Notebooks do Jupyter com recursos de busca do Microsoft Sentinel

Artigo
04/12/2024
Aplica-se a:

Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Os notebooks Jupyter combinam programação completa com uma enorme coleção de bibliotecas para aprendizado de máquina, visualização e análise de dados. Esses atributos fazem do Jupyter uma ferramenta interessante para investigação de segurança e busca.

A base do Microsoft Sentinel é o armazenamento de dados; ele combina consultas de alto desempenho, esquema dinâmico e escalas para grandes volumes de dados. O portal do Azure e todas as ferramentas do Microsoft Sentinel usam uma API comum para acessar esse armazenamento de dados. A mesma API também está disponível para ferramentas externas, como notebooks Jupyter e Python.

Importante

O Microsoft Sentinel está disponível como parte da versão prévia pública da plataforma unificada de operações de segurança no portal do Microsoft Defender. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.

Quando usar notebooks Jupyter

Embora muitas tarefas comuns possam ser executadas no portal, o Jupyter estende o escopo do que você pode fazer com esses dados.

Por exemplo, use notebooks para:

Execução de análises que não são fornecidas prontas para uso no Microsoft Sentinel, como alguns recursos de aprendizado de máquina do Python
Criação de visualizações de dados que não são fornecidas prontas para uso no Microsoft Sentinel, como linhas do tempo personalizadas e árvores de processos
Integração de fontes de dados fora do Microsoft Sentinel, como um conjunto de dados local.

Integramos a experiência do Jupyter ao portal do Azure, facilitando a criação e a execução de notebooks para analisar seus dados. A biblioteca Kqlmagic fornece a associação que permite pegar consultas KQL (Linguagem de Consulta Kusto) do Microsoft Sentinel e executá-las diretamente em um notebook.

Vários notebooks, desenvolvidos por alguns analistas de segurança da Microsoft, são empacotados com o Microsoft Sentinel:

Alguns desses notebooks são criados para um cenário específico e podem ser usados no estado em que se encontram.
Outros são destinados como exemplos para ilustrar técnicas e recursos que você pode copiar ou adaptar para uso em seus notebooks.

Importe outros blocos de anotações do repositório GitHub do Microsoft Sentinel.

Como os notebooks Jupyter funcionam

Os notebooks têm dois componentes:

A interface baseada em navegador na qual você insere e executa consultas e código, e onde os resultados da execução são exibidos.
Um kernel que é responsável pela análise e pela execução do próprio código.

O kernel do notebook do Microsoft Sentinel é executado em uma máquina virtual (VM) do Azure. A instância de VM pode dar suporte à execução de muitos notebooks ao mesmo tempo. Se os seus notebooks incluírem modelos de machine learning complexos, existem várias opções de licenciamento para usar máquinas virtuais mais eficazes.

Entender pacotes do Python

Os notebooks do Microsoft Sentinel usam muitas bibliotecas populares do Python, como pandas, matplotlib, bokeh e outras. Há muitos outros pacotes do Python para você escolher, cobrindo áreas como:

Visualizações e gráficos
Processamento de dados e análise
Estatísticas e computação numérica
Aprendizado de máquina e aprendizado profundo

Para evitar a necessidade de digitar ou colar código complexo e repetitivo em células de notebook, a maioria dos notebooks Python depende de bibliotecas de terceiros chamadas pacotes. Para usar um pacote em um notebook, você precisa instalar e importar o pacote. A Computação do Azure Machine Learning tem pacotes mais comuns pré-instalados. Não deixe de importar o pacote ou a parte relevante do pacote, como um módulo, arquivo, função ou classe.

Os notebooks do Microsoft Sentinel usam um pacote do Python chamadoMSTICPy, que é uma coleção de ferramentas de segurança cibernética para recuperação, análise, enriquecimento e visualização de dados.

As ferramentas MSTICPy foram projetadas especificamente para ajudar na criação de notebooks para busca e investigação, e estamos trabalhando ativamente em novos recursos e aprimoramentos. Para obter mais informações, consulte:

Localizar notebooks

No Microsoft Sentinel, selecione Notebooks para visualizar os notebooks que o Microsoft Sentinel fornece. Saiba mais sobre como usar notebooks em busca e investigação de ameaças explorando modelos de notebook, como a Verificação de credenciais no Azure Log Analytics e Investigação guiada - Alertas de processo.

Para obter mais notebooks criados pela Microsoft ou que contribuíram com a comunidade, acesse o Repositório GitHub do Microsoft Sentinel. Outros notebooks compartilhados no repositório GitHub do Microsoft Sentinel são destinados para uso como ferramentas úteis, ilustrações e códigos de exemplo que você pode usar ao desenvolver seus próprios notebooks.

O Sample-Notebooksdiretório inclui notebooks de exemplo que são salvos com dados que você pode usar para mostrar a saída pretendida.
O HowTos diretório inclui notebooks que descrevem conceitos como a definição da versão padrão do Python, a criação de indicadores do Microsoft Sentinel a partir de um notebook e muito mais.

Gerenciar o acesso aos notebooks do Microsoft Sentinel

Para usar os notebooks do Jupyter no Microsoft Sentinel, primeiro você deve ter as permissões corretas, dependendo da função de usuário.

Embora você possa executar notebooks do Microsoft Sentinel no JupyterLab ou no Jupyter clássico, no Microsoft Sentinel, os notebooks são executados em uma plataforma do Azure Machine Learning. Para executar notebooks no Microsoft Sentinel, você deve ter acesso apropriado ao espaço de trabalho do Microsoft Sentinel e a um espaço de trabalho do Azure Machine Learning.

Permissão	Descrição
Permissões no Microsoft Sentinel	Como outros recursos do Microsoft Sentinel, para acessar notebooks na folha de notebooks do Microsoft Sentinel, é necessário ter um Leitor do Microsoft Sentinel, um Respondente do Microsoft Sentinel ou uma função de Colaborador do Microsoft Sentinel. Para saber mais, veja Permissões no Microsoft Sentinel.
Permissões do Azure Machine Learning	Um workspace do Azure Machine Learning é um recurso do Azure. Assim como outros recursos do Azure, quando um novo workspace do Azure Machine Learning é criado, ele vem com funções padrão. Você pode adicionar usuários ao workspace e atribuí-los a uma dessas funções internas. Para obter mais informações, consulte Funções padrão do Azure Machine Learning e funções internas do Azure. Importante: o acesso à função pode ser definido para vários níveis no Azure. Por exemplo, alguém com acesso de proprietário a um workspace pode não ter acesso de proprietário ao grupo de recursos que contém o workspace. Para obter mais informações, confira Como o RBAC do Azure funciona. Caso seja proprietário de um workspace do Azure ML, você poderá adicionar e remover funções para o workspace e atribuir funções aos usuários. Para obter mais informações, consulte: - Portal do Azure - PowerShell - CLI do Azure - REST API - Modelos do Azure Resource Manager - CLI do Azure Machine Learning Caso as funções internas sejam insuficientes, você tembém poderá criar funções personalizadas. Funções personalizadas podem ter permissões de leitura, gravação, exclusão e recursos de computação neste workspace. Você pode tornar a função disponível em níveis específicos do workspace, do grupo de recursos ou da assinatura. Para obter mais informações, consulte Criar função personalizadas.

Permissão

Descrição

Permissões no Microsoft Sentinel

Como outros recursos do Microsoft Sentinel, para acessar notebooks na folha de notebooks do Microsoft Sentinel, é necessário ter um Leitor do Microsoft Sentinel, um Respondente do Microsoft Sentinel ou uma função de Colaborador do Microsoft Sentinel.

Para saber mais, veja Permissões no Microsoft Sentinel.

Permissões do Azure Machine Learning

Um workspace do Azure Machine Learning é um recurso do Azure. Assim como outros recursos do Azure, quando um novo workspace do Azure Machine Learning é criado, ele vem com funções padrão. Você pode adicionar usuários ao workspace e atribuí-los a uma dessas funções internas. Para obter mais informações, consulte Funções padrão do Azure Machine Learning e funções internas do Azure.

Importante: o acesso à função pode ser definido para vários níveis no Azure. Por exemplo, alguém com acesso de proprietário a um workspace pode não ter acesso de proprietário ao grupo de recursos que contém o workspace. Para obter mais informações, confira Como o RBAC do Azure funciona.

Caso seja proprietário de um workspace do Azure ML, você poderá adicionar e remover funções para o workspace e atribuir funções aos usuários. Para obter mais informações, consulte:
- Portal do Azure
- PowerShell
- CLI do Azure
- REST API
- Modelos do Azure Resource Manager
- CLI do Azure Machine Learning

Caso as funções internas sejam insuficientes, você tembém poderá criar funções personalizadas. Funções personalizadas podem ter permissões de leitura, gravação, exclusão e recursos de computação neste workspace. Você pode tornar a função disponível em níveis específicos do workspace, do grupo de recursos ou da assinatura. Para obter mais informações, consulte Criar função personalizadas.

Enviar comentários para um notebook

Envie comentários, solicitações de recursos, relatórios de bugs ou melhorias para os notebooks existentes. Acesse o Repositório do GitHub do Microsoft Sentinel para criar um problema ou um fork e carregar uma contribuição.

Para blogs, vídeos e outros recursos, consulte: