Zaawansowane konfiguracje notesów Jupyter i biblioteki MSTICPy w usłudze Microsoft Sentinel

W tym artykule opisano zaawansowane konfiguracje pracy z notesami Jupyter i biblioteką MSTICPy w usłudze Microsoft Sentinel.

Aby uzyskać więcej informacji, zobacz Używanie notesów Jupyter do polowania na zagrożenia bezpieczeństwa i Rozpoczynanie pracy z notesami Jupyter i biblioteką MSTICPy w usłudze Microsoft Sentinel.

Wymagania wstępne

Ten artykuł jest kontynuacją artykułu z artykułu Wprowadzenie do notesów Jupyter i biblioteki MSTICPy w usłudze Microsoft Sentinel. Zalecamy wykonanie samouczka przed kontynuowaniem pracy z zaawansowanymi procedurami opisanymi w tym artykule.

Określanie parametrów uwierzytelniania dla interfejsów API platformy Azure i usługi Microsoft Sentinel

W tej procedurze opisano sposób konfigurowania parametrów uwierzytelniania dla usługi Microsoft Sentinel i innych zasobów interfejsu API platformy Azure w pliku msticpyconfig.yaml .

Aby dodać uwierzytelnianie platformy Azure i ustawienia interfejsu API usługi Microsoft Sentinel w edytorze ustawień MSTICPy:

Przejdź do następnej komórki z następującym kodem i uruchom go:
```
mpedit.set_tab("Data Providers")
mpedit
```
Na karcie Dostawca danych s wybierz pozycję AzureCLI>Dodaj.
Wybierz metody uwierzytelniania do użycia:
- Chociaż można użyć innego zestawu metod z domyślnych, to użycie nie jest typową konfiguracją. Aby uzyskać więcej informacji, zobacz Przewodnik wprowadzający użytkownika do notesów ML usługi Azure Sentinel.
- Jeśli nie chcesz używać uwierzytelniania za pomocą zmiennej środowiskowej env, pozostaw pola clientId, tenantId i clientSecret puste.
- Chociaż nie jest to zalecane, narzędzie MSTICPy obsługuje również używanie identyfikatorów aplikacji klienckiej i tajnych kluczy na potrzeby uwierzytelniania. W takich przypadkach zdefiniuj clientId, tenantId i clientSecret bezpośrednio na karcie Dostawcy danych.
Wybierz pozycję Zapisz plik , aby zapisać zmiany.

Definiowanie dostawców zapytań podczas automatycznego ładowania

Zdefiniuj dostawców zapytań, których chcesz, aby MSTICPy ładowała automatycznie podczas uruchamiania funkcji nbinit.init_notebook.

Podczas częstego tworzenia nowych notesów, autozaladujący dostawcy zapytań mogą zaoszczędzić czas, upewniając się, że niezbędne dostawcy są ładowani przed innymi składnikami, takimi jak funkcje przestawne i elementy notesowe.

Aby dodać dostawców zapytań ładujących się automatycznie:

Przejdź do następnej komórki z następującym kodem i uruchom go:
```
mpedit.set_tab("Autoload QueryProvs")
mpedit
```
Na karcie Autoload QueryProv
- W przypadku dostawców usługi Microsoft Sentinel określ zarówno nazwę dostawcy, jak i nazwę obszaru roboczego, z którym chcesz nawiązać połączenie.
- W przypadku innych dostawców zapytań określ tylko nazwę dostawcy.
Każdy dostawca ma również następujące wartości opcjonalne:
- Automatyczne łączenie: ta opcja jest domyślnie zdefiniowana jako Prawda , a oprogramowanie MSTICPy próbuje uwierzytelnić się u dostawcy natychmiast po załadowaniu. Rozwiązanie MSTICPy zakłada, że skonfigurowano poświadczenia dla dostawcy w ustawieniach.
- Alias: gdy dostawca MSTICPy ładuje dostawcę, przypisuje dostawcę do nazwy zmiennej języka Python. Domyślnie nazwa zmiennej jest qryworkspace_name dla dostawców usługi Microsoft Sentinel i qryprovider_name dla innych dostawców.
  
  Jeśli na przykład załadujesz dostawcę zapytań dla obszaru roboczego ContosoSOC, ten dostawca zapytań zostanie utworzony w środowisku notatnika o nazwie qry_ContosoSOC. Dodaj alias, jeśli chcesz użyć czegoś krótszego lub łatwiejszego do wpisania i zapamiętania. Nazwa zmiennej dostawcy to qry_<alias>, gdzie <alias> jest zastępowana przez podaną nazwę aliasu.
  
  Dostawcy ładowani przez ten mechanizm są również dodawani do atrybutu MSTICPy current_providers, który jest, na przykład, używany w następującym kodzie.
```
import msticpy
msticpy.current_providers
```
Wybierz pozycję Zapisz ustawienia , aby zapisać zmiany.

Definiowanie automatycznie załadowanych składników MSTICPy

W tej procedurze opisano sposób definiowania pozostałych składników, które są automatycznie ładowane przez bibliotekę MSTICPy podczas uruchamiania funkcji nbinit.init_notebook.

Obsługiwane składniki obejmują następujące elementy:

TILookup: Biblioteka dostawcy TI, której chcesz użyć
GeoIP: Dostawca GeoIP, którego chcesz użyć
AzureData: moduł używany do wykonywania zapytań dotyczących szczegółowych informacji o zasobach platformy Azure
AzureSentinelAPI: moduł używany do wykonywania zapytań względem interfejsu API usługi Microsoft Sentinel
Notatniczki: Notatniczki z pakietu msticnb
Przestawne: funkcje przestawne

Składniki są ładowane w tej kolejności, ponieważ składnik przestawny wymaga, aby kwerenda i inni dostawcy byli załadowani, aby móc znaleźć funkcje przestawne, które dołącza do jednostek. Aby uzyskać więcej informacji, zobacz dokumentację MSTICPy. Aby uzyskać więcej informacji, zobacz Przewodnik wprowadzenie dla notesów uczenia maszynowego usługi Azure Sentinel.

Aby zdefiniować automatycznie załadowane składniki MSTICPy:

Przejdź do następnej komórki z następującym kodem i uruchom go:
```
mpedit.set_tab("Autoload Components")
mpedit
```
W zakładce Składniki automatycznego ładowania ustaw odpowiednie wartości parametrów w razie potrzeby. Na przykład:
- GeoIpLookup. Wprowadź nazwę dostawcy GeoIP, którego chcesz użyć— GeoLiteLookup lub IPStack.
- Składniki AzureData i AzureSentinelAPI. Zdefiniuj następujące wartości:
  - auth_methods: zastąpi ustawienia domyślne dla usługi AzureCLI i połącz się przy użyciu wybranych metod.
  - Automatyczne nawiązywanie połączenia: ustaw wartość false na ładowanie bez nawiązywania połączenia.
  Aby uzyskać więcej informacji, zobacz Określanie parametrów uwierzytelniania dla interfejsów API platformy Azure i usługi Microsoft Sentinel.
- Małe notatniki. Składnik Notebooklets ma jeden blok parametrów : AzureSentinel.
  
  Określ obszar roboczy usługi Microsoft Sentinel przy użyciu następującej składni: workspace:\<workspace name>. Nazwa obszaru roboczego musi być jednym z obszarów roboczych zdefiniowanych na karcie Microsoft Sentinel .
  
  Jeśli chcesz dodać więcej parametrów do wysłania notebooklets init do funkcji, określ je jako pary key:value rozdzielone nowymi liniami. Na przykład:
```
workspace:<workspace name>
providers=["LocalData","geolitelookup"]
```
  Aby uzyskać więcej informacji, zobacz dokumentację MSTICNB (MSTIC Notebooklets).
Niektóre składniki, takie jak TILookup i Pivot, nie wymagają żadnych parametrów.
Wybierz pozycję Zapisz ustawienia , aby zapisać zmiany.

Przełączanie między jądrami języka Python w wersji 3.6 i 3.8

Jeśli przełączasz się między jądrami języka Python 3.65 i 3.8, może się okazać, że oprogramowanie MSTICPy i inne pakiety nie są zainstalowane zgodnie z oczekiwaniami.

Może się tak zdarzyć, gdy !pip install pkg polecenie zostanie poprawnie zainstalowane w pierwszym środowisku, ale nie zostanie poprawnie zainstalowane w drugim. Spowoduje to utworzenie sytuacji, w której drugie środowisko nie może zaimportować ani użyć pakietu.

Zalecamy, aby nie instalować pakietów za pomocą !pip install... w zeszytach usługi Azure Machine Learning. Zamiast tego użyj jednej z następujących opcji:

Użyj polecenia magicznego %pip w notebooku. Uruchom:
```
%pip install --upgrade msticpy
```
Zainstaluj z poziomu terminalu:
1. Otwórz terminal w notesach usługi Azure Machine Learning i uruchom następujące polecenia:
```
conda activate azureml_py38
pip install --upgrade msticpy
```
2. Zamknij terminal i uruchom ponownie jądro.

Ustawianie zmiennej środowiskowej dla pliku msticpyconfig.yaml

Jeśli korzystasz z usługi Azure Machine Learning i masz plik msticpyconfig.yaml w folderze głównym folderu użytkownika, biblioteka MSTICPy automatycznie znajdzie te ustawienia. Jeśli jednak uruchamiasz notesy w innym środowisku, postępuj zgodnie z instrukcjami w tej sekcji, aby ustawić zmienną środowiskową wskazującą lokalizację pliku konfiguracji.

Definiowanie ścieżki do pliku msticpyconfig.yaml w zmiennej środowiskowej umożliwia przechowywanie pliku w znanej lokalizacji i upewnienie się, że zawsze są ładowane te same ustawienia.

Użyj wielu plików konfiguracyjnych z wieloma zmiennymi środowiskowymi, jeśli chcesz użyć różnych ustawień dla różnych notatników.

Wybierz lokalizację pliku msticpyconfig.yaml, na przykład w pliku ~/.msticpyconfig.yaml lub %userprofile%/msticpyconfig.yaml.

Użytkownicy usługi Azure ML: jeśli przechowujesz plik konfiguracji w folderze użytkownika usługi Azure Machine Learning, funkcja MSTICPy init_notebook (uruchamiana w komórce inicjowania) automatycznie znajdzie plik i używa go, a nie musisz ustawiać zmiennej środowiskowej MSTICPYCONFIG .

Jeśli jednak masz również wpisy tajne przechowywane w pliku, zalecamy zapisanie pliku konfiguracji na dysku lokalnym obliczeniowym. Magazyn wewnętrzny obliczeniowy jest dostępny tylko dla osoby, która utworzyła zasoby obliczeniowe, natomiast udostępniony magazyn jest dostępny dla każdego, kto ma dostęp do obszaru roboczego usługi Azure Machine Learning.

Aby uzyskać więcej informacji, zobacz Co to jest wystąpienie obliczeniowe usługi Azure Machine Learning?.
W razie potrzeby skopiuj plik msticpyconfig.yaml do wybranej lokalizacji.
Ustaw zmienną środowiskową MSTICPYCONFIG, aby wskazywała lokalizację.

Użyj jednej z poniższych procedur, aby zdefiniować zmienną środowiskową MSTICPYCONFIG .

Aby na przykład ustawić zmienną środowiskową MSTICPYCONFIG w systemach Windows:

Przenieś plik msticpyconfig.yaml do wystąpienia obliczeniowego zgodnie z potrzebami.
Otwórz okno dialogowe Właściwości systemu na karcie Zaawansowane.
Wybierz pozycję Zmienne środowiskowe... , aby otworzyć okno dialogowe Zmienne środowiskowe.
W obszarze Zmienne systemowe wybierz pozycję Nowy..., a następnie zdefiniuj wartości w następujący sposób:
- Nazwa zmiennej: Zdefiniuj jako MSTICPYCONFIG
- Wartość zmiennej: Wprowadź ścieżkę do pliku msticpyconfig.yaml

W tej procedurze opisano sposób aktualizowania pliku bashrc w celu ustawienia zmiennej środowiskowej MSTICPYCONFIG w systemach Linux.

