Notebook di Jupyter con funzionalità di ricerca di Microsoft Sentinel
I notebook Jupyter combinano la programmabilità completa con una vasta raccolta di librerie per l'apprendimento automatico, la visualizzazione e l'analisi dei dati. Questi attributi rendono Jupyter uno strumento efficace per l'analisi e la ricerca della sicurezza.
Microsoft Sentinel si basa sull'archivio dati e combina l'esecuzione di query con prestazioni elevate, lo schema dinamico e i ridimensionamenti ai volumi di dati di grandi dimensioni. Il portale di Azure e tutti gli strumenti di Microsoft Sentinel usano un'API comune per accedere a questo archivio dati. La stessa API è disponibile anche per strumenti esterni come Python e i notebook Jupyter.
Importante
Microsoft Sentinel è disponibile a livello generale all'interno della piattaforma unificata per le operazioni di sicurezza di Microsoft nel portale di Microsoft Defender. Per l'anteprima, Microsoft Sentinel è disponibile nel portale di Defender senza Microsoft Defender XDR o una licenza E5. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.
Quando usare i notebook di Jupyter
Mentre è possibile eseguire nel portale molte attività comuni, Jupyter estende l'ambito delle operazioni che è possibile eseguire con questi dati.
Ad esempio, usare i notebook per:
- Eseguire analisi non disponibili in Microsoft Sentinel, ad esempio alcune funzionalità di Machine Learning python
- Creare visualizzazioni dei dati non incluse in Microsoft Sentinel, ad esempio sequenze temporali personalizzate e alberi di elaborazione
- Integrare le origini dati all'esterno di Microsoft Sentinel, ad esempio un set di dati locale.
L'esperienza Jupyter è stata integrata nel portale di Azure al fine di semplificare la creazione e l'esecuzione di notebook per l'analisi dei dati. Tramite la libreria Kqlmagic, è possibile prendere le query di KQL da Microsoft Sentinel ed eseguirle direttamente in un notebook.
Diversi notebook, sviluppati da alcuni analisti della sicurezza di Microsoft, sono inclusi nel pacchetto di Microsoft Sentinel:
- Alcuni di questi notebook sono compilati per uno scenario specifico e possono essere usati così come sono.
- Altri sono intesi come esempi per illustrare le tecniche e le funzionalità che è possibile copiare o adattare per poterle usare nei propri notebook.
Importare altri notebook dal repository GitHub di Microsoft Sentinel.
Funzionamento dei notebook di Jupyter
I notebook presentano due componenti:
- Un'interfaccia basata su browser in cui si immettono ed eseguono query e codice e in cui vengono visualizzati i risultati dell'esecuzione.
- Un kernel responsabile dell'analisi e dell'esecuzione del codice stesso.
Il kernel del notebook di Microsoft Sentinel viene eseguito in una macchina virtuale di Azure. L'istanza della macchina virtuale può supportare l'esecuzione di molti notebook contemporaneamente. Se i notebook includono modelli di Machine Learning complessi, esistono diverse opzioni di licenza per l'uso di macchine virtuali più potenti.
Informazioni sui pacchetti Python
I notebook di Microsoft Sentinel usano molte librerie Python comuni, ad esempio pandas, matplotlib, bokehe altri. Sono disponibili molti altri pacchetti Python tra cui scegliere, in riferimento ad aree quali:
- Visualizzazioni e grafica
- Elaborazione e analisi dei dati
- Statistiche e calcolo numerico
- Apprendimento automatico e Deep Learning
Per evitare di dover digitare o incollare codice complesso e ripetitivo nelle celle del notebook, la maggior parte dei notebook Python si basa su librerie di terze parti denominate pacchetti. Per usare un pacchetto in un notebook, è necessario installare e importare il pacchetto. L'ambiente di calcolo di Azure Machine Learning include i pacchetti più comuni preinstallati. Assicurarsi di importare il pacchetto o la parte pertinente del pacchetto, ad esempio un modulo, un file, una funzione o una classe.
I notebook di Microsoft Sentinel usano un pacchetto Python denominato MSTICPy, che è una raccolta di strumenti di cybersecurity per il recupero, l'analisi, l'arricchimento e la visualizzazione dei dati.
Gli strumenti MSTICPy sono progettati in modo specifico per semplificare la creazione di notebook per la ricerca e l'analisi, ed è in corso lo sviluppo di nuove funzionalità e miglioramenti. Per altre informazioni, vedi:
- Documentazione degli strumenti di sicurezza MSTIC Jupyter e Python
- Introduzione ai notebook di Jupyter e MSTICPy in Microsoft Sentinel
- Configurazioni avanzate per notebook Jupyter e MSTICPy in Microsoft Sentinel
Trovare notebook
In Microsoft Sentinel selezionare Notebook per visualizzare i notebook forniti da Microsoft Sentinel. Per altre informazioni sull'uso dei notebook nella ricerca e nell'analisi delle minacce, vedere i modelli di notebook come Analisi delle credenziali in Azure Log Analytics e Indagine guidata - Avvisi di processo.
Per altri notebook creati da Microsoft o forniti dalla community, passare a repository GitHub di Microsoft Sentinel. Usare notebook condivisi nel repository GitHub di Microsoft Sentinel come strumenti, illustrazioni ed esempi di codice utili per lo sviluppo di notebook personalizzati.
La directory
Sample-Notebooks
include notebook di esempio salvati con dati che è possibile usare per visualizzare l'output previsto.La directory
HowTos
include notebook che descrivono concetti come l'impostazione della versione predefinita di Python, la creazione di contrassegni di Microsoft Sentinel da un notebook e altro ancora.
Gestire l'accesso ai notebook di Microsoft Sentinel
Per usare i notebook di Jupyter in Microsoft Sentinel, è prima necessario disporre delle autorizzazioni appropriate, a seconda del ruolo utente.
Anche se è possibile eseguire notebook di Microsoft Sentinel in JupyterLab o Jupyter Classic, in Microsoft Sentinel i notebook vengono eseguiti in una piattaforma di Azure Machine Learning. Per eseguire notebook in Microsoft Sentinel, è necessario disporre dell'accesso appropriato all'area di lavoro di Microsoft Sentinel e a un'area di lavoro di Azure Machine Learning.
Autorizzazione | Descrizione |
---|---|
Autorizzazioni di Microsoft Sentinel | Analogamente ad altre risorse di Microsoft Sentinel, per accedere ai notebook nel pannello Notebook di Microsoft Sentinel, è necessario un ruolo lettore di Microsoft Sentinel, risponditore di Microsoft Sentinel o Collaboratore di Microsoft Sentinel. Per altre informazioni, vedere Autorizzazioni in Microsoft Sentinel. |
Autorizzazioni di Azure Machine Learning | Un'area di lavoro di Azure Machine Learning è una risorsa di Azure. Analogamente ad altre risorse di Azure, quando viene creata una nuova area di lavoro di Azure Machine Learning, essa presenta ruoli predefiniti. È possibile aggiungere utenti all'area di lavoro e assegnarli a uno di questi ruoli predefiniti. Per altre informazioni, vedere Ruoli predefiniti di Azure Machine Learning e Ruoli predefiniti di Azure. Importante: è possibile definire l'ambito per l'accesso ai ruoli a più livelli in Azure. Ad esempio, un utente con accesso come proprietario a un'area di lavoro potrebbe non avere lo stesso accesso al gruppo di risorse che contiene l'area di lavoro. Per altre informazioni, vedere Funzionamento del controllo degli accessi in base al ruolo di Azure. Se si è proprietari di un'area di lavoro di Azure Machine Learning, è possibile aggiungere e rimuovere i ruoli per l'area di lavoro e assegnare i ruoli agli utenti. Per altre informazioni, vedi: - Azure portal - PowerShell - Interfaccia della riga di comando di Azure - REST API - Modelli di Gestione risorse di Azure - Interfaccia della riga di comando di Azure Machine Learning Se i ruoli predefiniti non sono sufficienti, è possibile anche creare ruoli personalizzati. I ruoli personalizzati possono avere le autorizzazioni di lettura, scrittura, eliminazione e calcolo delle risorse in quell’area di lavoro. È possibile rendere il ruolo disponibile per un livello di area di lavoro specifico, un livello di gruppo di risorse specifico o un livello di sottoscrizione specifico. Per altre informazioni, vedere Creare un ruolo personalizzato. |
Inviare commenti e suggerimenti per un notebook
Inviare commenti e suggerimenti, richieste di funzionalità, report di bug o miglioramenti ai notebook esistenti. Per creare un problema o una copia tramite fork e caricare un contributo, visitare il repository GitHub di Microsoft Sentinel.
Contenuto correlato
- Cercare minacce alla sicurezza con notebook di Jupyter
- Introduzione ai notebook di Jupyter e MSTICPy in Microsoft Sentinel
- Cercare le minacce in modo proattivo
- Tenere traccia dei dati durante la ricerca con Microsoft Sentinel
Per blog, video e altre risorse, vedere:
- Creare il primo notebook di Microsoft Sentinel (serie di blog)
- Esercitazione: notebook di Microsoft Sentinel - Introduzione (Video)
- Esercitazione: Modificare ed eseguire notebook di Jupyter senza uscire da studio di Azure Machine Learning (Video)
- Rilevare le perdite di credenziali con i notebook di Azure Sentinel (video)
- Webinar: nozioni fondamentali per i notebook di Microsoft Sentinel (Video)
- Jupyter, msticpy e Microsoft Sentinel