Microsoft Sentinel 中 Jupyter Notebook 和 MSTICPy 的進階設定

本文說明在 Microsoft Sentinel 中使用 Jupyter Notebook 和 MSTICPy 的進階設定。

如需詳細資訊，請參閱 使用 Jupyter Notebook 來尋找安全性威脅 和 教學課程：開始使用 Microsoft Sentinel 中的 Jupyter Notebook 和 MSTICPy。

必要條件

本文是 教學課程：開始使用 Microsoft Sentinel 中的 Jupyter Notebook 和 MSTICPy。 建議您先執行教學課程，再繼續進行以下所述的進階程式。

指定 Azure 和 Microsoft Sentinel API 的驗證參數

此程式描述如何在 msticpyconfig.yaml 檔案中 設定 Microsoft Sentinel 和其他 Azure API 資源的驗證參數。

若要在 MSTICPy 設定編輯器中新增 Azure 驗證和 Microsoft Sentinel API 設定：

1. 使用下列程式代碼繼續進行下一個儲存格，然後執行它：

   mpedit.set_tab("Data Providers")
   mpedit
   

2. 在 [數據提供者] 索引標籤中，選取 [AzureCLI>新增]。

3. 選取要使用的驗證方法：

   • 雖然您可以使用與 Azure 預設值不同的一組方法，但此使用方式不是一般組態。
   • 除非您想要使用 env （環境變數） 驗證，否則請將 clientId、 tenantiId 和 clientSecret 字段保留空白。
   • 雖然不建議，但 MSTICPy 也支援使用用戶端應用程式識別碼和秘密進行驗證。 在這種情況下，請直接在 [數據提供者] 索引標籤中定義您的 clientId、tenantId 和 clientSecret 字段。

4. 選取 [ 儲存盤案 ] 以儲存您的變更。

定義自動載入查詢提供者

定義您想要 MSTICPy 在執行函式時 nbinit.init_notebook 自動載入的任何查詢提供者。

當您經常撰寫新的筆記本時，自動載入查詢提供者可以藉由確保必要提供者在其他元件之前載入，例如樞紐函式和 Notebooklet，來節省時間。

若要新增自動載入查詢提供者：

1. 使用下列程式代碼繼續進行下一個儲存格，然後執行它：

   mpedit.set_tab("Autoload QueryProvs")
   mpedit
   

2. 在 [ 自動載入 QueryProv] 索引標籤 中：

   • 針對 Microsoft Sentinel 提供者，請同時指定您要連線的提供者名稱和工作區名稱。
   • 若為其他查詢提供者，請只指定提供者名稱。

   每個提供者也有下列選擇性值：

   • 自動連線： 此選項預設定義為 True ，而且 MSTICPy 會在載入後立即嘗試向提供者進行驗證。 MSTICPy 假設您已在設定中設定提供者的認證。

   • 別名： 當 MSTICPy 載入提供者時，它會將提供者指派給 Python 變數名稱。 根據預設，Microsoft Sentinel 提供者的變數名稱為qryworkspace_name，而其他提供者則qryprovider_name。

     例如，如果您載入 ContosoSOC 工作區的查詢提供者，此查詢提供者將會在筆記本環境中建立名稱qry_ContosoSOC為 。 如果您想要使用較短或更容易輸入和記住的專案，請新增別名。 提供者變數名稱將會是 qry_<alias>，其中 <alias> 會取代為您提供的別名名稱。

     您透過此機制載入的提供者也會新增至 MSTICPy current_providers 屬性，例如，在下列程式代碼中使用：

     import msticpy
     msticpy.current_providers
     

3. 選取 [儲存 設定]，以儲存變更。

定義自動載入的 MSTICPy 元件

此程式描述如何定義 MSTICPy 在執行函式時 nbinit.init_notebook 自動載入的其他元件。

支援的元件會依下列順序包含：

1. TILookup：TI 提供者連結庫
2. GeoIP：您想要使用的 GeoIP 提供者
3. AzureData： 您用來查詢 Azure 資源詳細 數據的模組
4. AzureSentinelAPI： 您用來查詢 Microsoft Sentinel API 的模組
5. Notebooklet： msticnb 套件中的 Notebooklet
6. 樞紐： 樞紐函數

注意

元件會依此順序載入，因為樞紐元件需要查詢和其他已載入的提供者，才能尋找附加至實體的樞紐函式。 如需詳細資訊，請參閱 MSTICPy 檔。

若要定義自動載入的 MSTICPy 元件：

1. 使用下列程式代碼繼續進行下一個儲存格，然後執行它：

   mpedit.set_tab("Autoload Components")
   mpedit
   

2. 在 [ 自動載入元件] 索引標籤中，視需要定義任何參數值。 例如：

   • GeoIpLookup。 輸入您想要使用的 GeoIP 提供者名稱，即 GeoLiteLookup 或 IPStack。 如需詳細資訊，請參閱 新增 GeoIP 提供者設定。

   • AzureData 和 AzureSentinelAPI 元件。 定義下列值：

     • auth_methods： 覆寫 AzureCLI 的預設設定，並使用選取的方法進行連線。
     • 自動連線： 設定為 false 以載入而不連接。

     如需詳細資訊，請參閱 指定 Azure 和 Microsoft Sentinel API 的驗證參數。

   • Notebooklet。 Notebooklet 元件具有單一參數區塊：AzureSentinel。

     使用下列語法指定您的 Microsoft Sentinel 工作區： workspace:\<workspace name>。 工作區名稱必須是 Microsoft Sentinel 索引標籤中定義的其中一個工作區。

     如果您想要新增更多參數以傳送至函 notebooklets init 式，請將其指定為索引鍵：值組，並以換行符分隔。 例如：

     workspace:<workspace name>
     providers=["LocalData","geolitelookup"]
     

     如需詳細資訊，請參閱 MSTICNB （MSTIC Notebooklets） 檔。

   某些元件，例如 TILookup 和 Pivot， 不需要任何參數。

3. 選取 [儲存 設定]，以儲存變更。

在 Python 3.6 和 3.8 核心之間切換

如果您要在 Python 3.65 和 3.8 核心之間切換，您可能會發現 MSTICPy 和其他套件未如預期般安裝。

當命令在第一個環境中正確安裝時，可能會發生這種情況 !pip install pkg ，但在第二個環境中則不會正確安裝。 這會建立第二個環境無法匯入或使用套件的情況。

建議您不要使用 !pip install... 在 Azure ML 筆記本中安裝套件。 請改用下列其中一個選項：

• 在筆記本中使用 %pip 線條魔術。 請執行：

  
  %pip install --upgrade msticpy
  

• 從終端機安裝：

  1. 在 Azure ML 筆記本中開啟終端機，然後執行下列命令：

     conda activate azureml_py38
     pip install --upgrade msticpy
     

  2. 關閉終端機並重新啟動核心。

設定 msticpyconfig.yaml 檔案的環境變數

如果您在 Azure ML 中執行，並在使用者資料夾的根目錄中有 msticpyconfig.yaml 檔案，MSTICPy 會自動找到這些設定。 不過，如果您要在另一個環境中執行筆記本，請遵循本節中的指示，設定指向組態檔位置的環境變數。

在環境變數中定義 msticpyconfig.yaml 檔案的路徑可讓您將檔案儲存在已知的位置，並確定您一律載入相同的設定。

如果您想要針對不同的筆記本使用不同的設定，請使用多個組態檔搭配多個環境變數。

1. 決定 msticpyconfig.yaml 檔案的位置，例如 ~/.msticpyconfig.yaml 或 %userprofile%/msticpyconfig.yaml。

   Azure ML 使用者：如果您將組態檔儲存在 Azure ML 使用者資料夾中，MSTICPy init_notebook 函式（在初始化數據格中執行）會自動尋找並使用檔案，而且您不需要設定 MSTICPYCONFIG 環境變數。

   不過，如果您也儲存在檔案中的秘密，建議您將組態檔儲存在計算本機磁碟驅動器上。 計算內部記憶體只能供建立計算的人員存取，而共用記憶體可供任何可存取您 Azure ML 工作區的人員存取。

   如需詳細資訊，請參閱什麼是 Azure 機器學習 計算實例？。

2. 如有需要，請將 msticpyconfig.yaml 檔案複製到您選取的位置。

3. 將 MSTICPYCONFIG 環境變數設定為指向該位置。

使用下列其中一個程式來定義 MSTICPYCONFIG 環境變數。

Windows

例如，若要在 Windows 系統上設定 MSTICPYCONFIG 環境變數：

1. 視需要將 msticpyconfig.yaml 檔案移至計算實例。

2. 開啟 [系統屬性] 對話框至 [進階] 索引標籤。

3. 選取 [環境變數... ] 以開啟 [ 環境變數] 對話框。

4. 在 [系統變數] 區域中，選取 [新增...]，然後定義值，如下所示：

   • 變數名稱：定義為 MSTICPYCONFIG
   • 變數值：輸入 msticpyconfig.yaml 檔案的路徑

Linux

此程式描述如何更新 .bashrc 檔案，以在 Linux 系統上設定 MSTICPYCONFIG 環境變數。

1. 視需要將 msticpyconfig.yaml 檔案移至計算實例。

2. 開啟 Azure ML 終端機，例如從 Microsoft Sentinel Notebooks 頁面。

3. 確認您可以存取 msticpyconfig.yaml 檔案。

   在 Azure ML 終端機中，目前的目錄應該是 Azure ML 檔案存放區主目錄，掛接在計算 Linux 系統中。 提示看起來類似下列範例：

   azureuser@alicecontoso-azml7:~/cloudfiles/code/Users/alicecontoso$
   

   輸入 ls來列出主目錄中的所有檔案，包括 msticpyconfig.yaml 檔案。

4. 若要將 msticpyconfig.yaml 檔案移至計算檔案存放區，請輸入：

   mv msticpyconfig.yaml ~
   

5. 使用下列其中一個程式來編輯環境變數的 .bashrc 檔案：

   Command	步驟
   Vim	1.執行： vim ~/.bashrc 2.按 SHIFT+G>End 以移至文件尾。 3. 輸入 ， 然後按 ENTER 鍵，以建立新行。 4.新增環境變數，然後按 ESC 返回命令模式。 5.輸入 ：wq 以儲存盤案。
   納米	1.執行： nano ~/.bashrc 1.按 ALT+/ 或 OPTION+/，移至文件尾。 1.新增環境變數，然後儲存盤案。 按 CTRL+X ，然後按 Y。

   新增下列其中一個環境變數：

   • 如果您移動 msticpyconfig.yaml 檔案，請執行 export MSTICPYCONFIG=~/msticpyconfig.yaml。
   • 如果您未移動 msticpyconfig.yaml 檔案，請執行 export MSTICPYCONFIG=~/cloudfiles/code/Users/<YOURNAME>/msticpyconfig.yaml。

Azure ML 選項

如果您需要將 msticpyconfig.yaml 檔案儲存在 Azure ML 使用者資料夾以外的某個位置，請使用下列其中一個選項：

• 使用者資料夾根目錄的 nbuser_settings.py 檔案。 雖然此程式比編輯 kernel.json 檔案簡單且不那麼侵入性，但只有在筆記本程式代碼開頭執行 init_notebook 函式時，才支援此程式。 雖然這是預設行為，但如果您執行筆記本程式代碼而未先執行 init_notebook，MSTICPy 可能無法找到組態檔。

  1. 在 Azure ML 終端機中，於使用者資料夾根目錄中建立 nbuser_settings.py 檔案，這是具有使用者名稱的資料夾。

  2. 在 nbuser_settings.py 檔案中，新增下列幾行：

       import os
       os.environ["MSTICPYCONFIG"] = "~/msticpyconfig.yaml"
     

  此檔案會自動由 init_notebook 函式匯入，並設定 MSTICPYCONFIG 目前筆記本的環境變數。

• Python 核心的 kernel.json 檔案。 如果您打算手動執行筆記本，而且可能不需要在啟動時呼叫 init_notebook 函式，請使用此程式。

  Python 3.6 和 Python 3.8 有核心。 如果您使用這兩個核心，請編輯這兩個檔案。

  • Python 3.8 位置： /usr/local/share/jupyter/kernels/python38-azureml/kernel.json
  • Python 3.6 位置： /usr/local/share/jupyter/kernels/python3-azureml/kernel.json

  若要在 kernel.json 檔案中設定環境變數：

  1. 製作 kernel.json 檔案的複本，並在編輯器中開啟原始檔案。 您可能需要使用 sudo 來覆寫 kernel.json 檔案，而檔案內容看起來類似下列範例：

     {
        "argv": [
        "/anaconda/envs/azureml_py38/bin/python",
        "-m",
        "ipykernel_launcher",
        "-f",
        "{connection_file}"
        ],
        "display_name": "Python 3.8 - AzureML",
        "language": "python"
     }
     

  2. 在 "language" 項目之後，新增下列這一行： "env": { "MSTICPYCONFIG": "~/msticpyconfig.yaml" }

     請務必在行尾 "language": "python" 新增逗號。 例如：

     {
         "argv": [
         "/anaconda/envs/azureml_py38/bin/python",
         "-m",
         "ipykernel_launcher",
         "-f",
         "{connection_file}"
         ],
         "display_name": "Python 3.8 - AzureML",
         "language": "python",
         "env": { "MSTICPYCONFIG": "~/msticpyconfig.yaml" }
     }
     

注意

針對 Linux 和 Windows 選項，您必須重新啟動 Jupyter 伺服器，才能挑選您定義的環境變數。

下一步

如需詳細資訊，請參閱

主旨	更多參考
MSTICPy	- MSTICPy 套件組態 - MSTICPy 設定 編輯器 - 設定筆記本環境。 - MP 設定 Editor 筆記本。 注意：Azure-Sentinel-Notebooks GitHub 存放庫也包含具有批注化區段的範本 msticpyconfig.yaml 檔案，可協助您了解設定。
Microsoft Sentinel 和 Jupyter 筆記本	- 建立您的第一個 Microsoft Sentinel 筆記本 （部落格系列） - Jupyter Notebooks：簡介 - MSTICPy 檔 - Microsoft Sentinel Notebooks 文件 - The Infosec Jupyterbook - Linux 主機總管筆記本逐步解說 - 為何使用 Jupyter 進行安全性調查 - 使用 Microsoft Sentinel 和 Notebook 進行安全性調查 - Pandas 檔 - Bokeh 檔