Przenieś plik msticpyconfig.yaml do instancji obliczeniowej w razie potrzeby.
Otwórz terminal usługi Azure Machine Learning, na przykład ze strony Notebooks usługi Microsoft Sentinel.
Sprawdź, czy możesz uzyskać dostęp do pliku msticpyconfig.yaml .

W terminalu usługi Azure Machine Learning bieżący katalog powinien znajdować się w katalogu głównym magazynu plików usługi Azure Machine Learning zainstalowanym w systemie Compute Linux. Podpowiedź wygląda podobnie do następującego przykładu:
```
azureuser@alicecontoso-azml7:~/cloudfiles/code/Users/alicecontoso$
```
Wyświetl listę wszystkich plików w katalogu głównym, w tym plik msticpyconfig.yaml , wprowadzając polecenie ls.
Aby przenieść plik msticpyconfig.yaml do magazynu plików obliczeniowych, wprowadź:
```
mv msticpyconfig.yaml ~
```

Użyj jednego z następujących procesów, aby edytować plik bashrc dla zmiennej środowiskowej:

Polecenie	Kroki
Vim	1. Uruchom: `vim ~/.bashrc` 2. Przejdź na koniec pliku, naciskając SHIFT+G>End. 3. Utwórz nowy wiersz, wprowadzając a i naciskając ENTER. 4. Dodaj zmienną środowiskową, a następnie naciśnij ESC , aby wrócić do trybu polecenia. 5. Zapisz plik, wprowadzając ciąg :wq.
nano	1. Uruchom: `nano ~/.bashrc` 1. Przejdź do końca pliku, naciskając ALT+/ lub OPTION+/. 1. Dodaj zmienną środowiskową, a następnie zapisz plik. Naciśnij CTRL+X , a następnie Y.

Dodaj jedną z następujących zmiennych środowiskowych:

Jeśli przeniesiono plik msticpyconfig.yaml, uruchom export MSTICPYCONFIG=~/msticpyconfig.yaml.
Jeśli nie przeniosłeś pliku msticpyconfig.yaml, uruchom export MSTICPYCONFIG=~/cloudfiles/code/Users/<YOURNAME>/msticpyconfig.yaml.

Jeśli musisz przechowywać plik msticpyconfig.yaml w innym miejscu niż folder użytkownika usługi Azure Machine Learning, użyj jednej z następujących opcji:

Plik nbuser_settings.py w folderze głównym użytkownika. Chociaż ten proces jest prostszy i mniej uciążliwy niż edytowanie pliku kernel.json , jest obsługiwany tylko po uruchomieniu init_notebook funkcji na początku kodu notesu. Chociaż jest to zachowanie domyślne, jeśli uruchomisz kod notesu bez wcześniejszego uruchomienia init_notebook, MSTICPy może nie być w stanie odnaleźć pliku konfiguracji.
1. W terminalu usługi Azure Machine Learning utwórz plik nbuser_settings.py w katalogu głównym folderu użytkownika, który jest folderem z nazwą użytkownika.
2. W pliku nbuser_settings.py dodaj następujące wiersze:
```
  import os
  os.environ["MSTICPYCONFIG"] = "~/msticpyconfig.yaml"
```
Ten plik jest automatycznie importowany przez funkcję init_notebook i ustawia zmienną MSTICPYCONFIG środowiskową dla bieżącego notesu.
Plik kernel.json jądra języka Python. Użyj tej procedury, jeśli planujesz ręczne uruchamianie notesu i prawdopodobnie bez wywoływania init_notebook funkcji na początku.

Istnieją jądra dla języków Python 3.6 i Python 3.8. Jeśli używasz obu jąder, zmodyfikuj oba pliki.
- Lokalizacja języka Python 3.8: /usr/local/share/jupyter/kernels/python38-azureml/kernel.json
- Lokalizacja języka Python 3.6: /usr/local/share/jupyter/kernels/python3-azureml/kernel.json
Aby ustawić zmienną środowiskową w pliku kernel.json :
1. Utwórz kopię pliku kernel.json i otwórz oryginał w edytorze. Może być konieczne użycie sudo do zastąpienia pliku kernel.json, a jego zawartość będzie wyglądać podobnie do poniższego przykładu:
```
{
   "argv": [
   "/anaconda/envs/azureml_py38/bin/python",
   "-m",
   "ipykernel_launcher",
   "-f",
   "{connection_file}"
   ],
   "display_name": "Python 3.8 - AzureML",
   "language": "python"
}
```
2. Po elemencie "language" dodaj następujący wiersz: "env": { "MSTICPYCONFIG": "~/msticpyconfig.yaml" }
  
  Pamiętaj, aby dodać przecinek na końcu "language": "python" wiersza. Na przykład:
```
{
    "argv": [
    "/anaconda/envs/azureml_py38/bin/python",
    "-m",
    "ipykernel_launcher",
    "-f",
    "{connection_file}"
    ],
    "display_name": "Python 3.8 - AzureML",
    "language": "python",
    "env": { "MSTICPYCONFIG": "~/msticpyconfig.yaml" }
}
```

Uwaga

W przypadku opcji systemu Linux i Windows należy ponownie uruchomić serwer Jupyter, aby pobrać zdefiniowaną zmienną środowiskową.

Następne kroki

Aby uzyskać więcej informacji, zobacz:

Temat	Więcej przypisów
MSTICPy	- Konfiguracja pakietu MSTICPy - Edytor ustawień MSTICPy - Konfigurowanie środowiska notebooka - Notatnik MPSettingsEditor. Uwaga: repozytorium GitHub Azure-Sentinel-Notebooks zawiera również plik szablonu msticpyconfig.yaml z sekcjami z komentarzami, co może ułatwić zrozumienie ustawień.
Notatniki Microsoft Sentinel i Jupyter	- Tworzenie pierwszego notesu usługi Microsoft Sentinel (seria blogów) - Notesy Jupyter: wprowadzenie - Dokumentacja MSTICPy - Dokumentacja notesów usługi Microsoft Sentinel - Podręcznik Jupyterbook programu Infosec - Przewodnik po notatniku Eksploratora systemu Linux hosta - Dlaczego warto używać programu Jupyter do badania zabezpieczeń - Badania zabezpieczeń za pomocą usługi Microsoft Sentinel i notesów - Dokumentacja Pandas - Dokumentacja Bokeh

Temat

Więcej przypisów

MSTICPy

- Konfiguracja pakietu MSTICPy
- Edytor ustawień MSTICPy
- Konfigurowanie środowiska notebooka
- Notatnik MPSettingsEditor.

Uwaga: repozytorium GitHub Azure-Sentinel-Notebooks zawiera również plik szablonu msticpyconfig.yaml z sekcjami z komentarzami, co może ułatwić zrozumienie ustawień.

Notatniki Microsoft Sentinel i Jupyter

- Tworzenie pierwszego notesu usługi Microsoft Sentinel (seria blogów)
- Notesy Jupyter: wprowadzenie
- Dokumentacja MSTICPy
- Dokumentacja notesów usługi Microsoft Sentinel
- Podręcznik Jupyterbook programu Infosec
- Przewodnik po notatniku Eksploratora systemu Linux hosta
- Dlaczego warto używać programu Jupyter do badania zabezpieczeń
- Badania zabezpieczeń za pomocą usługi Microsoft Sentinel i notesów
- Dokumentacja Pandas
- Dokumentacja Bokeh

Sprzężenie zwrotne

Czy ta strona była pomocna?

Last updated on 2025-04-10