Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Denne artikkelen beskriver hvordan du kjører Komme i gang Guide For Microsoft Sentinel ML Notebooks-notatblokken, som konfigurerer grunnleggende konfigurasjoner for å kjøre Jupyter-notatblokker i Microsoft Sentinel, og inneholder eksempler for kjøring av enkle spørringer.
Komme i gang-veiledningen for Microsoft Sentinel ML Notebooks-notatblokk bruker MSTICPy, et kraftig Python-bibliotek som er utformet for å forbedre sikkerhetsundersøkelser og trusseljakt i Microsoft Sentinel notatblokker. Den inneholder innebygde verktøy for databerikelse, visualisering, avviksregistrering og automatiserte spørringer, slik at analytikere effektiviserer arbeidsflyten uten omfattende egendefinert koding.
Hvis du vil ha mer informasjon, kan du se Bruke notatblokker til å drive undersøkelser og bruke Jupyter-notatblokker til å lete etter sikkerhetstrusler.
Viktig
Etter 31. mars 2027 vil Microsoft Sentinel ikke lenger støttes i Azure Portal og vil bare være tilgjengelig i Microsoft Defender-portalen. Alle kunder som bruker Microsoft Sentinel i Azure Portal, blir omdirigert til Defender-portalen og vil bare bruke Microsoft Sentinel i Defender-portalen.
Hvis du fortsatt bruker Microsoft Sentinel i Azure Portal, anbefaler vi at du begynner å planlegge overgangen til Defender-portalen for å sikre en jevn overgang og dra full nytte av opplevelsen av enhetlige sikkerhetsoperasjoner som tilbys av Microsoft Defender.
Forutsetninger
Før du begynner, må du kontrollere at du har de nødvendige tillatelsene og ressursene.
| Forutsetning | Beskrivelse |
|---|---|
| Tillatelser | Hvis du vil bruke notatblokker i Microsoft Sentinel, må du kontrollere at du har de nødvendige tillatelsene. Hvis du vil ha mer informasjon, kan du se Administrere tilgang til Microsoft Sentinel notatblokker. |
| Python | Hvis du vil utføre trinnene i denne artikkelen, trenger du Python 3.6 eller nyere. I Azure Machine Learning kan du bruke enten en Python 3.8-kjerne (anbefales) eller en Python 3.6-kjerne. Hvis du bruker notatblokken som er beskrevet i denne artikkelen i et annet Jupyter-miljø, kan du bruke alle kjerner som støtter Python 3.6 eller nyere. Hvis du vil bruke MSTICPy-notatblokker utenfor Microsoft Sentinel og Azure Machine Learning (ML), må du også konfigurere Python-miljøet. Installer Python 3.6 eller nyere med Anaconda-distribusjonen, som inkluderer mange av de nødvendige pakkene. |
| MaxMind GeoLite2 | Denne notatblokken bruker geolokasjonsoppslagstjenesten MaxMind GeoLite2 for IP-adresser. Hvis du vil bruke MaxMind GeoLite2-tjenesten, trenger du en lisensnøkkel. Du kan registrere deg for en gratis konto og nøkkel på Maxmind-registreringssiden. |
| Virustotal | Denne notatblokken bruker VirusTotal (VT) som en trusselintelligenskilde. Hvis du vil bruke VirusTotal trusselintelligensoppslag, trenger du en VirusTotal-konto og API-nøkkel. Hvis du bruker en VT-virksomhetsnøkkel, lagrer du den en Azure Key Vault i stedet for msticpyconfig.yaml-filen. Hvis du vil ha mer informasjon, kan du se Angi hemmeligheter som Key Vault hemmeligheter i MSTICPY-dokumentasjonen. Hvis du ikke vil konfigurere en Azure Key Vault akkurat nå, kan du registrere deg for og bruke en gratis konto til du kan konfigurere Key Vault lagringsplass. |
Installere og kjøre Komme i gang veiledningsnotatblokk
Denne fremgangsmåten beskriver hvordan du starter notatblokken med Microsoft Sentinel.
Hvis du vil ha Microsoft Sentinel i Defender-portalen, velger du Microsoft Sentinel>Lese notatblokker for administrasjon>. Velg Notatblokker under Trusselbehandling for Microsoft Sentinel i Azure Portal.
Velg A Komme i gang Veiledning for Microsoft Sentinel ML-notatblokker fra Maler-fanen.
Velg Opprett fra mal.
Rediger navnet, og velg arbeidsområdet Azure Machine Learning etter behov.
Velg Lagre for å lagre den i arbeidsområdet for Azure Machine Learning.
Velg Start notatblokk for å kjøre notatblokken. Notatblokken inneholder en rekke celler:
- Markdown-celler inneholder tekst og grafikk med instruksjoner for bruk av notatblokken
- Kodeceller inneholder kjørbar kode som utfører notatblokkfunksjonene
Velg databehandling øverst på siden.
Fortsett ved å lese markdown-celler og kjøre kodeceller i rekkefølge ved hjelp av instruksjonene i notatblokken. Hvis du hopper over celler eller kjører dem utenfor rekkefølge, kan det føre til feil senere i notatblokken.
Koden i cellen kan kjøre raskt, eller det kan ta litt tid å fullføre, avhengig av hvilken funksjon som utføres. Når cellen kjører, endres avspillingsknappen til en innlastingsspinner, og statusen vises nederst i cellen, sammen med det forløpte tidspunktet.
Første gang du kjører en kodecelle, kan det være flere minutter å starte økten, avhengig av databehandlingsinnstillingene. En klar indikasjon vises når notatblokken er klar til å kjøre kodeceller. Eksempel:
Komme i gang-veiledningen for Microsoft Sentinel ML-notatblokker inneholder inndelinger for følgende aktiviteter:
| Navn | Beskrivelse |
|---|---|
| Innledning | Beskriv grunnleggende notatblokk og inneholder eksempelkode du kan kjøre for å se hvordan notatblokker fungerer. |
| Initialisere notatblokken og MSTICPy | Hjelper deg med å gjøre miljøet klart til å kjøre resten av notatblokken. Når du initialiserer notatblokken, forventes konfigurasjonsadvarsler om manglende innstillinger fordi du ikke har konfigurert noe ennå. |
| Spør etter data fra Microsoft Sentinel | Hjelper deg med å bekrefte, konfigurere og teste Microsoft Sentinel innstillingene. Bruk koden i denne delen til å godkjenne for å Microsoft Sentinel og kjøre en eksempelspørring for å teste tilkoblingen. |
| Konfigurere og teste eksterne dataleverandører (VirusTotal og Maxmind GeoLite2) | Hjelper deg med å konfigurere innstillinger for VirusTotal, som en eksempeltjeneste for trusselintelligens og MaxMind GeoLite2, som en eksempeltjeneste for geoplasseringsoppslag. Bruk koden i denne delen til å kjøre eksempelspørringer mot disse dataleverandørene for å teste dem. |
Koden i Komme i gang Guide For Microsoft Sentinel ML Notebooks starter MpConfigEdit-verktøyet, som har en rekke faner for konfigurasjon av notatblokkmiljøet. Når du gjør endringer i MpConfigEdit-verktøyet , må du huske å lagre endringene før du fortsetter. Innstillingene for notatblokken lagres i msticpyconfig.yaml-filen , som automatisk fylles ut med innledende detaljer for arbeidsområdet.
Pass på å lese gjennom markdown-cellene nøye slik at du forstår prosessen fullstendig, inkludert hver av innstillingene og msticpyconfig.yaml-filen . Neste trinn, ekstra ressurser og vanlige spørsmål fra wikien Azure Sentinel notatblokker kobles fra slutten av notatblokken.
Tilpasse spørringene (valgfritt)
Komme i gang-veiledningen for Microsoft Sentinel ML-notatblokker inneholder eksempelspørringer som du kan bruke når du lærer om notatblokker. Tilpass de innebygde spørringene ved å legge til mer spørringslogikk, eller kjør fullstendige spørringer ved hjelp av exec_query funksjonen. De fleste innebygde spørringer støtter for eksempel parameteren add_query_items , som du kan bruke til å tilføye filtre eller andre operasjoner i spørringene.
Kjør følgende kodecelle for å legge til en dataramme som oppsummerer antall varsler etter varselnavn:
from datetime import datetime, timedelta qry_prov.SecurityAlert.list_alerts( start=datetime.utcnow() - timedelta(28), end=datetime.utcnow(), add_query_items="| summarize NumAlerts=count() by AlertName" )Send en fullstendig spørringsstreng for Kusto Query Language (KQL) til spørringsleverandøren. Spørringen kjøres mot det tilkoblede arbeidsområdet, og dataene returneres som en panda DataFrame. Kjøre:
# Define your query test_query = """ OfficeActivity | where TimeGenerated > ago(1d) | take 10 """ # Pass the query to your QueryProvider office_events_df = qry_prov.exec_query(test_query) display(office_events_df.head())
Hvis du vil ha mer informasjon, kan du se:
Bruke veiledning for andre notatblokker
Fremgangsmåten i denne artikkelen beskriver hvordan du kjører Komme i gang-veiledningen for Microsoft Sentinel ML-notatblokker i Azure Machine Learning-arbeidsområdet via Microsoft Sentinel. Du kan også bruke denne artikkelen som veiledning for å utføre lignende trinn for å kjøre notatblokker i andre miljøer, inkludert lokalt.
Flere Microsoft Sentinel notatblokker bruker ikke MSTICPy, for eksempel notatblokkene credential scanner eller PowerShell og C#. Notatblokker som ikke bruker MSTICpy, trenger ikke MSTICPy-konfigurasjonen som er beskrevet i denne artikkelen.
Prøv andre Microsoft Sentinel notatblokker, for eksempel:
- Konfigurere notatblokkmiljøet
- En innføring i nettsekunders notatblokkfunksjoner
- Eksempler på maskinlæring i notatblokker
- Entity Explorer-serien, inkludert variasjoner for kontoer, domener og nettadresser, IP-adresser og Linux- eller Windows-verter.
Hvis du vil ha mer informasjon, kan du se:
- Jupyter-notatblokker med Microsoft Sentinel jaktfunksjoner
- Avanserte konfigurasjoner for Jupyter-notatblokker og MSTICPy i Microsoft Sentinel
- Opprette din første Microsoft Sentinel notatblokk (bloggserie)
- gjennomgang av notatblokk for Linux-vertsutforsker (blogg)
Beslektet innhold
Hvis du vil ha mer informasjon, kan du se: