Microsoft Sentinel で Jupyter Notebook と MSTICPy を使い始める

この記事では、Microsoft Sentinel で Jupyter ノートブックを実行するための基本的な構成を設定し、簡単なクエリを実行する例を示す、Microsoft Sentinel ML Notebooks の入門ガイド を実行する方法について説明します。

Microsoft Sentinel ML Notebooks ノートブックの入門ガイドでは、MsTICPy を使用します。MSTICPy は、Microsoft Sentinel ノートブック内のセキュリティ調査と脅威ハンティングを強化するために設計された強力な Python ライブラリです。 データ エンリッチメント、視覚化、異常検出、自動クエリ用の組み込みツールが用意されており、アナリストは広範なカスタム コーディングなしでワークフローを合理化できます。

詳細については、「ノートブックを使用して調査を支援する」および「Jupyter Notebook を使用してセキュリティの脅威を検出する」をご覧ください。

前提条件

作業を開始する前に、必要なアクセス許可とリソースがあることを確認してください。

ファースト ステップ ガイド ノートブックをインストールして実行する

この手順では、Microsoft Sentinel を使用してノートブックを起動する方法について説明します。

1. Defender ポータルの Microsoft Sentinel では、[Microsoft Sentinel]>[脅威管理]>[Notebooks] を選択します。 Azure portal の Microsoft Sentinel では、[脅威管理] で、[Notebooks] を選択します。

2. [テンプレート] タブで、[Microsoft Sentinel ML ノートブックのファースト ステップ ガイド] を選択します。

3. [テンプレートから作成] を選択します。

4. 名前を編集し、必要に応じて Azure Machine Learning ワークスペースを選択します。

5. [保存] を選択して、Azure Machine Learning ワークスペースに保存します。

6. [ノートブックの起動] を選択して、ノートブックを実行します。 ノートブックには、次の一連のセルが含まれています。

   • Markdown セルには、ノートブックを使用するための手順が含まれたテキストとグラフィックスが含まれています。
   • Code セルには、ノートブック関数を実行する実行可能コードが含まれています

7. ページの上部でComputeを選択してください。

8. 引き続き、ノートブックの指示に従って、マークダウン セルを読み取り、コード セルを順番に実行します。 セルをスキップまたは順不同で実行すると、後のノートブックでのエラーの原因となる可能性があります。

   実行される関数によっては、セル内のコードがすぐに実行される場合や、完了するまでに時間がかかる場合があります。 セルが実行中になると、再生ボタンが読み込みスピナーに変わり、経過時間と共にセルの下部に状態が表示されます。

   コード セルを初めて実行するときは、コンピューティング設定によっては、セッションを開始するまでに数分かかる場合があります。 ノートブックでコード セルを実行する準備ができたら、 準備 完了の表示が表示されます。 次に例を示します。

   

Microsoft Sentinel ML Notebooks ノートブックの概要ガイドには、次のアクティビティのセクションが含まれています。

Microsoft Sentinel ML Notebook の概要ガイドのコードでは、MpConfigEdit ツールが起動します。このツールには、ノートブック環境を構成するための一連のタブがあります。 MpConfigEdit ツールで変更を行う場合は、続行する前に変更を保存してください。 ノートブックの設定は msticpyconfig.yaml ファイルに格納され、ワークスペースの初期の詳細が自動的に設定されます。

各設定と msticpyconfig.yaml ファイルを含め、プロセスを完全に理解できるように、マークダウン セルを注意深く読んでください。 次の手順、追加のリソース、 および Azure Sentinel Notebooks Wiki からよく寄せられる質問は、ノートブックの末尾からリンクされます。

クエリをカスタマイズする (省略可能)

Microsoft Sentinel ML Notebooks ノートブックの入門ガイドには、ノートブックについて学習するときに使用できるサンプル クエリが用意されています。 クエリ ロジックを追加して組み込みのクエリをカスタマイズするか、 exec_query 関数を使用して完全なクエリを実行します。 たとえば、ほとんどの組み込みクエリでは add_query_items パラメーターがサポートされています。このパラメーターを使用して、フィルターやその他の操作をクエリに追加できます。

1. 次のコード セルを実行して、アラート名別にアラートの数が要約されたデータ フレームを追加します。

   from datetime import datetime, timedelta
   
   qry_prov.SecurityAlert.list_alerts(
      start=datetime.utcnow() - timedelta(28),
       end=datetime.utcnow(),
       add_query_items="| summarize NumAlerts=count() by AlertName"
   )
   

2. 完全な Kusto 照会言語 (KQL) クエリ文字列をクエリ プロバイダーに渡します。 接続されたワークスペースに対してクエリが実行され、panda DataFrame としてデータが返されます。 次を実行します。

   # Define your query
   test_query = """
   OfficeActivity
   | where TimeGenerated > ago(1d)
   | take 10
   """
   
   # Pass the query to your QueryProvider
   office_events_df = qry_prov.exec_query(test_query)
   display(office_events_df.head())
   
   

詳細については、次を参照してください。

• MSTICPy クエリのリファレンス
• MSTICPy の定義済みクエリの実行

他のノートブックにガイダンスを適用する

この記事の手順では、Microsoft Sentinel を介して Azure Machine Learning ワークスペースで [Microsoft Sentinel ML ノートブックのファースト ステップ ガイド] のノートブックを実行する方法について説明します。 この記事は、他の環境 (ローカルを含む) でノートブックを実行する同様の手順を実行するためのガイダンスとしても使用できます。

Credential Scanner ノートブック、PowerShell サンプルや C# サンプルなど、いくつかの Microsoft Sentinel ノートブックでは、MSTICPy を使用しません。 MSTICpy を使用しないノートブックでは、この記事で説明している MSTICPy 構成は必要ありません。

次のような他の Microsoft Sentinel ノートブックを試してみてください。

• ノートブック環境の構成
• Cybersec ノートブックの機能紹介
• ノートブックでの機械学習の例
• アカウント、ドメインと URL、IP アドレス、Linux または Windows ホストのバリエーションを含む Entity Explorer シリーズ。

詳細については、次を参照してください。

• Jupyter ノートブックと Microsoft Sentinel ハンティング機能
• Microsoft Sentinel での Jupyter Notebook と MSTICPy の高度な構成
• 初めての Microsoft Sentinel ノートブックを作成 する (ブログ シリーズ)
• Linux ホスト エクスプローラー ノートブックのチュートリアル (ブログ)

関連コンテンツ

詳細については、次を参照してください。

• MSTICPy のドキュメント
• Jupyter Notebooks: 概要
• The Infosec Jupyterbook
• セキュリティ調査に Jupyter を使用する理由
• Microsoft Sentinel とノートブックを使用したセキュリティ調査