Notebooks Jupyter com recursos de caça ao Microsoft Sentinel

Os notebooks Jupyter combinam programação completa com uma enorme coleção de bibliotecas para aprendizado de máquina, visualização e análise de dados. Esses atributos tornam o Jupyter uma ferramenta atraente para investigação de segurança e caça.

A base do Microsoft Sentinel é o armazenamento de dados; Ele combina consultas de alto desempenho, esquema dinâmico e dimensionamento para volumes de dados massivos. O portal do Azure e todas as ferramentas do Microsoft Sentinel usam uma API comum para acessar esse armazenamento de dados. A mesma API também está disponível para ferramentas externas, como notebooks Jupyter e Python.

Importante

O Microsoft Sentinel agora está disponível em geral na plataforma de operações de segurança unificada da Microsoft no portal Microsoft Defender. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.

Quando usar os notebooks Jupyter

Embora muitas tarefas comuns possam ser realizadas no portal, o Jupyter amplia o escopo do que você pode fazer com esses dados.

Por exemplo, use blocos de anotações para:

  • Execute análises que não são fornecidas prontas para uso no Microsoft Sentinel, como alguns recursos de aprendizado de máquina Python
  • Crie visualizações de dados que não são fornecidas prontas para uso no Microsoft Sentinel, como cronogramas personalizados e árvores de processo
  • Integre fontes de dados fora do Microsoft Sentinel, como um conjunto de dados local.

Integramos a experiência Jupyter no portal do Azure, facilitando a criação e a execução de blocos de anotações para analisar seus dados. A biblioteca Kqlmagic fornece a cola que permite pegar consultas KQL (Kusto Query Language) do Microsoft Sentinel e executá-las diretamente dentro de um bloco de anotações.

Vários notebooks, desenvolvidos por alguns dos analistas de segurança da Microsoft, são fornecidos com o Microsoft Sentinel:

  • Alguns desses notebooks são construídos para um cenário específico e podem ser usados no estado em que se encontram.
  • Outros destinam-se a ser exemplos para ilustrar técnicas e funcionalidades que pode copiar ou adaptar para utilização nos seus próprios blocos de notas.

Importe outros blocos de anotações do repositório GitHub do Microsoft Sentinel.

Como funcionam os cadernos Jupyter

Os computadores portáteis têm duas componentes:

  • A interface baseada em navegador, onde você insere e executa consultas e código, e onde os resultados da execução são exibidos.
  • Um kernel que é responsável por analisar e executar o próprio código.

O kernel do notebook Microsoft Sentinel é executado em uma máquina virtual (VM) do Azure. A instância da VM pode suportar a execução de vários blocos de anotações ao mesmo tempo. Se os seus blocos de notas incluírem modelos complexos de aprendizagem automática, existem várias opções de licenciamento para utilizar máquinas virtuais mais potentes.

Compreender os pacotes Python

Os notebooks Microsoft Sentinel usam muitas bibliotecas Python populares, como pandas, matplotlib, bokeh e outros. Existem muitos outros pacotes Python para você escolher, cobrindo áreas como:

  • Visualizações e gráficos
  • Processamento e análise de dados
  • Estatística e computação numérica
  • Machine learning e aprendizagem profunda

Para evitar ter que digitar ou colar código complexo e repetitivo em células de notebook, a maioria dos notebooks Python depende de bibliotecas de terceiros chamadas pacotes. Para usar um pacote em um bloco de anotações, você precisa instalar e importar o pacote. O Azure Machine Learning Compute tem os pacotes mais comuns pré-instalados. Certifique-se de importar o pacote ou a parte relevante do pacote, como um módulo, arquivo, função ou classe.

Os notebooks Microsoft Sentinel usam um pacote Python chamado MSTICPy, que é uma coleção de ferramentas de segurança cibernética para recuperação, análise, enriquecimento e visualização de dados.

