Geavanceerde configuraties voor Jupyter-notebooks en MSTICPy in Microsoft Sentinel

In dit artikel worden geavanceerde configuraties beschreven voor het werken met Jupyter-notebooks en MSTICPy in Microsoft Sentinel.

Zie Jupyter-notebooks gebruiken om beveiligingsrisico's op te sporen en Aan de slag met Jupyter-notebooks en MSTICPy in Microsoft Sentinel voor meer informatie.

Vereisten

Dit artikel is een vervolg op Aan de slag met Jupyter-notebooks en MSTICPy in Microsoft Sentinel. U wordt aangeraden de zelfstudie uit te voeren voordat u verdergaat met de geavanceerde procedures die in dit artikel worden beschreven.

Verificatieparameters opgeven voor Azure- en Microsoft Sentinel-API's

In deze procedure wordt beschreven hoe u verificatieparameters configureert voor Microsoft Sentinel en andere Azure API-resources in uw bestand msticpyconfig.yaml.

Ga als volgt te werk om Azure verificatie en Microsoft Sentinel API-instellingen toe te voegen in de instellingeneditor van MSTICPy:

Ga naar de volgende cel met de volgende code en voer deze uit:
```
mpedit.set_tab("Data Providers")
mpedit
```
Selecteer op het tabblad Gegevensprovidersde optie AzureCLI>Toevoegen.
Selecteer de verificatiemethoden die u wilt gebruiken:
- Hoewel u een andere set methoden kunt gebruiken dan de standaardinstellingen, is dit gebruik geen standaardconfiguratie. Zie de Aan de slag Guide for Azure Sentinel ML Notebooks notebook (Handleiding voor Azure Sentinel ML Notebooks) voor meer informatie.
- Tenzij u de verificatie env (omgevingsvariabele) wilt gebruiken, laat u de velden clientId, tenantId en clientSecret leeg.
- Hoewel niet aanbevolen, ondersteunt MSTICPy ook het gebruik van client-app-id's en geheimen voor uw verificatie. In dergelijke gevallen definieert u de velden clientId, tenantId en clientSecret rechtstreeks op het tabblad Gegevensproviders .
Selecteer Bestand opslaan om uw wijzigingen op te slaan.

Providers voor automatisch laden van query's definiëren

Definieer de queryproviders die MSTICPy automatisch moet laden wanneer u de nbinit.init_notebook functie uitvoert.

Wanneer u regelmatig nieuwe notitieblokken ontwerpt, kunt u tijd besparen door queryproviders automatisch te laden door ervoor te zorgen dat vereiste providers worden geladen vóór andere onderdelen, zoals draaifuncties en notebooklets.

Providers voor automatisch laden van query's toevoegen:

Ga naar de volgende cel met de volgende code en voer deze uit:
```
mpedit.set_tab("Autoload QueryProvs")
mpedit
```
Op het tabblad QueryProv automatisch laden :
- Geef voor Microsoft Sentinel providers zowel de providernaam als de naam van de werkruimte op waarmee u verbinding wilt maken.
- Geef voor andere queryproviders alleen de naam van de provider op.
Elke provider heeft ook de volgende optionele waarden:
- Automatisch verbinding maken: Deze optie is standaard gedefinieerd als Waar en MSTICPy probeert direct na het laden te verifiëren bij de provider. MSTICPy gaat ervan uit dat u referenties voor de provider hebt geconfigureerd in uw instellingen.
- Alias: Wanneer MSTICPy een provider laadt, wordt de provider toegewezen aan een Python-variabelenaam. De naam van de variabele wordt standaard qryworkspace_name voor Microsoft Sentinel providers en qryprovider_name voor andere providers.
  
  Als u bijvoorbeeld een queryprovider laadt voor de ContosoSOC-werkruimte , wordt deze queryprovider gemaakt in uw notebookomgeving met de naam qry_ContosoSOC. Voeg een alias toe als u iets korter of eenvoudiger wilt gebruiken om te typen en te onthouden. De naam van de providervariabele is qry_<alias>, waarbij <alias> wordt vervangen door de aliasnaam die u hebt opgegeven.
  
  Providers die u met dit mechanisme laadt, worden ook toegevoegd aan het kenmerk MSTICPy current_providers , dat bijvoorbeeld wordt gebruikt in de volgende code:
```
import msticpy
msticpy.current_providers
```
Selecteer Instellingen opslaan om uw wijzigingen op te slaan.

Automatisch geladen MSTICPy-onderdelen definiëren

In deze procedure wordt beschreven hoe u andere onderdelen definieert die automatisch door MSTICPy worden geladen wanneer u de nbinit.init_notebook functie uitvoert.

Ondersteunde onderdelen zijn onder andere in de volgende volgorde:

TILookup: De TI-providerbibliotheek die u wilt gebruiken
Geoip: De GeoIP-provider die u wilt gebruiken
AzureData: De module die u gebruikt om details over Azure resources op te vragen
AzureSentinelAPI: De module die u gebruikt om een query uit te voeren op de Microsoft Sentinel-API
Notitieblokken: Notebooklets uit het msticnb-pakket
Pivot: Draaifuncties

De onderdelen worden in deze volgorde geladen omdat voor het draaionderdeel query's en andere providers moeten worden geladen om de draaitabelfuncties te vinden die aan entiteiten worden gekoppeld. Zie msticpy-documentatie voor meer informatie. Zie de Aan de slag Guide for Azure Sentinel ML Notebooks notebook (Handleiding voor Azure Sentinel ML Notebooks) voor meer informatie.

Automatisch geladen MSTICPy-onderdelen definiëren:

Ga naar de volgende cel met de volgende code en voer deze uit:
```
mpedit.set_tab("Autoload Components")
mpedit
```
Op het tabblad Onderdelen automatisch laden definieert u indien nodig de parameterwaarden. Bijvoorbeeld:
- GeoIpLookup. Voer de naam in van de GeoIP-provider die u wilt gebruiken, GeoLiteLookup of IPStack.
- AzureData- en AzureSentinelAPI-onderdelen. Definieer de volgende waarden:
  - auth_methods: Overschrijf de standaardinstellingen voor AzureCLI en maak verbinding met behulp van de geselecteerde methoden.
  - Automatisch verbinding maken: Stel in op false om te laden zonder verbinding te maken.
  Zie Verificatieparameters opgeven voor Azure en Microsoft Sentinel API's voor meer informatie.
- Notitieblokken. Het onderdeel Notebooklets heeft één parameterblok: AzureSentinel.
  
  Geef uw Microsoft Sentinel werkruimte op met behulp van de volgende syntaxis: workspace:\<workspace name>. De werkruimtenaam moet een van de werkruimten zijn die zijn gedefinieerd op het tabblad Microsoft Sentinel.
  
  Als u meer parameters wilt toevoegen om naar de notebooklets init functie te verzenden, geeft u deze op als sleutel-waardeparen, gescheiden door nieuwe regels. Bijvoorbeeld:
```
workspace:<workspace name>
providers=["LocalData","geolitelookup"]
```
  Zie de msticnb-documentatie (MSTIC Notebooklets) voor meer informatie.
Voor sommige onderdelen, zoals TILookup en Pivot, zijn geen parameters vereist.
Selecteer Instellingen opslaan om uw wijzigingen op te slaan.

Schakelen tussen Python 3.6- en 3.8-kernels

Als u schakelt tussen Python 3.65- en 3.8-kernels, kan het zijn dat MSTICPy en andere pakketten niet worden geïnstalleerd zoals verwacht.

Dit kan gebeuren wanneer de !pip install pkg opdracht correct wordt geïnstalleerd in de eerste omgeving, maar vervolgens niet correct wordt geïnstalleerd in de tweede. Hierdoor ontstaat een situatie waarin de tweede omgeving het pakket niet kan importeren of gebruiken.

U wordt aangeraden geen !pip install... pakketten te installeren in Azure Machine Learning-notebooks. Gebruik in plaats daarvan een van de volgende opties:

Gebruik de %pip line magic in een notebook. Uitvoeren:
```
%pip install --upgrade msticpy
```
Installeren vanaf een terminal:
1. Open een terminal in Azure Machine Learning-notebooks en voer de volgende opdrachten uit:
```
conda activate azureml_py38
pip install --upgrade msticpy
```
2. Sluit de terminal en start de kernel opnieuw op.

Een omgevingsvariabele instellen voor het bestand msticpyconfig.yaml

Als u in Azure Machine Learning werkt en uw bestand msticpyconfig.yaml in de hoofdmap van uw gebruikersmap hebt, vindt MSTICPy deze instellingen automatisch. Als u de notebooks echter uitvoert in een andere omgeving, volgt u de instructies in deze sectie om een omgevingsvariabele in te stellen die verwijst naar de locatie van uw configuratiebestand.

Als u het pad naar het bestand msticpyconfig.yaml in een omgevingsvariabele definieert, kunt u het bestand opslaan op een bekende locatie en ervoor zorgen dat u altijd dezelfde instellingen laadt.

Gebruik meerdere configuratiebestanden, met meerdere omgevingsvariabelen, als u verschillende instellingen wilt gebruiken voor verschillende notebooks.

Bepaal een locatie voor het bestand msticpyconfig.yaml , zoals in ~/.msticpyconfig.yaml of %userprofile%/msticpyconfig.yaml.

Azure ML-gebruikers: als u het configuratiebestand opslaat in uw Azure Machine Learning-gebruikersmap, wordt het bestand automatisch door de functie MSTICPy (uitgevoerd in de initialisatiecel) gevonden en gebruikt en hoeft u geen MSTICPYCONFIG-omgevingsvariabeleinit_notebook in te stellen.

Als u echter ook geheimen in het bestand hebt opgeslagen, raden we u aan het configuratiebestand op te slaan op het lokale rekenstation. De interne rekenopslag is alleen toegankelijk voor de persoon die de berekening heeft gemaakt, terwijl de gedeelde opslag toegankelijk is voor iedereen met toegang tot uw Azure Machine Learning-werkruimte.

Zie Wat is een Azure Machine Learning-rekenproces? voor meer informatie.
Kopieer indien nodig het bestand msticpyconfig.yaml naar de geselecteerde locatie.
Stel de omgevingsvariabele MSTICPYCONFIG in om naar die locatie te verwijzen.

Gebruik een van de volgende procedures om de omgevingsvariabele MSTICPYCONFIG te definiëren.

Stel bijvoorbeeld de omgevingsvariabele MSTICPYCONFIG in op Windows-systemen:

Verplaats zo nodig het bestand msticpyconfig.yaml naar het compute-exemplaar.
Open het dialoogvenster Systeemeigenschappen op het tabblad Geavanceerd .
Selecteer Omgevingsvariabelen... om het dialoogvenster Omgevingsvariabelen te openen.
Selecteer in het gebied Systeemvariabelende optie Nieuw... en definieer de waarden als volgt:
- Variabelenaam: Definiëren als MSTICPYCONFIG
- Variabelewaarde: voer het pad naar het bestand msticpyconfig.yaml in

In deze procedure wordt beschreven hoe u het .bashrc-bestand bijwerkt om de omgevingsvariabele MSTICPYCONFIG in te stellen op Linux systemen.

Verplaats zo nodig het bestand msticpyconfig.yaml naar het compute-exemplaar.
Open een Azure Machine Learning-terminal, bijvoorbeeld vanaf de pagina Microsoft Sentinel Notitieblokken.
Controleer of u toegang hebt tot het bestand msticpyconfig.yaml .

In uw Azure Machine Learning-terminal moet de huidige map uw Azure basismap van het Machine Learning-bestandsarchief zijn, gekoppeld aan het Compute-Linux-systeem. De prompt lijkt op het volgende voorbeeld:
```
azureuser@alicecontoso-azml7:~/cloudfiles/code/Users/alicecontoso$
```
Geef alle bestanden in de basismap weer, inclusief het bestand msticpyconfig.yaml , door in te voeren ls.
Als u het bestand msticpyconfig.yaml wilt verplaatsen naar het rekenbestandsarchief, voert u het volgende in:
```
mv msticpyconfig.yaml ~
```

Gebruik een van de volgende processen om het .bashrc-bestand voor uw omgevingsvariabele te bewerken:

Opdracht	Stappen
Vim	1. Uitvoeren: `vim ~/.bashrc` 2. Ga naar het einde van het bestand door op Shift+G>End te drukken. 3. Maak een nieuwe regel door een in te voeren en vervolgens op Enter te drukken. 4. Voeg uw omgevingsvariabele toe en druk vervolgens op Esc om terug te keren naar de opdrachtmodus. 5. Sla het bestand op door :wq in te voeren.
Nano	1. Uitvoeren: `nano ~/.bashrc` 1. Ga naar het einde van het bestand door op Alt+/ of OPTION+/ te drukken. 1. Voeg uw omgevingsvariabele toe en sla het bestand op. Druk op Ctrl+X en vervolgens op Y.

Voeg een van de volgende omgevingsvariabelen toe:

Als u het bestand msticpyconfig.yaml hebt verplaatst, voert u uit export MSTICPYCONFIG=~/msticpyconfig.yaml.
Als u het bestand msticpyconfig.yaml niet hebt verplaatst, voert u uit export MSTICPYCONFIG=~/cloudfiles/code/Users/<YOURNAME>/msticpyconfig.yaml.

Als u het bestand msticpyconfig.yaml ergens anders wilt opslaan dan uw Azure machine learning-gebruikersmap, gebruikt u een van de volgende opties:

Een nbuser_settings.py-bestand in de hoofdmap van uw gebruikersmap. Hoewel dit proces eenvoudiger en minder ingrijpend is dan het bewerken van het kernel.json bestand, wordt het alleen ondersteund wanneer u de init_notebook functie aan het begin van uw notebookcode uitvoert. Hoewel dit het standaardgedrag is, kan MSTICPy mmight het configuratiebestand niet vinden als u de notebookcode uitvoert zonder eerst uit te voeren init_notebook.
1. Maak in de Azure Machine Learning-terminal het nbuser_settings.py-bestand in de hoofdmap van uw gebruikersmap. Dit is de map met uw gebruikersnaam.
2. Voeg in het bestand nbuser_settings.py de volgende regels toe:
```
  import os
  os.environ["MSTICPYCONFIG"] = "~/msticpyconfig.yaml"
```
Dit bestand wordt automatisch geïmporteerd door de init_notebook functie en stelt de MSTICPYCONFIG omgevingsvariabele in voor het huidige notebook.
Het kernel.json-bestand voor uw Python-kernel. Gebruik deze procedure als u van plan bent om het notitieblok handmatig uit te voeren en mogelijk zonder de functie aan het init_notebook begin aan te roepen.

Er zijn kernels voor Python 3.6 en Python 3.8. Als u beide kernels gebruikt, bewerkt u beide bestanden.
- Python 3.8-locatie: /usr/local/share/jupyter/kernels/python38-azureml/kernel.json
- Python 3.6-locatie: /usr/local/share/jupyter/kernels/python3-azureml/kernel.json
De omgevingsvariabele instellen in het kernel.json-bestand :
1. Maak een kopie van het kernel.json-bestand en open het origineel in een editor. Mogelijk moet u gebruiken sudo om het kernel.json-bestand te overschrijven. De inhoud van het bestand ziet er ongeveer uit als in het volgende voorbeeld:
```
{
   "argv": [
   "/anaconda/envs/azureml_py38/bin/python",
   "-m",
   "ipykernel_launcher",
   "-f",
   "{connection_file}"
   ],
   "display_name": "Python 3.8 - AzureML",
   "language": "python"
}
```
2. Voeg na het "language" item de volgende regel toe: "env": { "MSTICPYCONFIG": "~/msticpyconfig.yaml" }
  
  Zorg ervoor dat u de komma aan het einde van de regel toevoegt "language": "python" . Bijvoorbeeld:
```
{
    "argv": [
    "/anaconda/envs/azureml_py38/bin/python",
    "-m",
    "ipykernel_launcher",
    "-f",
    "{connection_file}"
    ],
    "display_name": "Python 3.8 - AzureML",
    "language": "python",
    "env": { "MSTICPYCONFIG": "~/msticpyconfig.yaml" }
}
```

Opmerking

Voor de opties Linux en Windows moet u de Jupyter-server opnieuw opstarten om de door u gedefinieerde omgevingsvariabele op te halen.

Volgende stappen

Zie voor meer informatie:

Onderwerp	Meer verwijzingen
MSTICPy	- MSTICPy-pakketconfiguratie - MSTICPy Settings Editor - Uw notebookomgeving configureren. - MPSettingsEditor-notebook. Opmerking: de GitHub-opslagplaats Azure-Sentinel-Notebooks bevat ook een sjabloon msticpyconfig.yaml-bestand met secties met opmerkingen, waardoor u de instellingen mogelijk beter begrijpt.
Microsoft Sentinel- en Jupyter-notebooks	- Uw eerste Microsoft Sentinel-notitieblok maken (blogserie) - Jupyter Notebooks: een inleiding - MSTICPy-documentatie - documentatie voor Microsoft Sentinel Notebooks - Het Infosec Jupyterbook - Linux Host Explorer Notebook-overzicht - Waarom Jupyter gebruiken voor beveiligingsonderzoeken - Beveiligingsonderzoeken met Microsoft Sentinel & Notebooks - Pandas-documentatie - Documentatie voor Bokeh

Feedback

Is deze pagina nuttig?

Last updated on 2026-04-23