Configurations avancées pour les notebooks Jupyter et MSTICPy dans Microsoft Sentinel

Cet article décrit les configurations avancées permettant d’utiliser des notebooks Jupyter et MSTICPy dans Microsoft Sentinel.

Pour plus d’informations, consultez Utiliser des notebooks Jupyter pour rechercher les menaces de sécurité et Bien démarrer avec les notebooks Jupyter et MSTICPy dans Microsoft Sentinel.

Configuration requise

Cet article fait suite à la rubrique Prise en main des notebooks Jupyter et MSTICPy dans Microsoft Sentinel. Nous vous recommandons d’effectuer le didacticiel avant de poursuivre les procédures avancées décrites dans cet article.

Spécifier les paramètres d’authentification pour les API Azure et Microsoft Sentinel

Cette procédure explique comment configurer les paramètres d’authentification pour Microsoft Sentinel et d’autres ressources d’API Azure dans votre fichier msticpyconfig.yaml.

Pour ajouter Azure paramètres d’API d’authentification et de Microsoft Sentinel dans l’éditeur de paramètres MSTICPy :

Passez à la cellule suivante, avec le code suivant, puis exécutez-la :
```
mpedit.set_tab("Data Providers")
mpedit
```
Sous l’onglet Fournisseurs de données , sélectionnez AzureCLI>Ajouter.
Sélectionnez les méthodes d’authentification à utiliser :
- Bien que vous puissiez utiliser un autre ensemble de méthodes que les méthodes par défaut, cette utilisation n’est pas une configuration classique. Pour plus d’informations, consultez le guide Prise en main pour Azure Sentinel bloc-notes ML Notebooks.
- Sauf si vous souhaitez utiliser l’authentification env (variable d’environnement), laissez les champs clientId, tenantId et clientSecret vides.
- Bien qu’il ne soit pas recommandé, MSTICPy prend également en charge l’utilisation d’ID d’application cliente et de secrets pour votre authentification. Dans ce cas, définissez vos champs clientId, tenantId et clientSecret directement dans l’onglet Fournisseurs de données .
Sélectionnez Enregistrer le fichier pour enregistrer vos modifications.

Définir des fournisseurs de requêtes de chargement automatique

Définissez les fournisseurs de requêtes que vous souhaitez charger automatiquement lorsque vous exécutez la nbinit.init_notebook fonction.

Lorsque vous créez fréquemment de nouveaux notebooks, le chargement automatique des fournisseurs de requêtes peut vous faire gagner du temps en vous assurant que les fournisseurs requis sont chargés avant d’autres composants, tels que les fonctions de tableau croisé dynamique et les notebooklets.

Pour ajouter des fournisseurs de requêtes de chargement automatique :

Passez à la cellule suivante, avec le code suivant, puis exécutez-la :
```
mpedit.set_tab("Autoload QueryProvs")
mpedit
```
Sous l’onglet Chargement automatique de requêteProv :
- Pour Microsoft Sentinel fournisseurs, spécifiez à la fois le nom du fournisseur et le nom de l’espace de travail auquel vous souhaitez vous connecter.
- Pour les autres fournisseurs de requêtes, spécifiez uniquement le nom du fournisseur.
Chaque fournisseur a également les valeurs facultatives suivantes :
- Connexion automatique : Cette option est définie sur True par défaut, et MSTICPy tente de s’authentifier auprès du fournisseur immédiatement après le chargement. MSTICPy suppose que vous avez configuré les informations d’identification du fournisseur dans vos paramètres.
- Alias: Lorsque MSTICPy charge un fournisseur, il affecte le fournisseur à un nom de variable Python. Par défaut, le nom de la variable est qryworkspace_name pour les fournisseurs Microsoft Sentinel et qryprovider_name pour les autres fournisseurs.
  
  Par exemple, si vous chargez un fournisseur de requêtes pour l’espace de travail ContosoSOC , ce fournisseur de requêtes est créé dans votre environnement de notebook avec le nom qry_ContosoSOC. Ajoutez un alias si vous souhaitez utiliser quelque chose de plus court ou plus facile à taper et à mémoriser. Le nom de la variable de fournisseur est qry_<alias>, où <alias> est remplacé par le nom d’alias que vous avez fourni.
  
  Les fournisseurs que vous chargez par ce mécanisme sont également ajoutés à l’attribut MSTICPy current_providers , qui est utilisé, par exemple, dans le code suivant :
```
import msticpy
msticpy.current_providers
```
Sélectionnez Enregistrer les paramètres pour enregistrer vos modifications.

Définir les composants MSTICPy chargés automatiquement

Cette procédure explique comment définir d’autres composants qui sont automatiquement chargés par MSTICPy lorsque vous exécutez la nbinit.init_notebook fonction.

Les composants pris en charge incluent, dans l’ordre suivant :

TILookup : Bibliothèque de fournisseur TI que vous souhaitez utiliser
Geoip: Le fournisseur GeoIP que vous souhaitez utiliser
AzureData : Module que vous utilisez pour interroger des détails sur les ressources Azure
AzureSentinelAPI : Module que vous utilisez pour interroger l’API Microsoft Sentinel
Notebooklets : Notebooklets du package msticnb
Pivot: Fonctions de tableau croisé dynamique

Les composants se chargent dans cet ordre, car le composant Pivot a besoin d’une requête et d’autres fournisseurs chargés pour rechercher les fonctions de tableau croisé dynamique qu’il attache aux entités. Pour plus d’informations, consultez la documentation MSTICPy. Pour plus d’informations, consultez le guide Prise en main pour Azure Sentinel bloc-notes ML Notebooks.

Pour définir les composants MSTICPy chargés automatiquement :

Passez à la cellule suivante, avec le code suivant, puis exécutez-la :
```
mpedit.set_tab("Autoload Components")
mpedit
```
Sous l’onglet Composants de chargement automatique , définissez les valeurs de paramètre en fonction des besoins. Par exemple :
- GeoIpLookup. Entrez le nom du fournisseur GeoIP que vous souhaitez utiliser, GeoLiteLookup ou IPStack.
- Composants AzureData et AzureSentinelAPI. Définissez les valeurs suivantes :
  - auth_methods : Remplacez les paramètres par défaut pour AzureCLI et connectez-vous à l’aide des méthodes sélectionnées.
  - Connexion automatique : Définissez sur false pour charger sans connexion.
  Pour plus d’informations, consultez Spécifier des paramètres d’authentification pour les API Azure et Microsoft Sentinel.
- Notebooklets. Le composant Notebooklets a un seul bloc de paramètres : AzureSentinel.
  
  Spécifiez votre espace de travail Microsoft Sentinel à l’aide de la syntaxe suivante : workspace:\<workspace name>. Le nom de l’espace de travail doit être l’un des espaces de travail définis dans l’onglet Microsoft Sentinel.
  
  Si vous souhaitez ajouter d’autres paramètres à envoyer à la notebooklets init fonction, spécifiez-les sous forme de paires clé :valeur, séparées par des lignes nouvelles. Par exemple :
```
workspace:<workspace name>
providers=["LocalData","geolitelookup"]
```
  Pour plus d’informations, consultez la documentation MSTICNB (MSTIC Notebooklets).
Certains composants, tels que TILookup et Pivot, ne nécessitent aucun paramètre.
Sélectionnez Enregistrer les paramètres pour enregistrer vos modifications.

Basculer entre les noyaux Python 3.6 et 3.8

Si vous basculez entre les noyaux Python 3.65 et 3.8, vous constaterez peut-être que MSTICPy et les autres packages ne sont pas installés comme prévu.

Cela peut se produire lorsque la !pip install pkg commande s’installe correctement dans le premier environnement, mais qu’elle ne s’installe pas correctement dans le second. Cela crée une situation dans laquelle le deuxième environnement ne peut pas importer ou utiliser le package.

Nous vous recommandons de ne pas utiliser !pip install... pour installer des packages dans Azure notebooks Machine Learning. Utilisez plutôt l’une des options suivantes :

Utilisez la ligne magique %pip dans un notebook. Courir:
```
%pip install --upgrade msticpy
```
Installez à partir d’un terminal :
1. Ouvrez un terminal dans Azure notebooks Machine Learning et exécutez les commandes suivantes :
```
conda activate azureml_py38
pip install --upgrade msticpy
```
2. Fermez le terminal et redémarrez le noyau.

Définir une variable d’environnement pour votre fichier msticpyconfig.yaml

Si vous exécutez dans Azure Machine Learning et que votre fichier msticpyconfig.yaml se trouve à la racine de votre dossier utilisateur, MSTICPy recherche automatiquement ces paramètres. Toutefois, si vous exécutez les notebooks dans un autre environnement, suivez les instructions de cette section pour définir une variable d’environnement qui pointe vers l’emplacement de votre fichier de configuration.

La définition du chemin d’accès à votre fichier msticpyconfig.yaml dans une variable d’environnement vous permet de stocker votre fichier dans un emplacement connu et de vous assurer que vous chargez toujours les mêmes paramètres.

Utilisez plusieurs fichiers de configuration, avec plusieurs variables d’environnement, si vous souhaitez utiliser des paramètres différents pour différents notebooks.

Choisissez un emplacement pour votre fichier msticpyconfig.yaml , par exemple dans ~/.msticpyconfig.yaml ou %userprofile %/msticpyconfig.yaml.

Azure utilisateurs ML : si vous stockez votre fichier de configuration dans votre dossier utilisateur Azure Machine Learning, la fonction MSTICPy init_notebook (exécutée dans la cellule d’initialisation) recherche et utilise automatiquement le fichier, et vous n’avez pas besoin de définir une variable d’environnement MSTICPYCONFIG.

Toutefois, si vous avez également des secrets stockés dans le fichier, nous vous recommandons de stocker le fichier de configuration sur le lecteur local de calcul. Le stockage interne de calcul est accessible uniquement à la personne qui a créé le calcul, tandis que le stockage partagé est accessible à toute personne ayant accès à votre espace de travail machine learning Azure.

Pour plus d’informations, consultez Qu’est-ce qu’un instance de calcul Machine Learning Azure ?.
Si nécessaire, copiez votre fichier msticpyconfig.yaml à l’emplacement sélectionné.
Définissez la variable d’environnement MSTICPYCONFIG pour qu’elle pointe vers cet emplacement.

Utilisez l’une des procédures suivantes pour définir la variable d’environnement MSTICPYCONFIG .

Par exemple, pour définir la variable d’environnement MSTICPYCONFIG sur les systèmes Windows :

Déplacez le fichier msticpyconfig.yaml vers le instance de calcul en fonction des besoins.
Ouvrez la boîte de dialogue Propriétés système sous l’onglet Avancé .
Sélectionnez Variables d’environnement... pour ouvrir la boîte de dialogue Variables d’environnement .
Dans la zone Variables système , sélectionnez Nouveau..., puis définissez les valeurs comme suit :
- Nom de la variable : Définir comme MSTICPYCONFIG
- Valeur de la variable : entrez le chemin d’accès à votre fichier msticpyconfig.yaml

Cette procédure décrit comment mettre à jour le fichier .bashrc pour définir la variable d’environnement MSTICPYCONFIG sur Linux systèmes.

Déplacez le fichier msticpyconfig.yaml vers le instance de calcul en fonction des besoins.
Ouvrez un terminal Machine Learning Azure, par exemple à partir de la page Notebooks Microsoft Sentinel.
Vérifiez que vous pouvez accéder à votre fichier msticpyconfig.yaml .

Dans votre terminal Machine Learning Azure, votre répertoire actif doit être le répertoire de base du magasin de fichiers Machine Learning Azure, monté dans le système compute Linux. L’invite ressemble à l’exemple suivant :
```
azureuser@alicecontoso-azml7:~/cloudfiles/code/Users/alicecontoso$
```
Répertoriez tous les fichiers du répertoire de base, y compris le fichier msticpyconfig.yaml , en entrant ls.
Pour déplacer le fichier msticpyconfig.yaml vers le magasin de fichiers de calcul, entrez :
```
mv msticpyconfig.yaml ~
```

Utilisez l’un des processus suivants pour modifier le fichier .bashrc pour votre variable d’environnement :

Command	Étapes
Vim	1. Exécutez : `vim ~/.bashrc` 2. Accédez à la fin du fichier en appuyant sur Maj+G>Fin. 3. Créez une ligne en entrant un , puis en appuyant sur Entrée. 4. Ajoutez votre variable d’environnement, puis appuyez sur Échap pour revenir au mode commande. 5. Enregistrez le fichier en entrant :wq.
Nano	1. Exécutez : `nano ~/.bashrc` 1. Accédez à la fin du fichier en appuyant sur ALT+/ ou OPTION+/. 1. Ajoutez votre variable d’environnement, puis enregistrez votre fichier. Appuyez sur Ctrl+X, puis sur Y.

Ajoutez l’une des variables d’environnement suivantes :

Si vous avez déplacé le fichier msticpyconfig.yaml , exécutez export MSTICPYCONFIG=~/msticpyconfig.yaml.
Si vous n’avez pas déplacé le fichier msticpyconfig.yaml , exécutez export MSTICPYCONFIG=~/cloudfiles/code/Users/<YOURNAME>/msticpyconfig.yaml.

Si vous devez stocker votre fichier msticpyconfig.yaml ailleurs que votre dossier utilisateur Azure Machine Learning, utilisez l’une des options suivantes :

Un fichier nbuser_settings.py à la racine de votre dossier utilisateur. Bien que ce processus soit plus simple et moins intrusif que la modification du fichier kernel.json , il n’est pris en charge que lorsque vous exécutez la init_notebook fonction au début du code de votre notebook. Bien qu’il s’agit du comportement par défaut, si vous exécutez le code du notebook sans exécuter init_notebookau préalable , MSTICPy mmight ne peut pas trouver le fichier de configuration.
1. Dans le terminal Machine Learning Azure, créez le fichier nbuser_settings.py à la racine de votre dossier utilisateur, qui est le dossier avec votre nom d’utilisateur.
2. Dans le fichier nbuser_settings.py , ajoutez les lignes suivantes :
```
  import os
  os.environ["MSTICPYCONFIG"] = "~/msticpyconfig.yaml"
```
Ce fichier est automatiquement importé par la init_notebook fonction et définit la variable d’environnement MSTICPYCONFIG pour le notebook actuel.
Fichier kernel.json pour votre noyau Python. Utilisez cette procédure si vous prévoyez d’exécuter le notebook manuellement, et éventuellement sans appeler la init_notebook fonction au début.

Il existe des noyaux pour Python 3.6 et Python 3.8. Si vous utilisez les deux noyaux, modifiez les deux fichiers.
- Emplacement Python 3.8 : /usr/local/share/jupyter/kernels/python38-azureml/kernel.json
- Emplacement Python 3.6 : /usr/local/share/jupyter/kernels/python3-azureml/kernel.json
Pour définir la variable d’environnement dans le fichier kernel.json :
1. Effectuez une copie du fichier kernel.json et ouvrez l’original dans un éditeur. Vous devrez peut-être utiliser sudo pour remplacer le fichier kernel.json , et le contenu du fichier ressemble à l’exemple suivant :
```
{
   "argv": [
   "/anaconda/envs/azureml_py38/bin/python",
   "-m",
   "ipykernel_launcher",
   "-f",
   "{connection_file}"
   ],
   "display_name": "Python 3.8 - AzureML",
   "language": "python"
}
```
2. Après l’élément "language" , ajoutez la ligne suivante : "env": { "MSTICPYCONFIG": "~/msticpyconfig.yaml" }
  
  Veillez à ajouter la virgule à la fin de la "language": "python" ligne. Par exemple :
```
{
    "argv": [
    "/anaconda/envs/azureml_py38/bin/python",
    "-m",
    "ipykernel_launcher",
    "-f",
    "{connection_file}"
    ],
    "display_name": "Python 3.8 - AzureML",
    "language": "python",
    "env": { "MSTICPYCONFIG": "~/msticpyconfig.yaml" }
}
```

Remarque

Pour les options Linux et Windows, vous devez redémarrer votre serveur Jupyter pour qu’il récupère la variable d’environnement que vous avez définie.

Prochaines étapes

Pour plus d’informations, reportez-vous aux rubriques suivantes :

Sujet	Autres références
MSTICPy	- MSTICPy Package Configuration - Éditeur de paramètres MSTICPy - Configuration de votre environnement de notebook. - Bloc-notes MPSettingsEditor. Remarque : le dépôt GitHub Azure-Sentinel-Notebooks contient également un fichier msticpyconfig.yaml de modèle avec des sections commentées, ce qui peut vous aider à comprendre les paramètres.
notebooks Microsoft Sentinel et Jupyter	- Créer votre premier bloc-notes Microsoft Sentinel (série de blog) - Notebooks Jupyter : introduction - Documentation MSTICPy - documentation Microsoft Sentinel Notebooks - The Infosec Jupyterbook - Linux Hôte Explorer Notebook procédure pas à pas - Pourquoi utiliser Jupyter pour les enquêtes de sécurité - Enquêtes de sécurité avec les notebooks Microsoft Sentinel & - Pandas Documentation - Bokeh Documentation

Sujet

Autres références

MSTICPy

- MSTICPy Package Configuration
- Éditeur de paramètres MSTICPy
- Configuration de votre environnement de notebook.
- Bloc-notes MPSettingsEditor.

Remarque : le dépôt GitHub Azure-Sentinel-Notebooks contient également un fichier msticpyconfig.yaml de modèle avec des sections commentées, ce qui peut vous aider à comprendre les paramètres.

notebooks Microsoft Sentinel et Jupyter

- Créer votre premier bloc-notes Microsoft Sentinel (série de blog)
- Notebooks Jupyter : introduction
- Documentation MSTICPy
- documentation Microsoft Sentinel Notebooks
- The Infosec Jupyterbook
- Linux Hôte Explorer Notebook procédure pas à pas
- Pourquoi utiliser Jupyter pour les enquêtes de sécurité
- Enquêtes de sécurité avec les notebooks Microsoft Sentinel &
- Pandas Documentation
- Bokeh Documentation

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2026-04-23