Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Tässä artikkelissa kuvataan aloittaminen Guide for Microsoft Sentinel ML Notebooks -muistikirjan suorittaminen. Siinä määritetään perusmääritykset Jupyter-muistikirjojen suorittamiselle Microsoft Sentinel ja annetaan esimerkkejä yksinkertaisten kyselyiden suorittamisesta.
aloittaminen Guide for Microsoft Sentinel ML Notebooks -muistikirjassa käytetään MSTICPy-kirjastoa, joka on tehokas Python-kirjasto, joka on suunniteltu tehostamaan tietoturvatutkintaa ja uhkien metsästystä Microsoft Sentinel muistikirjoissa. Se tarjoaa valmiita työkaluja tietojen rikastamiseen, visualisointiin, poikkeamien tunnistamiseen ja automatisoituihin kyselyihin, mikä auttaa analyytikoita virtaviivaistamaan työnkulkujaan ilman laajaa mukautettua koodausta.
Lisätietoja on ohjeaiheessa Muistikirjojen käyttäminen tutkintaa varten ja Suojausuhkien etsiminen Jupyter-muistikirjojen avulla.
Tärkeää
31.3.2027 jälkeen Microsoft Sentinel ei enää tueta Azure-portaali ja se on käytettävissä vain Microsoft Defender-portaalissa. Kaikki asiakkaat, jotka käyttävät Microsoft Sentinel Azure-portaali, ohjataan Defender-portaaliin ja he käyttävät Microsoft Sentinel vain Defender-portaalissa.
Jos käytät edelleen Microsoft Sentinel Azure-portaali, suosittelemme, että aloitat Defender-portaaliin siirtymisen suunnittelun, jotta siirtyminen olisi sujuvaa ja jotta voit hyödyntää täysin Microsoft Defender tarjoamaa yhtenäistä suojaustoimintokokemusta.
Ennakkovaatimukset
Varmista ennen aloittamista, että sinulla on tarvittavat käyttöoikeudet ja resurssit.
| Edellytys | Kuvaus |
|---|---|
| Käyttöoikeudet | Jos haluat käyttää muistikirjoja Microsoft Sentinel, varmista, että sinulla on tarvittavat käyttöoikeudet. Lisätietoja on artikkelissa Microsoft Sentinel muistikirjojen käyttöoikeuksien hallinta. |
| Python | Tarvitset python 3.6:n tai uudemman, jotta voit suorittaa tämän artikkelin vaiheet. Azure koneoppimisessa voit käyttää joko Python 3.8 -ydintä (suositus) tai Python 3.6 -ydintä. Jos käytät tässä artikkelissa kuvattua muistikirjaa toisessa Jupyter-ympäristössä, voit käyttää mitä tahansa ydintä, joka tukee Python 3.6:ta tai uudempaa versiota. Jos haluat käyttää MSTICPy-muistikirjoja Microsoft Sentinel ja Azure koneoppimisen (ML) ulkopuolella, sinun on myös määritettävä Python-ympäristösi. Asenna Python 3.6 tai uudempi Anaconda-jakeluun, joka sisältää useita vaadittuja paketteja. |
| MaxMind GeoLite2 | Tämä muistikirja käyttää MaxMind GeoLite2 -maantieteellisen sijainnin hakupalvelua IP-osoitteille. Tarvitset käyttöoikeusavaimen, jotta voit käyttää MaxMind GeoLite2 -palvelua. Voit rekisteröityä ilmaisen tilin ja avaimen käyttäjäksi Maxmind-kirjautumissivulta. |
| Virustotal | Tässä muistikirjassa käytetään VirusTotal-tietolähdettä (VT) uhkatietolähteenä. Jotta voit käyttää VirusTotal-uhkatietojen hakua, tarvitset VirusTotal-tilin ja ohjelmointirajapinnan avaimen. Jos käytät VT-yritysavainta, tallenna se Azure Key Vault msticpyconfig.yaml-tiedoston sijaan. Lisätietoja on MSTICPY-dokumentaation kohdassa Salaisten koodien määrittäminen Key Vault salaisuuksia. Jos et halua määrittää Azure Key Vault juuri nyt, rekisteröidy ja käytä maksutonta tiliä, kunnes voit määrittää Key Vault tallennustilan. |
Asenna ja suorita aloittaminen-oppaan muistikirja
Näissä ohjeissa kuvataan, miten voit käynnistää muistikirjan Microsoft Sentinel avulla.
Jos haluat Microsoft Sentinel Defender-portaalissa, valitse Microsoft Sentinel>Uhkiahallintamuistikirjat>. Valitse Azure-portaali Microsoft Sentinel Kohdassa Uhkien hallintaMuistikirjat.
Valitse Mallit-välilehdeltäaloittaminen opas Microsoft Sentinel automaattianalyysipalveluiden muistikirjoille .
Valitse Luo mallista.
Muokkaa nimeä ja valitse Azure Automaattianalyysipalvelut-työtila tarpeen mukaan.
Valitse Tallenna tallentaaksesi sen Azure Automaattianalyysipalvelut-työtilaan.
Suorita muistikirja valitsemalla Käynnistä muistikirja. Muistikirja sisältää solusarjoja:
- Markdown-solut sisältävät tekstiä ja grafiikkaa sekä ohjeita muistikirjan käyttöön
- Koodisolut sisältävät suoritettavaa koodia, joka suorittaa muistikirjafunktioita
Valitse sivun yläreunasta Käsittely.
Jatka lukemalla Markdown-soluja ja suorittamalla koodisoluja järjestyksessä muistikirjan ohjeiden mukaisesti. Solujen ohittaminen tai niiden suorittaminen epäkunnossa saattaa aiheuttaa virheitä myöhemmin muistikirjassa.
Suoritettavasta funktiosta riippuen solun koodi saattaa toimia nopeasti, tai sen suorittaminen voi kestää jonkin aikaa. Kun solu on käynnissä, toistopainike muuttuu lataavaksi askellinta, ja tila näkyy solun alaosassa yhdessä kuluneen ajan kanssa.
Kun suoritat koodisolun ensimmäistä kertaa, istunnon aloittaminen voi kestää muutamia minuutteja käsittelyasetusten mukaan. Ready-ilmaisin näytetään, kun muistikirja on valmis suorittamaan koodisoluja. Esimerkki:
koneoppimismuistikirjojen Microsoft Sentinel aloittaminen -opas sisältää osioita seuraavia toimintoja varten:
| Nimi | Kuvaus |
|---|---|
| Johdanto | Kirjoita muistikirjan perusasiat ja anna mallikoodi, jonka voit suorittaa, jotta näet, miten muistikirjat toimivat. |
| Alustetaan muistikirjaa ja MSTICPy-toimintoa | Auttaa valmistelemaan ympäristön muistikirjan loppuosan suorittamiseen. Muistikirjaa alustettaessa odotetaan puuttuvia asetuksia koskevat määritysvaroitukset, koska et ole vielä määrittänyt mitään. |
| Tietojen kyseleminen Microsoft Sentinel | Auttaa tarkistamaan, määrittämään ja testaamaan Microsoft Sentinel asetuksia. Tämän osan koodin avulla voit todentaa Microsoft Sentinel ja suorittaa mallikyselyn yhteyden testaamiseksi. |
| Määritä ja testaa ulkoisia tietopalveluja (VirusTotal ja Maxmind GeoLite2) | Auttaa määrittämään VirusTotal-asetukset uhkatietopalveluna ja MaxMind GeoLite2 -palvelun sijaintitietojen hakupalveluesimerkkinä. Tämän osion koodin avulla voit suorittaa esimerkkikyselyitä näitä tietopalveluita vastaan niiden testaamiseksi. |
aloittaminen Guide For Microsoft Sentinel ML Notebooks -oppaan koodi käynnistää MpConfigEdit-työkalun, jossa on välilehtiä muistikirjaympäristön määrittämiseen. Kun teet muutoksia MpConfigEdit-työkalussa , muista tallentaa muutoksesi ennen jatkamista. Muistikirjan asetukset tallennetaan msticpyconfig.yaml-tiedostoon , johon täytetään automaattisesti työtilasi alkuperäiset tiedot.
Muista lukea markdown-solut huolellisesti, jotta ymmärrät prosessin kokonaan, mukaan lukien kaikki asetukset ja msticpyconfig.yaml-tiedosto . Seuraavat vaiheet, lisäresurssit ja usein kysytyt kysymykset Azure Sentinel Notebooks wiki -sivustosta linkitetään muistikirjan lopusta.
Kyselyiden mukauttaminen (valinnainen)
aloittaminen guide for Microsoft Sentinel ML Notebooks -muistikirja sisältää mallikyselyitä, joita voit käyttää, kun tutustut muistikirjoihin. Mukauta sisäisiä kyselyitä lisäämällä kyselylogiikkaa tai suorittamalla valmiit kyselyt -funktiolla exec_query . Esimerkiksi useimmat sisäiset kyselyt tukevat add_query_items parametria, jonka avulla voit liittää kyselyihin suodattimia tai muita toimintoja.
Suorita seuraava koodisolu, jos haluat lisätä tietokehyksen, joka tekee yhteenvedon ilmoitusten määrästä ilmoituksen nimen mukaan:
from datetime import datetime, timedelta qry_prov.SecurityAlert.list_alerts( start=datetime.utcnow() - timedelta(28), end=datetime.utcnow(), add_query_items="| summarize NumAlerts=count() by AlertName" )Välitä täysi Kusto Query Language (KQL) -kyselymerkkijono kyselypalveluun. Kysely suoritetaan yhdistettyä työtilaa vastaan, ja tiedot palautetaan panda DataFrame-kehyksinä. Suorita:
# Define your query test_query = """ OfficeActivity | where TimeGenerated > ago(1d) | take 10 """ # Pass the query to your QueryProvider office_events_df = qry_prov.exec_query(test_query) display(office_events_df.head())
Lisätietoja on seuraavissa artikkeleissa:
Ohjeiden käyttäminen muissa muistikirjoissa
Tämän artikkelin vaiheissa kuvataan, miten Microsoft Sentinel koneoppimismuistikirjojen aloittaminen-opas suoritetaan Azure Automaattianalyysipalvelut-työtilassa Microsoft Sentinel kautta. Voit myös käyttää tätä artikkelia ohjeena samanlaisten vaiheiden suorittamiseen muistikirjojen suorittamiseksi muissa ympäristöissä, myös paikallisesti.
Useissa Microsoft Sentinel muistikirjoissa ei käytetä MSTICPy-toimintoa, kuten tunnistetietojen tarkistusmuistikirjoja tai PowerShell- ja C#-esimerkkejä. Muistikirjat, jotka eivät käytä MSTICpy-kohdetta, eivät tarvitse tässä artikkelissa kuvattuja MSTICPy-määrityksiä.
Kokeile muita Microsoft Sentinel muistikirjoja, kuten:
- Muistikirjaympäristön määrittäminen
- Cybersec-muistikirjan ominaisuuksien esittely
- Koneoppiminen muistikirjoissa Esimerkkejä
- Entity Explorer -sarja, joka sisältää muunnelmia tileille, toimialueille ja URL-osoitteille, IP-osoitteille ja Linux tai Windows-isännille.
Lisätietoja on seuraavissa artikkeleissa:
- Jupyter-muistikirjat, joissa on Microsoft Sentinel metsästysominaisuudet
- Jupyter-muistikirjojen ja MSTICPy-Microsoft Sentinel lisämääritykset
- Ensimmäisen Microsoft Sentinel muistikirjan luominen (blogisarja)
- Linux Host Explorer -muistikirjan vaiheittaiset ohjeet (blogi)
Aiheeseen liittyvä sisältö
Lisätietoja on seuraavissa artikkeleissa: