Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo descreve como executar o Guia de Introdução para o Microsoft Sentinel ML Notebooks, que define configurações básicas para executar notebooks Jupyter no Microsoft Sentinel e fornece exemplos de execução de consultas simples.
O Guia de Introdução para o bloco de anotações Microsoft Sentinel ML Notebooks utiliza MSTICPy, uma poderosa biblioteca Python projetada para aprimorar investigações de segurança e caça a ameaças dentro dos blocos de anotações do Microsoft Sentinel. Ele fornece ferramentas internas para enriquecimento de dados, visualização, detecção de anomalias e consultas automatizadas, ajudando os analistas a simplificar seu fluxo de trabalho sem codificação personalizada extensa.
Para obter mais informações, consulte Usar notebooks para alimentar investigações e usar notebooks Jupyter para procurar ameaças à segurança.
Importante
O Microsoft Sentinel geralmente está disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.
A partir de julho de 2026, todos os clientes que usam o Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e usarão apenas o Microsoft Sentinel no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal do Defender.
Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que você comece a planejar sua transição para o portal do Defender para garantir uma transição tranquila e aproveitar ao máximo a experiência de operações de segurança unificada oferecida pelo Microsoft Defender. Para obter mais informações, consulte É Hora de Mudar: Aposentando o portal Azure do Microsoft Sentinel para maior obter segurança.
Pré-requisitos
Antes de começar, verifique se você tem as permissões e os recursos necessários.
| Pré-requisito | Descrição |
|---|---|
| Permissões | Verifique se você tem as permissões necessárias para usar os notebooks no Microsoft Azure Sentinel. Para obter mais informações, consulte Gerenciar o acesso aos notebooks do Microsoft Sentinel. |
| Python | Para executar as etapas neste artigo, você precisará do Python 3.6 ou posterior. No Azure Machine Learning você pode usar um kernel do Python 3.8 (recomendado) ou um kernel do Python 3.6. Se usar o notebook descrito neste artigo em outro ambiente Jupyter, você poderá usar qualquer kernel que ofereça suporte ao Python 3.6 ou posterior. Para usar notebooks do MSTICPy fora do Microsoft Azure Sentinel e do ML (Azure Machine Learning), você também precisará configurar seu ambiente do Python. Instale o Python 3.6 ou posterior com a distribuição Anaconda, que inclui muitos dos pacotes necessários. |
| MaxMind GeoLite2 | Este notebook usa o serviço de pesquisa geográfica MaxMind GeoLite2 para endereços IP. Para usar o serviço MaxMind GeoLite2, você precisa de uma chave de licença. Você pode se inscrever para obter uma conta gratuita e uma chave na página de inscrição do Maxmind. |
| VirusTotal | Este notebook usa VirusTotal (VT) como uma fonte de inteligência contra ameaças. Para usar a pesquisa de inteligência contra ameaças do VirusTotal, você precisará de uma conta do VirusTotal e uma chave de API. Se você estiver usando uma chave corporativa VT, armazene-a em um Azure Key Vault em vez do arquivo msticpyconfig.yaml . Para obter mais informações, consulte Especificar segredos como segredos do Key Vault na documentação do MSTICPY. Se você não quiser configurar um Azure Key Vault no momento, inscreva-se e use uma conta gratuita até poder configurar um armazenamento do Key Vault. |
Instalar e executar o notebook Guia de Introdução
Este procedimento descreve como iniciar seu notebook com o Microsoft Sentinel.
Para o Microsoft Sentinel no Portal do Defender, selecione Microsoft Sentinel>Gerenciamento de ameaças>Notebooks. Para o Microsoft Sentinel no portal do Azure, em Gerenciamento de ameaças, selecione Notebooks.
Na aba Templates, selecione Guia de Iniciação para Notebooks de ML do Microsoft Sentinel.
Selecione Criar a partir do modelo.
Edite o nome e selecione o workspace do Azure Machine Learning conforme apropriado.
Selecione Salvar para salvá-lo no workspace do Azure Machine Learning.
Selecione Abrir notebook para executar o notebook. O notebook contém uma série de células:
- As células Markdown contêm texto e elementos gráficos com instruções para usar o notebook
- As células de código contêm código executável que executam as funções de notebook
Na parte superior da página, selecione sua Computação.
Continue lendo as células de markdown e executando as células de código na sequência correta, usando as instruções do notebook. Ignorar células ou executá-las fora de ordem pode causar erros no notebook mais tarde.
Dependendo da função que está sendo executada, o código na célula pode ser executado rapidamente ou pode levar algum tempo para ser concluído. Quando a célula está em execução, o botão de reprodução muda para um spinner de carregamento e o status é exibido na parte inferior da célula, juntamente com o tempo decorrido.
Na primeira vez em que você executa uma célula de código, pode haver alguns minutos para iniciar a sessão, dependendo das configurações de computação. Uma indicação Pronto é mostrada quando o notebook está pronto para executar células de código. Por exemplo:
O Guia de Introdução dos Notebooks de ML do Microsoft Sentinel inclui seções para as seguintes atividades:
| Nome | Descrição |
|---|---|
| Introdução | Descreva as noções básicas do bloco de anotações e forneça um código de exemplo que você pode executar para ver como os notebooks funcionam. |
| Inicializar o notebook e o MSTICPy | Ajuda você a preparar seu ambiente para executar o restante do notebook. Ao inicializar o notebook, os avisos de configuração sobre configurações ausentes são esperados porque você ainda não configurou nada. |
| Consultando dados do Microsoft Sentinel | Ajuda você a verificar, definir e testar as configurações do Microsoft Sentinel. Use o código nesta seção para autenticar no Microsoft Sentinel e executar uma consulta de exemplo para testar a conexão. |
| Configurar e testar provedores de dados externos (VirusTotal e Maxmind GeoLite2) | Ajuda você a definir as configurações do VirusTotal, como um serviço de inteligência contra ameaças de exemplo e o MaxMind GeoLite2, como um serviço de pesquisa de localização geográfica de exemplo. Use o código nesta seção para executar consultas de exemplo nesses provedores de dados para testá-las. |
O código no Guia de Introdução do Microsoft Sentinel ML Notebooks abre a ferramenta MpConfigEdit, que possui uma série de abas para configurar o ambiente do seu notebook. Ao fazer alterações na ferramenta MpConfigEdit , salve as alterações antes de continuar. As configurações do notebook são armazenadas no arquivo msticpyconfig.yaml , que é preenchido automaticamente com detalhes iniciais para seu workspace.
Leia cuidadosamente as células markdown para entender completamente o processo, incluindo cada uma das configurações e o arquivo msticpyconfig.yaml . As próximas etapas, recursos extras e perguntas frequentes do wiki do Azure Sentinel Notebooks estão disponíveis no final do caderno.
Personalizar suas consultas (opcional)
O Guia de Introdução do Bloco de Anotações ML do Microsoft Sentinel fornece consultas de exemplo para você usar ao aprender sobre blocos de anotações. Personalize as consultas internas adicionando mais lógica de consulta ou execute consultas completas usando a exec_query função. Por exemplo, a maioria das consultas internas dá suporte ao parâmetro add_query_items, que você pode usar para anexar filtros ou outras operações às consultas.
Execute a célula de código a seguir para adicionar um quadro de dados que resume o número de alertas por nome do alerta:
from datetime import datetime, timedelta qry_prov.SecurityAlert.list_alerts( start=datetime.utcnow() - timedelta(28), end=datetime.utcnow(), add_query_items="| summarize NumAlerts=count() by AlertName" )Passe uma cadeia de caracteres de consulta KQL (Linguagem de Consulta Kusto) completa para o provedor de consulta. A consulta é executada no espaço de trabalho conectado e os dados retornam como um DataFrame do Panda. Execute:
# Define your query test_query = """ OfficeActivity | where TimeGenerated > ago(1d) | take 10 """ # Pass the query to your QueryProvider office_events_df = qry_prov.exec_query(test_query) display(office_events_df.head())
Para obter mais informações, consulte:
Aplicar diretrizes a outros notebooks
As etapas neste artigo descrevem como executar o notebook Guia de Introdução para Notebooks do ML do Microsoft Sentinel no workspace do Azure Machine Learning por meio do Microsoft Sentinel. Você também pode usar este artigo como guia para realizar etapas semelhantes para executar notebooks em outros ambientes, inclusive localmente.
Vários notebooks do Microsoft Sentinel não usam MSTICPy, como os notebooks do Verificador de Credenciais ou os exemplos do PowerShell e do C#. Os notebooks que não usam o MSTICpy não precisam da configuração do MSTICPy descrita neste artigo.
Experimente outros cadernos do Microsoft Sentinel, como:
- Configurando o ambiente do notebook
- Um tour pelos recursos do notebook Cybersec
- Exemplos do Machine Learning em Notebooks
- A série Explorador de Entidades, incluindo variações para contas, domínios e URLs, endereços IP e hosts Linux ou Windows.
Para obter mais informações, consulte:
- Jupyter notebooks com recursos de busca do Microsoft Sentinel
- Configurações avançadas para jupyter notebooks e MSTICPy no Microsoft Sentinel
- Criar seu primeiro bloco de anotações do Microsoft Sentinel (série de blogs)
- Passo a passo do Bloco de Anotações do Gerenciador de Host do Linux (Blog)
Conteúdo relacionado
Para obter mais informações, consulte: