Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описывается, как запустить руководство по началу работы с записными книжками ML Microsoft Sentinel, которое обеспечивает базовую настройку для запуска Jupyter Notebook в Microsoft Sentinel и предоставляет примеры для выполнения простых запросов.
Руководство по началу работы с записными книжками Microsoft Sentinel ML использует MSTICPy, мощную библиотеку Python, предназначенную для улучшения исследований безопасности и поиска угроз в записных книжках Microsoft Sentinel. Он предоставляет встроенные средства для обогащения данных, визуализации, обнаружения аномалий и автоматизированных запросов, помогая аналитикам оптимизировать свой рабочий процесс без расширенного пользовательского программирования.
Дополнительные сведения см. в статье Использование записных книжек для эффективного проведения исследований и Использование записных книжек Jupyter для охоты на угрозы безопасности.
Внимание
Microsoft Sentinel общедоступен на портале Microsoft Defender, в том числе для клиентов без XDR Microsoft Defender или лицензии E5.
Начиная с июля 2026 года Microsoft Sentinel будет поддерживаться только на портале Defender, и все остальные клиенты, использующие портал Azure, будут автоматически перенаправлены.
Мы рекомендуем всем клиентам, использующим Microsoft Sentinel в Azure, начать планирование перехода на портал Defender для полного единого взаимодействия с безопасностью, предлагаемого Microsoft Defender. Дополнительные сведения см. в статье "Планирование перехода на портал Microsoft Defender" для всех клиентов Microsoft Sentinel.
Предварительные требования
Перед началом работы убедитесь, что у вас есть необходимые разрешения и ресурсы.
| Предпосылка | Описание |
|---|---|
| Разрешения | Чтобы использовать записные книжки в Microsoft Sentinel, убедитесь, что у вас есть необходимые разрешения. Дополнительные сведения см. в статье Управление доступом к записным книжкам Microsoft Sentinel. |
| Питон | Чтобы выполнить действия, описанные в этой статье, вам потребуется Python 3.6 или более поздней версии. В Машинное обучение Azure можно использовать ядро Python 3.8 (рекомендуется) или ядро Python 3.6. Если вы используете записную книжку, описанную в этой статье, в другой среде Jupyter можно использовать любое ядро, поддерживающее Python 3.6 или более поздней версии. Чтобы использовать ноутбуки MSTICPy вне Microsoft Sentinel и Azure Machine Learning (ML), также необходимо настроить вашу среду Python. Установите Python 3.6 или более поздней версии с помощью дистрибутива Anaconda, который включает множество необходимых пакетов. |
| MaxMind GeoLite2 | Эта записная книжка использует службу поиска геолокации MaxMind GeoLite2 для IP-адресов. Чтобы использовать службу MaxMind GeoLite2, вам потребуется ключ лицензии. Вы можете зарегистрироваться для доступа к бесплатной учетной записи и ключу на странице регистрации MaxMind. |
| VirusTotal | Эта записная книжка использует VirusTotal (VT) в качестве источника аналитики угроз. Чтобы использовать поиск аналитики угроз VirusTotal, вам потребуется учетная запись VirusTotal и ключ API. Если вы используете корпоративный ключ VT, сохраните его в Azure Key Vault вместо файла msticpyconfig.yaml . Для получения дополнительной информации см. раздел Настройка секретов в Key Vault в документации MSTICPY. Если вы не хотите настраивать Azure Key Vault прямо сейчас, зарегистрируйтесь и используйте бесплатную учетную запись, пока не настроите хранилище Key Vault. |
Установите и запустите блокнот с руководством по началу работы
В этой процедуре описывается запуск записной книжки с помощью Microsoft Sentinel.
Для Microsoft Sentinel на портале Defender выберите Microsoft Sentinel>Управление угрозами>Записные книжки. Для Microsoft Sentinel в портале Azure, в разделе Управление угрозами, выберите Записные книжки.
На вкладке Шаблоны выберите Руководство для начинающих по записным книжкам машинного обучения Microsoft Sentinel.
Выберите "Создать из шаблона".
Измените имя и выберите рабочую область Azure Machine Learning по мере необходимости.
Нажмите кнопку "Сохранить", чтобы сохранить ее в рабочей области Машинное обучение Azure.
Выберите Запустить записную книжку, чтобы запустить записную книжку. Записная книжка содержит ряд ячеек:
- Ячейки Markdown содержат текст и графику с инструкциями по использованию записной книжки
- Ячейки кода содержат исполняемый код, выполняющий функции записной книжки
В верхней части страницы выберите вычислительные ресурсы.
Продолжайте последовательно читать ячейки Markdown и выполнять ячейки кода, используя инструкции в записной книжке. Пропуск ячеек или запуск их не по порядку может привести к ошибкам позднее в этом блокноте.
В зависимости от выполняемой функции код в ячейке может выполняться быстро или может занять некоторое время. Когда ячейка выполняется, кнопка воспроизведения изменяется на индикатор загрузки, а состояние отображается в нижней части ячейки вместе с прошедшим временем.
При первом запуске ячейки кода может потребоваться несколько минут для запуска сеанса в зависимости от параметров вычислений. Индикатор готовности отображается, когда записная книжка готова для запуска кодовых ячеек. Например:
Руководство по началу работы с записными книжками машинного обучения Microsoft Sentinel содержит разделы для следующих действий:
| Имя | Описание |
|---|---|
| Введение | Описать основы записной книжки и предоставить пример кода, который можно запустить, чтобы узнать, как работают записные книжки. |
| Инициализация записной книжки и MSTICPy | Помогает подготовить среду для запуска оставшейся части ноутбука. При инициализации записной книжки ожидаются предупреждения конфигурации об отсутствующих параметрах, так как вы еще ничего не сконфигурировали. |
| Запрос данных из Microsoft Sentinel | Помогает проверить, настроить и протестировать параметры Microsoft Sentinel. Используйте код в этом разделе, чтобы пройти проверку подлинности в Microsoft Sentinel и запустить пример запроса для проверки подключения. |
| Настройка и проверка внешних поставщиков данных (VirusTotal и Maxmind GeoLite2) | Помогает настроить параметры для VirusTotal в качестве примера службы аналитики угроз и MaxMind GeoLite2 в качестве примера службы поиска по географическому расположению. Используйте код в этом разделе для выполнения примеров запросов к этим поставщикам данных для их тестирования. |
Код в руководстве по началу работы для записных книжек машинного обучения Microsoft Sentinel запускает средство MpConfigEdit , которое содержит ряд вкладок для настройки среды записной книжки. При внесении изменений в средство MpConfigEdit обязательно сохраните изменения, прежде чем продолжить. Параметры записной книжки хранятся в файле msticpyconfig.yaml , который автоматически заполняется начальными сведениями для рабочей области.
Внимательно прочитайте ячейки Markdown, чтобы полностью понять процесс, включая каждый из параметров и файл msticpyconfig.yaml . Дальнейшие действия, дополнительные ресурсы и часто задаваемые вопросы из вики записных книжек Azure Sentinel доступны в конце записной книжки.
Настройка запросов (необязательно)
Руководство по началу работы с записными книжками Microsoft Sentinel для машинного обучения предоставляет образцы запросов для изучения записных книжек. Настройте встроенные запросы, добавив дополнительную логику запроса или выполнив полные запросы с помощью exec_query функции. Например, большинство встроенных запросов поддерживает параметр add_query_items, который можно использовать для добавления в запросы фильтров или других операций.
Запустите следующую ячейку кода, чтобы добавить кадр данных, который суммирует количество оповещений по имени оповещения:
from datetime import datetime, timedelta qry_prov.SecurityAlert.list_alerts( start=datetime.utcnow() - timedelta(28), end=datetime.utcnow(), add_query_items="| summarize NumAlerts=count() by AlertName" )Передайте полную строку запроса на языке запросов Kusto (KQL) поставщику запросов. Запрос выполняется в подключенной рабочей области, а данные возвращаются в виде кадра данных Panda. Запустить:
# Define your query test_query = """ OfficeActivity | where TimeGenerated > ago(1d) | take 10 """ # Pass the query to your QueryProvider office_events_df = qry_prov.exec_query(test_query) display(office_events_df.head())
Дополнительные сведения см. в разделе:
Примените рекомендации к другим записным книжкам
В этой статье описываются шаги по запуску руководства по началу работы с блокнотом Microsoft Sentinel ML Notebooks в рабочей области Azure Machine Learning через Microsoft Sentinel. Вы также можете использовать эту статью в качестве руководства для выполнения аналогичных действий для запуска записных книжек в других средах, включая локально.
Несколько записных книжек Microsoft Sentinel не используют MSTICPy, например записные книжки проверки учетных данных, или примеры PowerShell и C#. Записные книжки, не использующие MSTICpy, не нуждаются в конфигурации MSTICPy, описанной в этой статье.
Попробуйте использовать другие записные книжки Microsoft Sentinel, например:
- Настройка среды ноутбука
- Обзор функций записной книжки Cybersec
- Примеры машинного обучения в записных книжках
- Серия Обозревателя сущностей , включая варианты учетных записей, доменов и URL-адресов, IP-адресов и узлов Linux или Windows.
Дополнительные сведения см. в разделе:
- Записные книжки Jupyter с возможностями охоты Microsoft Sentinel
- Расширенные конфигурации для записных книжек Jupyter и MSTICPy в Microsoft Sentinel
- Создание первой записной книжки Microsoft Sentinel (серия блогов)
- Обзор записной книжки Linux Host Explorer (блог)
Связанный контент
Дополнительные сведения см. в разделе: