Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article explique comment exécuter le Prise en main guide pour Microsoft Sentinel bloc-notes ML Notebooks, qui configure des configurations de base pour l’exécution de notebooks Jupyter dans Microsoft Sentinel et fournit des exemples d’exécution de requêtes simples.
Le guide Prise en main pour Microsoft Sentinel notebook ML Notebooks utilise MSTICPy, une bibliothèque Python puissante conçue pour améliorer les enquêtes de sécurité et la chasse aux menaces dans Microsoft Sentinel notebooks. Il fournit des outils intégrés pour l’enrichissement des données, la visualisation, la détection des anomalies et les requêtes automatisées, ce qui aide les analystes à rationaliser leur flux de travail sans codage personnalisé étendu.
Pour plus d’informations, consultez Utiliser des notebooks pour alimenter les investigations et Utiliser des notebooks Jupyter pour rechercher les menaces de sécurité.
Importante
Après le 31 mars 2027, Microsoft Sentinel ne seront plus pris en charge dans le Portail Azure et ne seront disponibles que dans le portail Microsoft Defender. Tous les clients qui utilisent Microsoft Sentinel dans le Portail Azure sont redirigés vers le portail Defender et utilisent Microsoft Sentinel dans le portail Defender uniquement.
Si vous utilisez toujours Microsoft Sentinel dans le Portail Azure, nous vous recommandons de commencer à planifier votre transition vers le portail Defender pour garantir une transition en douceur et tirer pleinement parti de l’expérience unifiée des opérations de sécurité offerte par Microsoft Defender.
Configuration requise
Avant de commencer, vérifiez que vous disposez des autorisations et des ressources nécessaires.
| Conditions préalables | Description |
|---|---|
| Autorisations | Pour utiliser des notebooks dans Microsoft Sentinel, vérifiez que vous disposez des autorisations requises. Pour plus d’informations, consultez Gérer l’accès aux notebooks Microsoft Sentinel. |
| Python | Pour effectuer les étapes décrites dans cet article, vous avez besoin de Python 3.6 ou version ultérieure. Dans Azure Machine Learning, vous pouvez utiliser un noyau Python 3.8 (recommandé) ou un noyau Python 3.6. Si vous utilisez le notebook décrit dans cet article dans un autre environnement Jupyter, vous pouvez utiliser n’importe quel noyau prenant en charge Python 3.6 ou version ultérieure. Pour utiliser des notebooks MSTICPy en dehors de Microsoft Sentinel et Azure Machine Learning (ML), vous devez également configurer votre environnement Python. Installez Python 3.6 ou version ultérieure avec la distribution Anaconda, qui inclut la plupart des packages requis. |
| MaxMind GeoLite2 | Ce notebook utilise le service de recherche de géolocalisation MaxMind GeoLite2 pour les adresses IP. Pour utiliser le service MaxMind GeoLite2, vous avez besoin d’une clé de licence. Vous pouvez vous inscrire pour obtenir un compte gratuit et une clé sur la page d’inscription Maxmind. |
| Virustotal | Ce notebook utilise VirusTotal (VT) comme source de renseignement sur les menaces. Pour utiliser la recherche virusTotal threat intelligence, vous avez besoin d’un compte VirusTotal et d’une clé API. Si vous utilisez une clé d’entreprise VT, stockez-la dans un Azure Key Vault au lieu du fichier msticpyconfig.yaml. Pour plus d’informations, consultez Spécifier des secrets en tant que secrets Key Vault dans la documentation MSTICPY. Si vous ne souhaitez pas configurer de Azure Key Vault pour l’instant, inscrivez-vous et utilisez un compte gratuit jusqu’à ce que vous puissiez configurer Key Vault stockage. |
Installer et exécuter le notebook Prise en main Guide
Cette procédure décrit comment lancer votre notebook avec Microsoft Sentinel.
Pour Microsoft Sentinel dans le portail Defender, sélectionnez Microsoft Sentinel>Notebooks de gestion>. Pour Microsoft Sentinel dans le Portail Azure, sous Gestion des menaces, sélectionnez Notebooks.
Sous l’onglet Modèles, sélectionnez Guide de Prise en main pour les notebooks ML Microsoft Sentinel .
Sélectionnez Créer à partir d’un modèle.
Modifiez le nom et sélectionnez l’espace de travail Machine Learning Azure le cas échéant.
Sélectionnez Enregistrer pour l’enregistrer dans votre espace de travail Machine Learning Azure.
Sélectionnez Lancer le notebook pour exécuter le notebook. Le notebook contient une série de cellules :
- Les cellules Markdown contiennent du texte et des graphiques avec des instructions pour l’utilisation du bloc-notes
- Les cellules de code contiennent du code exécutable qui exécute les fonctions du notebook
En haut de la page, sélectionnez votre calcul.
Continuez en lisant les cellules Markdown et en exécutant les cellules de code dans l’ordre, en suivant les instructions du notebook. Ignorer des cellules ou les exécuter dans le désordre peut entraîner des erreurs plus tard dans le notebook.
Selon la fonction en cours d’exécution, le code dans la cellule peut s’exécuter rapidement, ou l’exécution peut prendre un certain temps. Lorsque la cellule est en cours d’exécution, le bouton de lecture devient un spinner de chargement, et le status s’affiche en bas de la cellule, avec le temps écoulé.
La première fois que vous exécutez une cellule de code, il peut y avoir plusieurs minutes pour démarrer la session, en fonction de vos paramètres de calcul. Une indication Prêt s’affiche lorsque le notebook est prêt à exécuter des cellules de code. Par exemple :
Le Prise en main Guide for Microsoft Sentinel ML Notebooks contient des sections pour les activités suivantes :
| Nom | Description |
|---|---|
| Introduction | Décrire les concepts de base des notebooks et fournit un exemple de code que vous pouvez exécuter pour voir le fonctionnement des notebooks. |
| Initialisation du notebook et de MSTICPy | Vous aide à préparer votre environnement à exécuter le reste du notebook. Lors de l’initialisation du notebook, des avertissements de configuration concernant les paramètres manquants sont attendus, car vous n’avez rien encore configuré. |
| Interrogation de données à partir de Microsoft Sentinel | Vous aide à vérifier, configurer et tester les paramètres Microsoft Sentinel. Utilisez le code de cette section pour vous authentifier auprès de Microsoft Sentinel et exécuter un exemple de requête pour tester la connexion. |
| Configurer et tester des fournisseurs de données externes (VirusTotal et Maxmind GeoLite2) | Vous aide à configurer les paramètres de VirusTotal, en tant qu’exemple de service de renseignement sur les menaces, et de MaxMind GeoLite2, en tant qu’exemple de service de recherche de localisation géographique. Utilisez le code de cette section pour exécuter des exemples de requêtes sur ces fournisseurs de données afin de les tester. |
Le code du guide Prise en main pour les notebooks ML Microsoft Sentinel lance l’outil MpConfigEdit, qui comporte une série d’onglets pour configurer votre environnement de notebook. Lorsque vous apportez des modifications dans l’outil MpConfigEdit , veillez à enregistrer vos modifications avant de continuer. Les paramètres du notebook sont stockés dans le fichier msticpyconfig.yaml , qui est automatiquement rempli avec les détails initiaux de votre espace de travail.
Veillez à lire attentivement les cellules Markdown afin de comprendre complètement le processus, y compris chacun des paramètres et le fichier msticpyconfig.yaml . Les étapes suivantes, les ressources supplémentaires et les questions fréquemment posées à partir du wiki Azure Sentinel Notebooks sont liées à la fin du bloc-notes.
Personnaliser vos requêtes (facultatif)
Le Prise en main Guide for Microsoft Sentinel ML Notebooks fournit des exemples de requêtes que vous pouvez utiliser pour en savoir plus sur les notebooks. Personnalisez les requêtes intégrées en ajoutant une logique de requête supplémentaire ou exécutez des requêtes complètes à l’aide de la exec_query fonction . Par exemple, la plupart des requêtes intégrées prennent en charge le add_query_items paramètre , que vous pouvez utiliser pour ajouter des filtres ou d’autres opérations aux requêtes.
Exécutez la cellule de code suivante pour ajouter une trame de données qui résume le nombre d’alertes par nom d’alerte :
from datetime import datetime, timedelta qry_prov.SecurityAlert.list_alerts( start=datetime.utcnow() - timedelta(28), end=datetime.utcnow(), add_query_items="| summarize NumAlerts=count() by AlertName" )Passez une chaîne de requête Langage de requête Kusto complète (KQL) au fournisseur de requêtes. La requête s’exécute sur l’espace de travail connecté, et les données sont retournées sous la forme d’un DataFrame panda. Courir:
# Define your query test_query = """ OfficeActivity | where TimeGenerated > ago(1d) | take 10 """ # Pass the query to your QueryProvider office_events_df = qry_prov.exec_query(test_query) display(office_events_df.head())
Pour plus d’informations, reportez-vous aux rubriques suivantes :
Appliquer des conseils à d’autres notebooks
Les étapes décrites dans cet article expliquent comment exécuter le Prise en main Guide pour Microsoft Sentinel bloc-notes ML Notebooks dans votre espace de travail Machine Learning Azure via Microsoft Sentinel. Vous pouvez également utiliser cet article comme guide pour effectuer des étapes similaires pour exécuter des notebooks dans d’autres environnements, y compris localement.
Plusieurs notebooks Microsoft Sentinel n’utilisent pas MSTICPy, comme les notebooks d’analyseur d’informations d’identification ou les exemples PowerShell et C#. Les notebooks qui n’utilisent pas MSTICpy n’ont pas besoin de la configuration MSTICPy décrite dans cet article.
Essayez d’autres notebooks Microsoft Sentinel, tels que :
- Configuration de votre environnement de notebook
- Présentation des fonctionnalités des notebooks Cybersec
- Exemples de Machine Learning dans notebooks
- La série Entity Explorer, y compris les variantes pour les comptes, les domaines et les URL, les adresses IP et les hôtes Linux ou Windows.
Pour plus d’informations, reportez-vous aux rubriques suivantes :
- Notebooks Jupyter avec fonctionnalités de chasse Microsoft Sentinel
- Configurations avancées pour les notebooks Jupyter et MSTICPy dans Microsoft Sentinel
- Créer votre premier bloc-notes Microsoft Sentinel (série de blog)
- Linux Host Explorer Notebook procédure pas à pas (blog)
Contenu connexe
Pour plus d’informations, reportez-vous aux rubriques suivantes :