Use blocos de anotações do Jupyter para procurar ameaças de segurançaUse Jupyter notebooks to hunt for security threats

A base do Azure Sentinel é o armazenamento de dados; Ele combina consultas de alto desempenho, esquema dinâmico e escalas para grandes volumes de dados.The foundation of Azure Sentinel is the data store; it combines high performance querying, dynamic schema, and scales to massive data volumes. O portal do Azure e todas as ferramentas do Azure Sentinel usam uma API comum para acessar esse armazenamento de dados.The Azure portal and all Azure Sentinel tools use a common API to access this data store. A mesma API também está disponível para ferramentas externas, como notebooks Jupyter e Python.The same API is also available for external tools such as Jupyter notebooks and Python. Embora muitas tarefas comuns possam ser executadas no portal, o Jupyter estende o escopo do que você pode fazer com esses dados.While many common tasks can be carried out in the portal, Jupyter extends the scope of what you can do with this data. Ele combina programação completa com uma enorme coleção de bibliotecas para aprendizado de máquina, visualização e análise de dados.It combines full programmability with a huge collection of libraries for machine learning, visualization, and data analysis. Esses atributos tornam o Jupyter uma ferramenta atraente para investigação de segurança e busca.These attributes make Jupyter a compelling tool for security investigation and hunting.

Bloco de anotações de exemplo

Integramos a experiência do Jupyter à portal do Azure, facilitando a criação e a execução de notebooks para analisar seus dados.We've integrated the Jupyter experience into the Azure portal, making it easy for you to create and run notebooks to analyze your data. A biblioteca Kqlmagic fornece a cola que permite que você faça consultas do Azure Sentinel e execute-as diretamente dentro de um notebook.The Kqlmagic library provides the glue that lets you take queries from Azure Sentinel and run them directly inside a notebook. As consultas usam a linguagem de consulta Kusto.Queries use the Kusto Query Language. Vários notebooks, desenvolvidos por alguns dos analistas de segurança da Microsoft, são empacotados com o Azure Sentinel.Several notebooks, developed by some of Microsoft's security analysts, are packaged with Azure Sentinel. Alguns desses notebooks são criados para um cenário específico e podem ser usados no estado em que se encontram.Some of these notebooks are built for a specific scenario and can be used as-is. Outras são destinadas a exemplos para ilustrar técnicas e recursos que você pode copiar ou adaptar para uso em seus próprios blocos de anotações.Others are intended as samples to illustrate techniques and features that you can copy or adapt for use in your own notebooks. Outros blocos de anotações também podem ser importados do GitHub da Comunidade do Azure Sentinel.Other notebooks may also be imported from the Azure Sentinel community GitHub.

A experiência de Jupyter integrada usa Azure notebooks para armazenar, compartilhar e executar blocos de anotações.The integrated Jupyter experience uses Azure Notebooks to store, share, and execute notebooks. Você também pode executar esses blocos de anotações localmente se tiver um ambiente de Python e Jupyter em seu computador ou em outros ambientes de JupterHub, como Azure Databricks.You can also run these notebooks locally if you have a Python environment and Jupyter on your computer, or in other JupterHub environments such as Azure Databricks.

Os notebooks têm dois componentes:Notebooks have two components:

  • A interface baseada em navegador na qual você insere e executa consultas e código e onde os resultados da execução são exibidos.The browser-based interface where you enter and run queries and code, and where the results of the execution are displayed.
  • Um kernel que é responsável por analisar e executar o próprio código.A kernel that is responsible for parsing and executing the code itself.

Em Azure Notebooks, por padrão, esse kernel é executado no armazenamento e computação de nuvem gratuitado Azure.In Azure Notebooks, by default, this kernel runs on Azure Free Cloud Compute and Storage. Se os seus notebooks incluírem modelos ou visualizações de aprendizado de máquina complexos, considere o uso de recursos de computação mais avançados e dedicados, como DSVM ( máquinas virtuais de ciência de dados ).If your notebooks include complex machine learning models or visualizations, consider using more powerful, dedicated compute resources such as Data Science Virtual Machines (DSVM). Os blocos de anotações em sua conta são mantidos privados, a menos que você opte por compartilhá-los.Notebooks in your account are kept private unless you choose to share them.

Os notebooks do Azure Sentinel usam muitas bibliotecas de Python populares, como pandas, matplotlib, bokeh e outros.The Azure Sentinel notebooks use many popular Python libraries such as pandas, matplotlib, bokeh, and others. Há muitos outros pacotes python para você escolher, cobrindo áreas como:There are a great many other Python packages for you to choose from, covering areas such as:

  • Visualizações e gráficosVisualizations and graphics
  • Processamento e análise de dadosData processing and analysis
  • Estatísticas e computação numéricaStatistics and numerical computing
  • Aprendizado de máquina e aprendizado profundoMachine learning and deep learning

Também lançamos algumas ferramentas de segurança Jupyter de código aberto em um pacote chamado msticpy.We've also released some open-source Jupyter security tools in a package named msticpy. Esse pacote é usado em muitos dos Notebooks incluídos.This package is used in many of the included notebooks. As ferramentas Msticpy foram projetadas especificamente para ajudar na criação de notebooks para busca e investigação e estamos trabalhando ativamente em novos recursos e aprimoramentos.Msticpy tools are designed specifically to help with creating notebooks for hunting and investigation and we're actively working on new features and improvements.

Os notebooks iniciais incluem:The initial notebooks include:

  • Investigação guiada-alertas de processo: permite que você faça a triagem rapidamente de alertas analisando a atividade no host ou hosts afetados.Guided investigation - Process Alerts: Allows you to quickly triage alerts by analyzing activity on the affected host or hosts.
  • Busca guiada – Gerenciador de host do Windows: permite que você explore a atividade da conta, execuções de processo, atividade de rede e outros eventos em um host.Guided hunting - Windows host explorer: Allows you to explore account activity, process executions, network activity, and other events on a host.
  • Busca guiada-Office365-explorando: busca por atividade suspeita do Office 365 em vários conjuntos de dados do Office 365.Guided hunting - Office365-Exploring: Hunt for suspicious Office 365 activity in multiple Office 365 data sets.

O repositório GitHub da Comunidade do Azure Sentinel é o local para os notebooks futuros do Azure Sentinel criados pela Microsoft ou contribuídos pela Comunidade.The Azure Sentinel Community GitHub repository is the location for any future Azure Sentinel notebooks built by Microsoft or contributed from the community.

Para usar os notebooks, você deve ter uma conta de Azure Notebooks.To use the notebooks, you must have an Azure Notebooks account. Para obter mais informações, consulte início rápido: entrar e definir uma ID de usuário na documentação do Azure notebooks.For more information, see Quickstart: Sign in and set a user ID from the Azure Notebooks documentation. Para criar essa conta, você pode usar a opção inscrever-se no Azure notebooks na barra de comandos no Azure Sentinel-notebooks:To create this account, you can use the Sign up for Azure Notebooks option from the command bar in Azure Sentinel - Notebooks:

inscrever-se para Azure Notebooks opçãoSign up for Azure Notebooks option

Exibir blocos de anotações disponíveis do Azure SentinelView available notebooks from Azure Sentinel

  1. No portal do Azure, navegue até Azure Sentinel > gerenciamento de ameaças > notebooks, onde você pode ver os blocos de anotações que o Azure Sentinel fornece.From the Azure portal, navigate to Azure Sentinel > Threat management > Notebooks, where you can see notebooks that Azure Sentinel provides.

  2. Selecione blocos de anotações individuais para ler suas descrições, tipos de dados necessários e fontes de dados.Select individual notebooks to read their descriptions, required data types, and data sources. Por exemplo:For example:

    iniciar do bloco de anotaçõeslaunch notebook

  3. Selecione Iniciar bloco de anotações para procurar os notebooks no repositório GitHub da Comunidade do Azure Sentinel.Select Launch Notebook to browse the notebooks on the Azure Sentinel Community GitHub repository.

No momento, não é possível iniciar um bloco de anotações diretamente do Azure Sentinel.Currently, you can't launch a notebook directly from Azure Sentinel. Em vez disso, use o procedimento a seguir que percorre a clonagem dos blocos de anotações no GitHub em um projeto Azure Notebooks.Instead, use the following procedure that steps you through cloning the notebooks on GitHub into an Azure Notebooks project.

Clonar blocos de anotações do Azure Sentinel para um novo projeto Azure NotebooksClone Azure Sentinel notebooks to a new Azure Notebooks project

Este procedimento cria um projeto Azure Notebooks para você, que contém os notebooks do Azure Sentinel.This procedure creates an Azure Notebooks project for you, which contains the Azure Sentinel notebooks. Em seguida, você pode executar os blocos de anotações como estão, ou fazer alterações neles e executá-los.You can then run the notebooks as-is, or make changes to them and then run them.

  1. No portal do Azure, navegue até Azure Sentinel > gerenciamento de ameaças > notebooks e, em seguida, selecione clonar blocos de anotações na barra de comandos:From the Azure portal, navigate to Azure Sentinel > Threat management > Notebooks and then select Clone Notebooks from the command bar:

    opção clonar blocos de anotaçõesClone Notebooks option

  2. Quando a caixa de diálogo a seguir for exibida, selecione importar para clonar o repositório do GitHub em seu projeto de Azure notebooks.When the following dialog appears, select Import to clone the GitHub repo into your Azure Notebooks project. Se você não tiver uma conta de Azure Notebooks existente, será solicitado que você crie uma e entre.If you don't have an existing Azure Notebooks account, you'll be prompted to create one and sign in.

    Importar bloco de anotações

  3. Na caixa de diálogo carregar repositório GitHub , não selecione clonar recursivamente porque essa opção se refere a repositórios do GitHub vinculado.On the Upload GitHub Repository dialog box, don't select Clone recursively because this option refers to linked GitHub repos. Para o nome do projeto, use o nome padrão ou digite um novo.For the project name, use the default name or type in a new one. Em seguida, clique em importar para iniciar a clonagem do conteúdo do GitHub, o que pode levar alguns minutos para ser concluído.Then click Import to start cloning the GitHub content, which can take a few minutes to complete.

    Importar bloco de anotações

  4. Abra o projeto que você acabou de criar e, em seguida, abra a pasta blocos de anotações para ver os blocos de anotações.Open the project you just created, and then open the Notebooks folder to see the notebooks. Por exemplo:For example:

    Importar repositório

Em seguida, você pode executar os blocos de anotações do Azure Notebooks.You can then run the notebooks from Azure Notebooks. Para retornar a esses blocos de anotações do Azure Sentinel, selecione ir para seus blocos de anotações na barra de comandos no Azure Sentinel-notebooks:To return to these notebooks from Azure Sentinel, select Go to your Notebooks from the command bar in Azure Sentinel - Notebooks:

ir para a opção de seus blocos de anotaçõesGo to your Notebooks option

Usando blocos de anotações para procurarUsing notebooks to hunt

Cada Notebook orienta você pelas etapas para realizar uma busca ou investigação.Each notebook walks you through the steps for carrying out a hunt or investigation. As bibliotecas e outras dependências necessárias para o notebook podem ser instaladas no próprio bloco de anotações ou por meio de um procedimento de configuração simples.Libraries and other dependencies needed by the notebook can be installed from the notebook itself or via a simple configuration procedure. A configuração que vincula o seu projeto de bloco de anotações à sua assinatura do Azure Sentinel é automaticamente provisionada nas etapas anteriores.Configuration that ties your notebook project back to your Azure Sentinel subscription is automatically provisioned in the preceding steps.

  1. Se ainda não estiver no Azure Notebooks, você poderá usar a opção ir para o bloco de anotações na barra de comandos no Azure Sentinel-notebooks:If you're not already in Azure Notebooks, you can use the Go to your Notebooks option from the command bar in Azure Sentinel - Notebooks:

    ir para a opção de seus blocos de anotaçõesGo to your Notebooks option

    Em Azure Notebooks, selecione meus projetos, o projeto que contém os blocos de anotações do Azure Sentinel e, por fim, a pasta blocos de anotações .In Azure Notebooks, select My Projects, then the project that contains the Azure Sentinel notebooks, and finally the Notebooks folder.

  2. Antes de abrir um bloco de anotações, lembre-se de que, por padrão, a computação gratuita é selecionada para executar os blocos de anotações:Before you open a notebook, be aware that by default, Free Compute is selected to run the notebooks:

    selecionar bloco de anotações

    Se você tiver configurado uma DSVM (máquinas virtuais de ciência de dados) para usar conforme explicado na introdução, selecione o DSVM e autenticar antes de abrir o primeiro bloco de anotações.If you've configured a Data Science Virtual Machines (DSVM) to use as explained in the introduction, select the DSVM and authenticate before you open the first notebook.

  3. Selecione um bloco de anotações para abri-lo.Select a notebook to open it.

    Na primeira vez que você abrir um bloco de anotações, você poderá ser solicitado a selecionar uma versão do kernel.The first time you open a notebook, you might be prompted to select a kernel version. Se não for solicitado, você poderá selecionar a **versão do kernel no kernel > ** alterar kernele, em seguida, selecionar uma versão que seja pelo menos 3,6.If you're not prompted, you can select the kernel version from Kernel > Change kernel, and then select a version that's at least 3.6. A versão do kernel selecionada é exibida no canto superior direito da janela do notebook:The selected kernel version is displayed in the top right of the notebook window:

    selecionar bloco de anotações

  4. Antes de fazer alterações no notebook que você baixou, é uma boa ideia fazer uma cópia do notebook original e trabalhar na cópia.Before you make any changes to notebook that you've downloaded, it's a good idea to make a copy of the original notebook and work on the copy. Para fazer isso, selecione arquivo > fazer uma cópia.To do that, select File > Make a Copy. Trabalhar em cópias permite que você atualize com segurança para versões futuras de blocos de anotações sem substituir nenhum dos seus dados.Working on copies lets you safely update to future versions of notebooks without overwriting any of your data.

    Agora você está pronto para executar ou editar o bloco de anotações selecionado.You're now ready to run or edit the selected notebook.

Recomendações:Recommendations:

  • Para obter uma breve introdução à consulta de dados no Azure Sentinel, examine o bloco de anotações getstarted na pasta do bloco de anotações principal.For a quick introduction to querying data in Azure Sentinel, look at the GetStarted notebook in the main Notebooks folder.

  • Você encontrará blocos de anotações de exemplo adicionais na subpasta de blocos de anotações de exemplo .You'll find additional sample notebooks in the Sample-Notebooks subfolder. Esses blocos de anotações de exemplo foram salvos com dados, para que seja mais fácil ver a saída pretendida.These sample notebooks have been saved with data, so that it's easier to see the intended output. É recomendável exibir esses blocos de anotações no nbviewer.We recommend viewing these notebooks in nbviewer.

  • A pasta HOWTOs contém blocos de anotações que descrevem, por exemplo: definir a versão padrão do Python, configurar um DSVM, criar indicadores do Azure Sentinel de um notebook e outros assuntos.The HowTos folder contains notebooks describing, for example: Setting you default Python version, configuring a DSVM, creating Azure Sentinel bookmarks from a notebook, and other subjects.

Os notebooks fornecidos são destinados como ferramentas úteis, como ilustrações e exemplos de código que você pode usar no desenvolvimento de seus próprios blocos de anotações.The notebooks provided are intended as both useful tools and as illustrations and code samples that you can use in the development of your own notebooks.

Agradecemos comentários, sejam sugestões, solicitações de recursos, blocos de anotações contribuídos, relatórios de bugs ou melhorias e adições a blocos de anotações existentes.We welcome feedback, whether suggestions, requests for features, contributed Notebooks, bug reports or improvements and additions to existing notebooks. Acesse o GitHub da Comunidade do Azure Sentinel para criar um problema ou bifurcar e carregar uma contribuição.Go to the Azure Sentinel Community GitHub to create an issue or fork and upload a contribution.

Próximas etapasNext steps

Neste artigo, você aprendeu a começar a usar o Jupyter notebooks no Azure Sentinel.In this article, you learned how to get started using Jupyter notebooks in Azure Sentinel. Para saber mais sobre o Azure Sentinel, consulte os seguintes artigos:To learn more about Azure Sentinel, see the following articles: