Jupyter Notebook y MSTICPy en Microsoft Sentinel
- Configuraciones avanzadas para cuadernos de Jupyter Notebook y MSTICPy en Microsoft Sentinel
Buscar cuadernos
En Microsoft Sentinel, seleccione Cuadernos para ver los cuadernos que Microsoft Sentinel proporciona. Obtenga más información sobre el uso de cuadernos en búsqueda e investigación de amenazas mediante la exploración de plantillas de cuaderno, como el examen de credenciales en Azure Log Analytics y la investigación guiada: alertas de proceso.
Para obtener más cuadernos creados por Microsoft o aportados desde la comunidad, vaya a Microsoft Sentinel repositorio de GitHub. Use cuadernos compartidos en el repositorio de GitHub Microsoft Sentinel como herramientas útiles, ilustraciones y ejemplos de código que puede usar al desarrollar sus propios cuadernos.
El
Sample-Notebooksdirectorio incluye cuadernos de ejemplo que se guardan con datos que puede usar para mostrar la salida prevista.El
HowTosdirectorio incluye cuadernos que describen conceptos como la configuración de la versión predeterminada de Python, la creación de marcadores de Microsoft Sentinel desde un cuaderno, etc.
Administración del acceso a cuadernos de Microsoft Sentinel
Para usar cuadernos de Jupyter Notebook en Microsoft Sentinel, primero debe tener los permisos adecuados, en función del rol de usuario.
Aunque puede ejecutar Microsoft Sentinel cuadernos en JupyterLab o Jupyter classic, en Microsoft Sentinel, los cuadernos se ejecutan en una plataforma de Machine Learning Azure. Para ejecutar cuadernos en Microsoft Sentinel, debe tener acceso adecuado a Microsoft Sentinel área de trabajo y a un área de trabajo de Machine Learning Azure.
| Permiso | Descripción |
|---|---|
| permisos de Microsoft Sentinel | Al igual que otros recursos de Microsoft Sentinel, para acceder a cuadernos en Microsoft Sentinel hoja Cuadernos, un lector de Microsoft Sentinel, un respondedor de Microsoft Sentinel o un rol colaborador de Microsoft Sentinel es Obligatorio. Para obtener más información, vea Permisos en Microsoft Sentinel. |
| Azure permisos de Machine Learning | Un área de trabajo Azure Machine Learning es un recurso Azure. Al igual que otros recursos de Azure, cuando se crea una nueva Azure área de trabajo de Machine Learning, viene con roles predeterminados. Puede agregar usuarios al área de trabajo y asignarlos a uno de estos roles integrados. Para obtener más información, consulte Azure roles predeterminados de Machine Learning y Azure roles integrados. Importante: El acceso a roles se puede limitar a varios niveles en Azure. Por ejemplo, es posible que alguien con acceso de propietario a un área de trabajo no tenga acceso de propietario al grupo de recursos que contiene el área de trabajo. Para obtener más información, vea Cómo funciona Azure RBAC. Si es propietario de una Azure área de trabajo de ML, puede agregar y quitar roles para el área de trabajo y asignar roles a los usuarios. Para más información, vea: - Azure Portal - PowerShell - CLI de Azure - REST API - plantillas de Azure Resource Manager - AZURE CLI de Machine Learning Si los roles integrados son insuficientes, también puede crear roles personalizados. Los roles personalizados pueden tener permisos de recursos de lectura, escritura, eliminación y proceso en ese área de trabajo. Puede hacer que el rol esté disponible en un nivel de área de trabajo específico, un nivel de grupo de recursos específico o un nivel de suscripción específico. Para obtener más información, consulte Creación de un rol personalizado. |
Enviar comentarios para un cuaderno
Envíe comentarios, solicitudes de características, informes de errores o mejoras en los cuadernos existentes. Vaya al repositorio de GitHub Microsoft Sentinel para crear un problema o bifurcar y cargar una contribución.
Contenido relacionado
- Búsqueda de amenazas de seguridad con cuadernos de Jupyter Notebook
- Introducción a los cuadernos de Jupyter Notebook y MSTICPy en Microsoft Sentinel
- Búsqueda proactiva de amenazas
- Realizar un seguimiento de los datos durante la búsqueda con Microsoft Sentinel
Para ver blogs, vídeos y otros recursos, consulte:
- Crear el primer cuaderno de Microsoft Sentinel (serie de blogs)
- Tutorial: cuadernos de Microsoft Sentinel: Introducción (vídeo)
- Tutorial: Edición y ejecución de cuadernos de Jupyter Notebook sin salir de Estudio de Azure Machine Learning (vídeo)
- Detectar fugas de credenciales mediante cuadernos de Azure Sentinel (vídeo)
- Seminario web: Microsoft Sentinel aspectos básicos de los cuadernos (vídeo)
- Jupyter, msticpy y Microsoft Sentinel