تكوينات متقدمة لدفاتر ملاحظات Jupyter و MSTICPy في Microsoft Sentinel

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

ملاحظة

يسمى Azure Sentinel الآن Microsoft Sentinel، وسنقوم بتحديث هذه الصفحات في الأسابيع القادمة. تعرف على المزيد حول التحسينات الأمنية الأخيرة لـ Microsoft.

توضح هذه المقالة التكوينات المتقدمة للعمل مع دفاتر ملاحظات Jupyter و MSTICPy في Microsoft Sentinel.

لمزيد من المعلومات، راجع استخدام دفاتر ملاحظات Jupyter للبحث عن تهديدات الأمان والبرنامج التعليمي: بدء استخدام دفاتر ملاحظات Jupyter وMSTICPy في Microsoft Sentinel.

المتطلبات الأساسية

هذه المقالة هي استمرار من البرنامج التعليمي: ابدأ مع دفاتر ملاحظات Jupyter و MSTICPy في Microsoft Sentinel. نوصي بإجراء البرنامج التعليمي قبل متابعة الإجراءات المتقدمة الموضحة أدناه.

تحديد معلمات المصادقة لواجهات برمجة تطبيقات Azure وMicrosoft Sentinel

يوضح هذا الإجراء كيفية تكوين معلمات المصادقة ل Microsoft Sentinel وموارد واجهة برمجة تطبيقات Azure الأخرى في ملف msticpyconfig.yaml.

لإضافة مصادقة Azure وإعدادات واجهة برمجة تطبيقات Microsoft Sentinel في محرر إعدادات MSTICPy:

1. انتقل إلى الخلية التالية، باستخدام التعليمة البرمجية التالية، وقم بتشغيلها:

   mpedit.set_tab("Data Providers")
   mpedit
   

2. في علامة التبويب موفرو البيانات، حدد AzureCLIAdd>.

3. حدد طرق المصادقة التي تريد استخدامها:

   • على الرغم من أنه يمكنك استخدام مجموعة مختلفة من الطرق من الإعدادات الافتراضية ل Azure، إلا أن هذا الاستخدام ليس تكوينا نموذجيا.
   • ما لم تكن ترغب في استخدام مصادقة env (متغير البيئة)، اترك حقول clientIDوtenantiIDوclientSecret فارغة.
   • على الرغم من أنه غير مستحسن ، إلا أن MSTICPy يدعم أيضا استخدام معرفات تطبيقات العميل وأسرارها للمصادقة الخاصة بك. في مثل هذه الحالات، حدد حقول clientID و tenantID و clientSecret مباشرة في علامة التبويب موفري البيانات.

4. حدد حفظ الملف لحفظ التغييرات.

تحديد موفري استعلام التحميل التلقائي

تعريف أي موفري الاستعلام التي تريد MSTICPy لتحميلها تلقائيا عند تشغيل الدالة nbinit.init_notebook .

عند تأليف دفاتر ملاحظات جديدة بشكل متكرر، يمكن لموفري الاستعلام الذين يقومون بالتحميل التلقائي توفير الوقت من خلال التأكد من تحميل الموفرين المطلوبين قبل المكونات الأخرى، مثل الوظائف المحورية وأجهزة الكمبيوتر المحمولة.

لإضافة موفري استعلام التحميل التلقائي:

1. انتقل إلى الخلية التالية، باستخدام التعليمة البرمجية التالية، وقم بتشغيلها:

   mpedit.set_tab("Autoload QueryProvs")
   mpedit
   

2. في علامة التبويب التحميل التلقائي QueryProv :

   • بالنسبة لموفري Microsoft Sentinel، حدد كل من اسم الموفر واسم مساحة العمل التي تريد الاتصال بها.
   • بالنسبة لموفري الاستعلام الآخرين، حدد اسم الموفر فقط.

   يحتوي كل موفر أيضا على القيم الاختيارية التالية:

   • الاتصال التلقائي: يتم تعريف هذا الخيار على أنه True بشكل افتراضي، ويحاول MSTICPy المصادقة إلى الموفر مباشرة بعد التحميل. يفترض MSTICPy أنك قمت بتكوين بيانات الاعتماد للموفر في إعداداتك.

   • اسم مستعار: عندما يقوم MSTICPy بتحميل موفر، فإنه يعين الموفر إلى اسم متغير بايثون. بشكل افتراضي، يتم qryworkspace_name اسم المتغير لموفري Microsoft Sentinel qryprovider_name للموفرين الآخرين.

     على سبيل المثال، إذا قمت بتحميل موفر استعلام لمساحة عمل ContosoSOC ، إنشاء موفر الاستعلام هذا في بيئة دفتر الملاحظات بالاسم qry_ContosoSOC. أضف اسما مستعارا إذا كنت تريد استخدام شيء أقصر أو أسهل في الكتابة والتذكر. سيكون qry_<alias>اسم متغير الموفر ، حيث <alias> يتم استبداله باسم الاسم المستعار الذي قدمته.

     تتم أيضا إضافة موفري الخدمات الذين تقوم بتحميلهم بواسطة هذه الآلية إلى السمة MSTICPy التي يتم استخدامها، على سبيل المثال، في التعليمة current_providers البرمجية التالية:

     import msticpy
     msticpy.current_providers
     

3. حدد حفظ الإعدادات لحفظ التغييرات.

تعريف مكونات MSTICPy المحملة تلقائيا

يوضح هذا الإجراء كيفية تعريف المكونات الأخرى التي يتم تحميلها تلقائيا بواسطة MSTICPy عند تشغيل الدالة nbinit.init_notebook .

تتضمن المكونات المدعومة، بالترتيب التالي:

1. تيلوكوب:مكتبة موفر TI
2. GeoIP:موفر GeoIP الذي تريد استخدامه
3. AzureData: الوحدة النمطية التي تستخدمها للاستعلام عن تفاصيل حول موارد Azure
4. AzureSentinelAPI: الوحدة النمطية التي تستخدمها للاستعلام عن واجهة برمجة تطبيقات Microsoft Sentinel
5. الدفاتر: أجهزة الكمبيوتر المحمولة من حزمة msticnb
6. محور: الوظائف المحورية

ملاحظة

يتم تحميل المكونات بهذا الترتيب لأن المكون المحوري يحتاج إلى استعلام وموفرين آخرين تم تحميلهم للعثور على وظائف المحور التي يقوم بإرفاقها بالكيانات. لمزيد من المعلومات، راجع وثائق MSTICPy.

لتحديد مكونات MSTICPy المحملة تلقائيا:

1. انتقل إلى الخلية التالية، باستخدام التعليمة البرمجية التالية، وقم بتشغيلها:

   mpedit.set_tab("Autoload Components")
   mpedit
   

2. في علامة التبويب مكونات التحميل التلقائي ، حدد أي قيم معلمات حسب الحاجة. على سبيل المثال:

   • GeoIpLookup. أدخل اسم موفر GeoIP الذي تريد استخدامه، إما GeoLiteLookup أو IPStack. لمزيد من المعلومات، راجع إضافة إعدادات موفر GeoIP.

   • AzureData and AzureSentinelAPI components. حدد القيم التالية:

     • auth_methods: تجاوز الإعدادات الافتراضية ل AzureCLI، والاتصال باستخدام الطرق المحددة.
     • الاتصال التلقائي: اضبط على false للتحميل بدون اتصال.

     لمزيد من المعلومات، راجع تحديد معلمات المصادقة لواجهات برمجة تطبيقات Azure وMicrosoft Sentinel.

   • دفاتر الملاحظات. يحتوي مكون Notebooklets على كتلة معلمة واحدة: AzureSentinel.

     حدد مساحة عمل Microsoft Sentinel باستخدام بناء الجملة التالي: workspace:\<workspace name>. يجب أن يكون اسم مساحة العمل إحدى مساحات العمل المحددة في علامة التبويب Microsoft Sentinel .

     إذا كنت تريد إضافة المزيد من المعلمات لإرسالها إلى الدالة notebooklets init ، فحددها كأزواج مفاتيح:قيمة، مفصولة بخطوط جديدة. على سبيل المثال:

     workspace:<workspace name>
     providers=["LocalData","geolitelookup"]
     

     لمزيد من المعلومات، راجع وثائق MSTICNB (دفاتر ملاحظات MSTIC).

   بعض المكونات، مثل TILookupوPivot، لا تتطلب أي معلمات.

3. حدد حفظ الإعدادات لحفظ التغييرات.

التبديل بين حبات بايثون 3.6 و 3.8

إذا كنت تقوم بالتبديل بين حبات Python 3.65 و 3.8 ، فقد تجد أن MSTICPy والحزم الأخرى لا يتم تثبيتها كما هو متوقع.

قد يحدث هذا عندما !pip install pkg يتم تثبيت الأمر بشكل صحيح في البيئة الأولى ، ولكن بعد ذلك لا يتم تثبيته بشكل صحيح في البيئة الثانية. يؤدي ذلك إلى إنشاء موقف لا تستطيع فيه البيئة الثانية استيراد الحزمة أو استخدامها.

نوصي بعدم استخدامها !pip install... لتثبيت الحزم في دفاتر ملاحظات Azure ML. بدلا من ذلك، استخدم أحد الخيارات التالية:

• استخدم سحر خط ٪pip داخل دفتر ملاحظات. قم بتشغيل:

  
  %pip install --upgrade msticpy
  

• تثبيت من محطة طرفية:

  1. افتح محطة طرفية في دفاتر ملاحظات Azure ML وقم بتشغيل الأوامر التالية:

     conda activate azureml_py38
     pip install --upgrade msticpy
     

  2. أغلق المحطة الطرفية وأعد تشغيل kernel.

تعيين متغير بيئة لملف msticpyconfig.yaml الخاص بك

إذا كنت تعمل في Azure ML وكان لديك ملف msticpyconfig.yaml في جذر مجلد المستخدم الخاص بك، فسيجد MSTICPy تلقائيا هذه الإعدادات. ومع ذلك، إذا كنت تقوم بتشغيل دفاتر الملاحظات في بيئة أخرى، فاتبع الإرشادات الواردة في هذا القسم لتعيين متغير بيئة يشير إلى موقع ملف التكوين.

يتيح لك تحديد المسار إلى ملف msticpyconfig.yaml في متغير بيئة تخزين ملفك في موقع معروف والتأكد من تحميل نفس الإعدادات دائما.

استخدم ملفات تكوين متعددة، مع متغيرات بيئة متعددة، إذا كنت تريد استخدام إعدادات مختلفة لدفاتر ملاحظات مختلفة.

1. حدد موقعا لملف msticpyconfig.yaml، كما هو الحال في ~/.msticpyconfig.yaml أو ٪userprofile٪/msticpyconfig.yaml.

   مستخدمو Azure ML: إذا قمت بتخزين ملف التكوين الخاص بك في مجلد مستخدم Azure ML، فستقوم الدالة MSTICPy init_notebook (التي يتم تشغيلها في خلية التهيئة) تلقائيا بالعثور على الملف واستخدامه، ولن تحتاج إلى تعيين متغير بيئة MSTICPYCONFIG .

   ومع ذلك، إذا كان لديك أيضا أسرار مخزنة في الملف، فإننا نوصي بتخزين ملف التكوين على محرك الأقراص المحلي للحوسبة. لا يمكن الوصول إلى وحدة التخزين الداخلية للحوسبة إلا للشخص الذي أنشأ الحوسبة، في حين يمكن الوصول إلى مساحة التخزين المشتركة لأي شخص لديه حق الوصول إلى مساحة عمل Azure ML الخاصة بك.

   لمزيد من المعلومات، راجع ما هو مثيل حساب Azure التعلم الآلي؟.

2. إذا لزم الأمر، انسخ ملف msticpyconfig.yaml إلى موقعك المحدد.

3. تعيين متغير بيئة MSTICPYCONFIG للإشارة إلى هذا الموقع.

استخدم أحد الإجراءات التالية لتحديد متغير بيئة MSTICPYCONFIG .

Windows

على سبيل المثال، لتعيين متغير بيئة MSTICPYCONFIG على أنظمة Windows:

1. نقل الملف msticpyconfig.yaml إلى مثيل الحوسبة حسب الحاجة.

2. افتح مربع الحوار خصائص النظام إلى علامة التبويب خيارات متقدمة .

3. حدد متغيرات البيئة... لفتح مربع الحوار متغيرات البيئة.

4. في منطقة متغيرات النظام ، حدد جديد...، وحدد القيم كما يلي:

   • اسم المتغير: تعريف ك MSTICPYCONFIG
   • قيمة متغيرة: أدخل المسار إلى ملف msticpyconfig.yaml

Linux

يوضح هذا الإجراء كيفية تحديث الملف.bashrc لتعيين متغير بيئة MSTICPYCONFIG على أنظمة Linux.

1. نقل الملف msticpyconfig.yaml إلى مثيل الحوسبة حسب الحاجة.

2. افتح محطة Azure ML الطرفية، مثل صفحة دفاتر ملاحظات Microsoft Sentinel .

3. تحقق من أنه يمكنك الوصول إلى ملف msticpyconfig.yaml.

   في محطة Azure ML الطرفية، يجب أن يكون دليلك الحالي هو الدليل الرئيسي لمخزن ملفات Azure ML، المثبت في نظام Compute Linux. تبدو المطالبة مشابهة للمثال التالي:

   azureuser@alicecontoso-azml7:~/cloudfiles/code/Users/alicecontoso$
   

   سرد كافة الملفات في الدليل الرئيسي، بما في ذلك الملف msticpyconfig.yaml ، عن طريق إدخال ls.

4. لنقل الملف msticpyconfig.yaml إلى مخزن ملفات الحوسبة، أدخل:

   mv msticpyconfig.yaml ~
   

5. استخدم إحدى العمليات التالية لتحرير ملف .bashrc لمتغير البيئة الخاص بك:

   الأمر	‏‏الخطوات
   فيم	1. تشغيل: vim ~/.bashrc 2. انتقل إلى نهاية الملف عن طريق الضغط على SHIFT + GEnd>. 3. قم بإنشاء سطر جديد عن طريق إدخال ثم الضغط على مفتاح الإدخال ENTER. 4. أضف متغير البيئة الخاص بك ثم اضغط على ESC للعودة إلى وضع الأوامر. 5. احفظ الملف عن طريق إدخال :wq.
   نانو	1. تشغيل: nano ~/.bashrc 1. انتقل إلى نهاية الملف بالضغط على ALT + / أو OPTION+/. 1. أضف متغير البيئة الخاص بك ، ثم احفظ ملفك. اضغط على CTRL+X ثم Y.

   أضف أحد متغيرات البيئة التالية:

   • إذا قمت بنقل الملف msticpyconfig.yaml، فقم بتشغيل export MSTICPYCONFIG=~/msticpyconfig.yaml.
   • إذا لم تقم بنقل الملف msticpyconfig.yaml، فقم بتشغيل export MSTICPYCONFIG=~/cloudfiles/code/Users/<YOURNAME>/msticpyconfig.yaml.

Azure ML options

إذا كنت بحاجة إلى تخزين ملف msticpyconfig.yaml في مكان آخر غير مجلد مستخدم Azure ML، فاستخدم أحد الخيارات التالية:

• ملف nbuser_settings.py في جذر مجلد المستخدم الخاص بك. على الرغم من أن هذه العملية أبسط وأقل تدخلا من تحرير ملف kernel.json ، إلا أنها مدعومة فقط عند تشغيل init_notebook الوظيفة في بداية التعليمات البرمجية للكمبيوتر المحمول. على الرغم من أن هذا هو السلوك الافتراضي ، إذا قمت بتشغيل التعليمات البرمجية لدفتر الملاحظات دون تشغيل init_notebookأولا ، قد لا يتمكن MSTICPy من العثور على ملف التكوين.

  1. في محطة Azure ML، قم بإنشاء ملف nbuser_settings.py في جذر مجلد المستخدم الخاص بك، وهو المجلد الذي يحتوي على اسم المستخدم الخاص بك.

  2. في ملف nbuser_settings.py، أضف الأسطر التالية:

       import os
       os.environ["MSTICPYCONFIG"] = "~/msticpyconfig.yaml"
     

  يتم استيراد هذا الملف تلقائيا بواسطة الدالة init_notebook ، ويقوم بتعيين MSTICPYCONFIG متغير البيئة لدفتر الملاحظات الحالي.

• ملف kernel.json لنواة بايثون الخاصة بك. استخدم هذا الإجراء إذا كنت تخطط لتشغيل دفتر الملاحظات يدويا، وربما بدون استدعاء الوظيفة init_notebook في البداية.

  هناك حبات ل Python 3.6 و Python 3.8. إذا كنت تستخدم كلا النواة، فقم بتحرير كلا الملفين.

  • موقع بايثون 3.8: / usr/local/share/jupyter/kernels/python38-azureml/kernel.json
  • موقع بايثون 3.6: / usr/local/share/jupyter/kernels/python3-azureml/kernel.json

  لتعيين متغير البيئة في الملف kernel.json :

  1. قم بعمل نسخة من ملف kernel.json ، وافتح المستند الأصلي في محرر. قد تحتاج إلى استخدامها sudo للكتابة فوق الملف kernel.json ، وتبدو محتويات الملف مشابهة للمثال التالي:

     {
        "argv": [
        "/anaconda/envs/azureml_py38/bin/python",
        "-m",
        "ipykernel_launcher",
        "-f",
        "{connection_file}"
        ],
        "display_name": "Python 3.8 - AzureML",
        "language": "python"
     }
     

  2. بعد العنصر، أضف السطر "language" التالي: "env": { "MSTICPYCONFIG": "~/msticpyconfig.yaml" }

     تأكد من إضافة الفاصلة في نهاية السطر "language": "python" . على سبيل المثال:

     {
         "argv": [
         "/anaconda/envs/azureml_py38/bin/python",
         "-m",
         "ipykernel_launcher",
         "-f",
         "{connection_file}"
         ],
         "display_name": "Python 3.8 - AzureML",
         "language": "python",
         "env": { "MSTICPYCONFIG": "~/msticpyconfig.yaml" }
     }
     

ملاحظة

بالنسبة لخيارات Linux و Windows ، ستحتاج إلى إعادة تشغيل خادم Jupyter الخاص بك حتى يتمكن من التقاط متغير البيئة الذي حددته.

الخطوات التالية

لمزيد من المعلومات، انظر:

الموضوع	المزيد من المراجع
MSTICPy	- تكوين حزمة MSTICPy - MSTICPy محرر الإعدادات - تكوين بيئة دفتر الملاحظات. - MPSettingsEditor دفتر الملاحظات. ملاحظة: يحتوي GitHub الريبو Azure-Sentinel-Notebooks أيضا على قالب msticpyconfig.yaml مع مقاطع معلقة، مما قد يساعدك على فهم الإعدادات.
أجهزة الكمبيوتر المحمولة Microsoft Sentinel و Jupyter	- إنشاء أول دفتر ملاحظات Microsoft Sentinel (سلسلة مدونات) - دفاتر ملاحظات Jupyter: مقدمة - وثائق MSTICPy - وثائق دفاتر ملاحظات Microsoft Sentinel - The Infosec Jupyterbook - لينكس المضيف مستكشف دفتر الملاحظات التجول - لماذا تستخدم Jupyter للتحقيقات الأمنية - تحقيقات الأمان مع دفاتر ملاحظات Microsoft Sentinel & - وثائق الباندا - وثائق بوكيه