As ferramentas MSTICPy são projetadas especificamente para ajudar na criação de notebooks para caça e investigação e estamos trabalhando ativamente em novos recursos e melhorias. Para obter mais informações, consulte:

Encontrar blocos de notas

No Microsoft Sentinel, selecione Blocos de Anotações para ver os blocos de anotações fornecidos pelo Microsoft Sentinel. Saiba mais sobre como usar blocos de anotações na caça e investigação de ameaças explorando modelos de bloco de anotações, como a Verificação de Credenciais no Azure Log Analytics e a Investigação Guiada - Alertas de Processo.

Para obter mais blocos de anotações criados pela Microsoft ou contribuídos pela comunidade, vá para o repositório GitHub do Microsoft Sentinel. Use blocos de anotações compartilhados no repositório GitHub do Microsoft Sentinel como ferramentas úteis, ilustrações e exemplos de código que você pode usar ao desenvolver seus próprios blocos de anotações.

  • O Sample-Notebooks diretório inclui blocos de anotações de exemplo que são salvos com dados que você pode usar para mostrar a saída pretendida.

  • O HowTos diretório inclui blocos de anotações que descrevem conceitos como definir sua versão padrão do Python, criar marcadores do Microsoft Sentinel a partir de um bloco de anotações e muito mais.

Gerenciar o acesso aos blocos de anotações do Microsoft Sentinel

Para usar blocos de anotações Jupyter no Microsoft Sentinel, você deve primeiro ter as permissões corretas, dependendo da sua função de usuário.

Enquanto você pode executar blocos de anotações do Microsoft Sentinel no JupyterLab ou no Jupyter classic, no Microsoft Sentinel, os blocos de anotações são executados em uma plataforma Azure Machine Learning . Para executar blocos de anotações no Microsoft Sentinel, você deve ter acesso apropriado ao espaço de trabalho do Microsoft Sentinel e a um espaço de trabalho do Azure Machine Learning.

Permissão Description
Permissões do Microsoft Sentinel Como outros recursos do Microsoft Sentinel, para acessar blocos de anotações na folha Microsoft Sentinel Notebooks, é necessária uma função Microsoft Sentinel Reader, Microsoft Sentinel Responder ou Microsoft Sentinel Contributor.

Para obter mais informações, consulte Permissões no Microsoft Sentinel.
Permissões do Azure Machine Learning Uma área de trabalho do Azure Machine Learning é um recurso do Azure. Como outros recursos do Azure, quando um novo espaço de trabalho do Azure Machine Learning é criado, ele vem com funções padrão. Você pode adicionar usuários ao espaço de trabalho e atribuí-los a uma dessas funções internas. Para obter mais informações, consulte Funções padrão do Azure Machine Learning e Funções internas do Azure.

Importante: o acesso à função pode ter escopo para vários níveis no Azure. Por exemplo, alguém com acesso de proprietário a um espaço de trabalho pode não ter acesso de proprietário ao grupo de recursos que contém o espaço de trabalho. Para obter mais informações, consulte Como funciona o RBAC do Azure.

Se você for proprietário de um espaço de trabalho do Azure ML, poderá adicionar e remover funções para o espaço de trabalho e atribuir funções aos usuários. Para obter mais informações, consulte:
- Portal do Azure
- PowerShell
- CLI do Azure
- API REST
- Modelos do Azure Resource Manager
- Azure Machine Learning CLI

Se as funções internas forem insuficientes, você também poderá criar funções personalizadas. As funções personalizadas podem ter permissões de leitura, gravação, exclusão e computação de recursos nesse espaço de trabalho. Você pode disponibilizar a função em um nível de espaço de trabalho específico, um nível de grupo de recursos específico ou um nível de assinatura específico. Para obter mais informações, consulte Criar função personalizada.

Enviar comentários para um bloco de anotações

Envie comentários, solicitações de recursos, relatórios de bugs ou melhorias para blocos de anotações existentes. Vá para o repositório GitHub do Microsoft Sentinel para criar um problema ou bifurque e carregue uma contribuição.

Para blogs, vídeos e outros recursos, consulte: