Eksplorowanie kodu notesu

  • 7 min

Poniższe bloki kodu notesu "Getting Started Guide for Microsoft Sentinel ML Notebooks" zawierają reprezentatywny przykład pracy z danymi usługi Microsoft Sentinel.

Blok kodu

W tym fragmencie kodu:

  • Utwórz nową zmienną [test_query], która zawiera zapytanie KQL.

  • Następnie uruchom zapytanie [qry_prov.exec_query()]. Wykorzystuje to bibliotekę msticpy do wykonywania zapytania KQL w powiązanym obszarze roboczym usługi Log Analytics usługi Microsoft Sentinel. Wyniki są przechowywane w zmiennej [test_df].

  • Następnie wyświetl pięć pierwszych wierszy z funkcją xxx_xxxx.head().

Screenshot of a Sentinel Notebook Sample 1 Query.

Blok kodu

W tym fragmencie kodu:

  • Utworzysz nową funkcję o nazwie lookup_res, która przyjmuje wiersz zmiennej.

  • Następnie zapisz adres IP przechowywany w wierszu do zmiennej [ip].

  • W następnym wierszu kodu użyto funkcji msticpy [ti.lookup_ioc()] w celu wykonywania zapytań względem tabeli ThreatIntelligenceIndicator dla wiersza, który pochodzi z obiektu VirusTotal z pasującym adresem IP.

  • Następnie funkcja msticpy [ti.result_to_df()] zwróci reprezentację ramki danych odpowiedzi.

  • Nowa funkcja zwraca ważność adresu IP.

Screenshot of a Sentinel Notebook Sample 2 Query.

Blok kodu

W tym fragmencie kodu:

  • Utwórz nową zmienną [vis_q], która zawiera zapytanie KQL.

  • Następnie uruchom zapytanie [qry_prov.exec_query()]. Wykorzystuje to bibliotekę msticpy do wykonywania zapytania KQL w powiązanym obszarze roboczym usługi Log Analytics usługi Microsoft Sentinel. Wyniki są przechowywane w zmiennej [vis_data].

  • Następnie [qry_prov.exec_query()] zwraca ramkę danych biblioteki pandas, która udostępnia funkcje wizualizacji. Następnie wykreślisz wykres słupkowy z unikatowymi adresami IP i tym, ile razy były używane w pierwszych pięciu wpisach ramki danych.

Screenshot of a Sentinel Notebook Sample 3 Query.