Condividi tramite


Notebook di Jupyter con funzionalità di ricerca di Microsoft Sentinel

I notebook Jupyter combinano la programmabilità completa con una vasta raccolta di librerie per l'apprendimento automatico, la visualizzazione e l'analisi dei dati. Questi attributi rendono Jupyter uno strumento efficace per l'analisi e la ricerca della sicurezza.

Microsoft Sentinel si basa sull'archivio dati e combina l'esecuzione di query con prestazioni elevate, lo schema dinamico e i ridimensionamenti ai volumi di dati di grandi dimensioni. Il portale di Azure e tutti gli strumenti di Microsoft Sentinel usano un'API comune per accedere a questo archivio dati. La stessa API è disponibile anche per strumenti esterni come Python e i notebook Jupyter.

Importante

Microsoft Sentinel è disponibile a livello generale all'interno della piattaforma unificata per le operazioni di sicurezza di Microsoft nel portale di Microsoft Defender. Per l'anteprima, Microsoft Sentinel è disponibile nel portale di Defender senza Microsoft Defender XDR o una licenza E5. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Quando usare i notebook di Jupyter

Mentre è possibile eseguire nel portale molte attività comuni, Jupyter estende l'ambito delle operazioni che è possibile eseguire con questi dati.

Ad esempio, usare i notebook per:

  • Eseguire analisi non disponibili in Microsoft Sentinel, ad esempio alcune funzionalità di Machine Learning python
  • Creare visualizzazioni dei dati non incluse in Microsoft Sentinel, ad esempio sequenze temporali personalizzate e alberi di elaborazione
  • Integrare le origini dati all'esterno di Microsoft Sentinel, ad esempio un set di dati locale.

L'esperienza Jupyter è stata integrata nel portale di Azure al fine di semplificare la creazione e l'esecuzione di notebook per l'analisi dei dati. Tramite la libreria Kqlmagic, è possibile prendere le query di KQL da Microsoft Sentinel ed eseguirle direttamente in un notebook.

Diversi notebook, sviluppati da alcuni analisti della sicurezza di Microsoft, sono inclusi nel pacchetto di Microsoft Sentinel:

  • Alcuni di questi notebook sono compilati per uno scenario specifico e possono essere usati così come sono.
  • Altri sono intesi come esempi per illustrare le tecniche e le funzionalità che è possibile copiare o adattare per poterle usare nei propri notebook.

Importare altri notebook dal repository GitHub di Microsoft Sentinel.

Funzionamento dei notebook di Jupyter

I notebook presentano due componenti:

  • Un'interfaccia basata su browser in cui si immettono ed eseguono query e codice e in cui vengono visualizzati i risultati dell'esecuzione.
  • Un kernel responsabile dell'analisi e dell'esecuzione del codice stesso.

Il kernel del notebook di Microsoft Sentinel viene eseguito in una macchina virtuale di Azure. L'istanza della macchina virtuale può supportare l'esecuzione di molti notebook contemporaneamente. Se i notebook includono modelli di Machine Learning complessi, esistono diverse opzioni di licenza per l'uso di macchine virtuali più potenti.

Informazioni sui pacchetti Python

I notebook di Microsoft Sentinel usano molte librerie Python comuni, ad esempio pandas, matplotlib, bokehe altri. Sono disponibili molti altri pacchetti Python tra cui scegliere, in riferimento ad aree quali:

  • Visualizzazioni e grafica
  • Elaborazione e analisi dei dati
  • Statistiche e calcolo numerico
  • Apprendimento automatico e Deep Learning

Per evitare di dover digitare o incollare codice complesso e ripetitivo nelle celle del notebook, la maggior parte dei notebook Python si basa su librerie di terze parti denominate pacchetti. Per usare un pacchetto in un notebook, è necessario installare e importare il pacchetto. L'ambiente di calcolo di Azure Machine Learning include i pacchetti più comuni preinstallati. Assicurarsi di importare il pacchetto o la parte pertinente del pacchetto, ad esempio un modulo, un file, una funzione o una classe.

I notebook di Microsoft Sentinel usano un pacchetto Python denominato MSTICPy, che è una raccolta di strumenti di cybersecurity per il recupero, l'analisi, l'arricchimento e la visualizzazione dei dati.

Gli strumenti MSTICPy sono progettati in modo specifico per semplificare la creazione di notebook per la ricerca e l'analisi, ed è in corso lo sviluppo di nuove funzionalità e miglioramenti. Per altre informazioni, vedi:

Trovare notebook

In Microsoft Sentinel selezionare Notebook per visualizzare i notebook forniti da Microsoft Sentinel. Per altre informazioni sull'uso dei notebook nella ricerca e nell'analisi delle minacce, vedere i modelli di notebook come Analisi delle credenziali in Azure Log Analytics e Indagine guidata - Avvisi di processo.

Per altri notebook creati da Microsoft o forniti dalla community, passare a repository GitHub di Microsoft Sentinel. Usare notebook condivisi nel repository GitHub di Microsoft Sentinel come strumenti, illustrazioni ed esempi di codice utili per lo sviluppo di notebook personalizzati.

  • La directory Sample-Notebooks include notebook di esempio salvati con dati che è possibile usare per visualizzare l'output previsto.

  • La directory HowTos include notebook che descrivono concetti come l'impostazione della versione predefinita di Python, la creazione di contrassegni di Microsoft Sentinel da un notebook e altro ancora.

Gestire l'accesso ai notebook di Microsoft Sentinel

Per usare i notebook di Jupyter in Microsoft Sentinel, è prima necessario disporre delle autorizzazioni appropriate, a seconda del ruolo utente.

Anche se è possibile eseguire notebook di Microsoft Sentinel in JupyterLab o Jupyter Classic, in Microsoft Sentinel i notebook vengono eseguiti in una piattaforma di Azure Machine Learning. Per eseguire notebook in Microsoft Sentinel, è necessario disporre dell'accesso appropriato all'area di lavoro di Microsoft Sentinel e a un'area di lavoro di Azure Machine Learning.

Autorizzazione Descrizione
Autorizzazioni di Microsoft Sentinel Analogamente ad altre risorse di Microsoft Sentinel, per accedere ai notebook nel pannello Notebook di Microsoft Sentinel, è necessario un ruolo lettore di Microsoft Sentinel, risponditore di Microsoft Sentinel o Collaboratore di Microsoft Sentinel.

Per altre informazioni, vedere Autorizzazioni in Microsoft Sentinel.
Autorizzazioni di Azure Machine Learning Un'area di lavoro di Azure Machine Learning è una risorsa di Azure. Analogamente ad altre risorse di Azure, quando viene creata una nuova area di lavoro di Azure Machine Learning, essa presenta ruoli predefiniti. È possibile aggiungere utenti all'area di lavoro e assegnarli a uno di questi ruoli predefiniti. Per altre informazioni, vedere Ruoli predefiniti di Azure Machine Learning e Ruoli predefiniti di Azure.

Importante: è possibile definire l'ambito per l'accesso ai ruoli a più livelli in Azure. Ad esempio, un utente con accesso come proprietario a un'area di lavoro potrebbe non avere lo stesso accesso al gruppo di risorse che contiene l'area di lavoro. Per altre informazioni, vedere Funzionamento del controllo degli accessi in base al ruolo di Azure.

Se si è proprietari di un'area di lavoro di Azure Machine Learning, è possibile aggiungere e rimuovere i ruoli per l'area di lavoro e assegnare i ruoli agli utenti. Per altre informazioni, vedi:
- Azure portal
- PowerShell
- Interfaccia della riga di comando di Azure
- REST API
- Modelli di Gestione risorse di Azure
- Interfaccia della riga di comando di Azure Machine Learning

Se i ruoli predefiniti non sono sufficienti, è possibile anche creare ruoli personalizzati. I ruoli personalizzati possono avere le autorizzazioni di lettura, scrittura, eliminazione e calcolo delle risorse in quell’area di lavoro. È possibile rendere il ruolo disponibile per un livello di area di lavoro specifico, un livello di gruppo di risorse specifico o un livello di sottoscrizione specifico. Per altre informazioni, vedere Creare un ruolo personalizzato.

Inviare commenti e suggerimenti per un notebook

Inviare commenti e suggerimenti, richieste di funzionalità, report di bug o miglioramenti ai notebook esistenti. Per creare un problema o una copia tramite fork e caricare un contributo, visitare il repository GitHub di Microsoft Sentinel.

Per blog, video e altre risorse, vedere: