Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este artigo descreve como executar o Guia de Introdução do Microsoft Sentinel ML Notebooks, que define configurações básicas para executar notebooks Jupyter no Microsoft Sentinel e fornece exemplos para executar consultas simples.
O Guia de Introdução para o notebook Microsoft Sentinel ML Notebooks usa o MSTICPy, uma poderosa biblioteca Python projetada para aprimorar as investigações de segurança e a caça a ameaças nos notebooks Microsoft Sentinel. Ele fornece ferramentas integradas para enriquecimento de dados, visualização, deteção de anomalias e consultas automatizadas, ajudando os analistas a simplificar seu fluxo de trabalho sem codificação personalizada extensiva.
Para obter mais informações, consulte Usar blocos de anotações para potencializar investigações e Usar blocos de anotações Jupyter para caçar ameaças à segurança.
Importante
O Microsoft Sentinel está geralmente disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.
A partir de julho de 2026, todos os clientes que usam o Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e usarão o Microsoft Sentinel somente no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal Defender.
Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que comece a planejar sua transição para o portal do Defender para garantir uma transição suave e aproveitar ao máximo a experiência unificada de operações de segurança oferecida pelo Microsoft Defender. Para obter mais informações, consulte É hora de mover: desativando o portal do Azure do Microsoft Sentinel para maior segurança.
Pré-requisitos
Antes de começar, certifique-se de que tem as permissões e os recursos necessários.
| Pré-requisito | Descrição |
|---|---|
| Permissões | Para utilizar blocos de notas no Microsoft Sentinel, certifique-se de que tem as permissões necessárias. Para obter mais informações, consulte Gerir o acesso aos cadernos do Microsoft Sentinel. |
| Píton | Para executar as etapas neste artigo, você precisa do Python 3.6 ou posterior. No Azure Machine Learning, você pode usar um kernel Python 3.8 (recomendado) ou um kernel Python 3.6. Se você usar o notebook descrito neste artigo em outro ambiente Jupyter, poderá usar qualquer kernel que suporte Python 3.6 ou posterior. Para usar blocos de anotações MSTICPy fora do Microsoft Sentinel e do Azure Machine Learning (ML), você também precisa configurar seu ambiente Python. Instale o Python 3.6 ou posterior com a distribuição Anaconda, que inclui muitos dos pacotes necessários. |
| MaxMind GeoLite2 | Este notebook usa o serviço de pesquisa de geolocalização MaxMind GeoLite2 para endereços IP. Para usar o serviço MaxMind GeoLite2, você precisa de uma chave de licença. Você pode se inscrever para uma conta gratuita e chave na página de inscrição Maxmind. |
| VirusTotal | Este notebook usa o VirusTotal (VT) como uma fonte de informações sobre ameaças. Para usar a pesquisa de informações sobre ameaças do VirusTotal, você precisa de uma conta e chave de API do VirusTotal. Se você estiver usando uma chave empresarial VT, armazene-a em um Cofre de Chaves do Azure em vez do arquivo msticpyconfig.yaml . Para obter mais informações, consulte Definir segredos como segredos do Key Vault na documentação do MSTICPY. Se você não quiser configurar um Cofre da Chave do Azure agora, inscreva-se e use uma conta gratuita até poder configurar o armazenamento do Cofre da Chave. |
Instalar e executar o bloco de notas do Guia de Introdução
Este procedimento descreve como iniciar o seu notebook com o Microsoft Sentinel.
Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Threat management>Notebooks. Para o Microsoft Sentinel no portal do Azure, em Gestão de ameaças, selecione Cadernos.
Na guia Modelos , selecione Um Guia de Introdução para Notebooks do Microsoft Sentinel ML .
Selecione Criar a partir do modelo.
Edite o nome e selecione o espaço de trabalho do Azure Machine Learning conforme apropriado.
Selecione Salvar para salvá-lo em seu espaço de trabalho do Azure Machine Learning.
Selecione Lançar notebook para executá-lo. O bloco de notas contém uma série de células:
- As células de marcação contêm texto e gráficos com instruções para utilizar o bloco de notas
- As células de código contêm código executável que executa as funções do bloco de notas
Na parte superior da página, selecione o seu Compute.
Continue lendo as células de marcação e executando as células de código em ordem, usando as instruções no bloco de anotações. Ignorar células ou executá-las fora de ordem pode causar erros posteriormente no bloco de anotações.
Dependendo da função que está sendo executada, o código na célula pode ser executado rapidamente ou pode levar algum tempo para ser concluído. Quando a célula está em execução, o botão de reprodução muda para um girador de carregamento e o status é exibido na parte inferior da célula, juntamente com o tempo decorrido.
Na primeira vez que você executa uma célula de código, pode levar alguns minutos para iniciar a sessão, dependendo das configurações de computação. Uma indicação Pronto é mostrada quando o bloco de anotações está pronto para executar células de código. Por exemplo:
O Guia de Introdução para o Microsoft Sentinel ML Notebooks inclui secções para as seguintes atividades:
| Nome | Descrição |
|---|---|
| Introdução | Descreva as noções básicas do bloco de anotações e forneça um código de exemplo que você pode executar para ver como os blocos de anotações funcionam. |
| Inicializando o notebook e o MSTICPy | Ajuda a preparar o ambiente para executar o restante do caderno. Ao inicializar o caderno, espera-se receber avisos de configuração sobre definições em falta, pois ainda não configuraste nada. |
| Consultando dados do Microsoft Sentinel | Ajuda a verificar, configurar e testar as configurações do Microsoft Sentinel. Use o código nesta seção para autenticar no Microsoft Sentinel e executar uma consulta de exemplo para testar a conexão. |
| Configurar e testar provedores de dados externos (VirusTotal e Maxmind GeoLite2) | Ajuda a definir as configurações do VirusTotal, como um serviço de inteligência de ameaças de exemplo, e do MaxMind GeoLite2, como um serviço de pesquisa de localização geográfica de exemplo. Use o código nesta seção para executar consultas de exemplo nesses provedores de dados para testá-los. |
O código no Guia de Introdução para Notebooks Microsoft Sentinel ML inicia a ferramenta MpConfigEdit , que tem uma série de guias para configurar seu ambiente de notebook. À medida que você faz alterações na ferramenta MpConfigEdit , certifique-se de salvar suas alterações antes de continuar. As configurações do bloco de anotações são armazenadas no arquivo msticpyconfig.yaml , que é preenchido automaticamente com os detalhes iniciais do seu espaço de trabalho.
Certifique-se de ler as células de marcação cuidadosamente para que você entenda o processo completamente, incluindo cada uma das configurações e o arquivo msticpyconfig.yaml . As próximas etapas, os recursos extras e as perguntas frequentes do wiki dos Blocos de Anotações do Azure Sentinel são vinculados a partir do final do bloco de anotações.
Personalize suas consultas (opcional)
O Guia de Introdução para Microsoft Sentinel ML Notebooks fornece exemplos de consultas para si usar ao aprender sobre notebooks. Personalize as consultas internas adicionando mais lógica de consulta ou execute consultas completas usando a exec_query função. Por exemplo, a maioria das consultas internas suporta o add_query_items parâmetro, que você pode usar para acrescentar filtros ou outras operações às consultas.
Execute a célula de código a seguir para adicionar um quadro de dados que resume o número de alertas por nome de alerta:
from datetime import datetime, timedelta qry_prov.SecurityAlert.list_alerts( start=datetime.utcnow() - timedelta(28), end=datetime.utcnow(), add_query_items="| summarize NumAlerts=count() by AlertName" )Passe uma cadeia de caracteres de consulta KQL (Kusto Query Language) completa para o provedor de consulta. A consulta é executada no espaço de trabalho conectado e os dados retornam como um DataFrame panda. Executar:
# Define your query test_query = """ OfficeActivity | where TimeGenerated > ago(1d) | take 10 """ # Pass the query to your QueryProvider office_events_df = qry_prov.exec_query(test_query) display(office_events_df.head())
Para obter mais informações, consulte:
Aplicar orientações a outros blocos de notas
As etapas neste artigo descrevem como executar o Guia de Introdução para o notebook Microsoft Sentinel ML Notebooks em seu espaço de trabalho do Azure Machine Learning por meio do Microsoft Sentinel. Você também pode usar este artigo como orientação para executar etapas semelhantes para executar blocos de anotações em outros ambientes, inclusive localmente.
Vários notebooks do Microsoft Sentinel não usam o MSTICPy, como os notebooks do Credential Scanner ou os exemplos de PowerShell e C#. Os blocos de anotações que não usam o MSTICpy não precisam da configuração do MSTICPy descrita neste artigo.
Experimente outros notebooks do Microsoft Sentinel, como:
- Configurando o ambiente do seu notebook
- Um tour pelos recursos do notebook Cybersec
- Exemplos de Machine Learning em Notebooks
- A série Entity Explorer , incluindo variações para contas, domínios e URLs, endereços IP e hosts Linux ou Windows.
Para obter mais informações, consulte:
- Notebooks Jupyter com capacidades de caça do Microsoft Sentinel
- Configurações avançadas para notebooks Jupyter e MSTICPy no Microsoft Sentinel
- Crie seu primeiro notebook Microsoft Sentinel (série de blogs)
- Passo a passo do Linux Host Explorer Notebook (Blog)
Conteúdo relacionado
Para obter mais informações, consulte: