Búsqueda de amenazas de seguridad con los cuadernos de Jupyter Notebook
Como parte de las investigaciones de seguridad y la búsqueda, puede iniciar y ejecutar cuadernos de Jupyter Notebook para analizar los datos mediante programación.
En este artículo, se crea un área de trabajo de Azure Machine Learning, se ejecuta un bloc de notas desde Microsoft Sentinel en el área de trabajo de Azure Machine Learning y se ejecuta código en el bloc de notas.
Importante
Microsoft Sentinel está disponible de forma general dentro de la plataforma unificada de operaciones de seguridad de Microsoft en el portal de Microsoft Defender. Para la versión preliminar, Microsoft Sentinel está disponible en el portal de Microsoft Defender sin Microsoft Defender XDR ni una licencia E5. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.
Requisitos previos
Le recomendamos que se informe sobre los blocs de notas Sentinel de Microsoft antes de realizar los pasos de este artículo. Consulte Uso de cuadernos de Jupyter Notebook para buscar amenazas de seguridad.
Para usar cuadernos de Microsoft Sentinel, debe tener los siguientes roles y permisos:
Tipo | Detalles |
---|---|
Microsoft Sentinel | - El rol de colaborador de Microsoft Sentinel, con el fin de guardar e iniciar cuadernos desde Microsoft Sentinel. |
Azure Machine Learning | - Un rol de propietario o colaborador de nivel de grupo de recursos, para crear una nueva área de trabajo de Azure Machine Learning si es necesario. - Un rol de colaborador en el área de trabajo de Azure Machine Learning donde se ejecuta Microsoft Sentinel Notebooks. Para obtener más información, consulte Administración del acceso a un área de trabajo de Azure Machine Learning. |
Crear un área de trabajo de Azure Machine Learning desde Microsoft Sentinel
Para crear su área de trabajo, seleccione una de las siguientes pestañas, dependiendo de si utiliza un punto de conexión público o privado.
- Le recomendamos que utilice un punto de conexión público cuando su área de trabajo de Microsoft Sentinel disponga de uno, para evitar posibles problemas en la comunicación de red.
- Si desea utilizar un área de trabajo de Azure Machine Learning en una red virtual, utilice un punto de conexión privado.
Para Microsoft Sentinel en Azure Portal, en Administración de amenazas, seleccione Notebooks.
Para Microsoft Sentinel en el portal de Defender, seleccione Microsoft Sentinel>Administración de amenazas>Blocs de notas.Seleccione Configurar Azure Machine Learning>Crear un área de trabajo de AML.
Escriba los detalles siguientes y, después, seleccione Siguiente.
Campo Descripción Suscripción Seleccione la suscripción de Azure que quiera usar. Grupos de recursos Use un grupo de recursos existente en su suscripción o escriba un nombre para crear un nuevo grupo de recursos. Un grupo de recursos almacena los recursos relacionados con una solución de Azure. Workspace name (Nombre del área de trabajo) Escriba un nombre único que identifique el área de trabajo. Los nombres deben ser únicos en el grupo de recursos. Utilice un nombre que sea fácil de recordar y que se diferencie del de las áreas de trabajo creadas por otros. Región Seleccione la ubicación más cercana a los usuarios y los recursos de datos para crear el área de trabajo. Cuenta de almacenamiento Una cuenta de almacenamiento se usa como un almacén de datos predeterminado para el área de trabajo. Puede crear un nuevo recurso Azure Storage o seleccionar uno existente en su suscripción. KeyVault Un almacén de claves se usa para almacenar secretos y otra información confidencial que el área de trabajo necesita. Puede crear un nuevo recurso Azure Key Vault o seleccionar uno existente en su suscripción. Application Insights El área de trabajo usa Azure Application Insights para almacenar información de supervisión sobre los modelos implementados. Puede crear un nuevo recurso Azure Application Insights o seleccionar uno existente en su suscripción. Registro de contenedor Un registro de contenedor se usa para registrar imágenes de Docker usadas en el entrenamiento y las implementaciones. Para minimizar los costos, se crea un recurso de Azure Container Registry solo después de compilar la primera imagen. También puede optar por crear el recurso ahora o seleccionar uno existente en su suscripción, o seleccionar Ninguno si no desea utilizar ningún registro de contenedor. En la pestaña Redes, seleccione Habilitar el acceso público desde todas las redes.
Defina cualquier configuración pertinente en las pestañas Avanzado o Etiquetas y, a continuación, seleccione Revisar y crear.
En la pestaña Revisar y crear, revise la información para comprobar que es correcta y, después, seleccione Crear para empezar a implementar el área de trabajo. Por ejemplo:
La creación del área de trabajo en la nube puede tardar varios minutos. Durante este tiempo, la página Información general del área de trabajo muestra el estado de implementación actual y se actualiza cuando se completa la implementación.
Una vez completada la implementación, vuelva a Blocs de notas en Microsoft Sentinel e inicie los blocs de notas desde su nueva área de trabajo de Azure Machine Learning.
Si tiene varios cuadernos, asegúrese de seleccionar un área de trabajo de AML predeterminada que se usará al iniciar los cuadernos. Por ejemplo:
Inicie un bloc de notas en su área de trabajo de Azure Machine Learning
Después de crear un área de trabajo de Azure Machine Learning, inicie su cuaderno en esa área de trabajo desde Microsoft Sentinel. Tenga en cuenta que si tiene habilitados puntos de conexión privados en su cuenta de Azure Storage, no podrá iniciar cuadernos en el área de trabajo de Azure Machine Learning desde Microsoft Sentinel. Debe copiar la plantilla de cuaderno de Microsoft Sentinel y cargar el cuaderno en el Estudio de Azure Machine Learning.
Para iniciar el cuaderno de Microsoft Sentinel en el área de trabajo de Azure Machine Learning, siga estos pasos.
Para Microsoft Sentinel en Azure Portal, en Administración de amenazas, seleccione Notebooks.
Para Microsoft Sentinel en el portal de Defender, seleccione Microsoft Sentinel>Administración de amenazas>Blocs de notas.Seleccione la pestaña Plantillas para ver los blocs de notas que proporciona Microsoft Sentinel.
Seleccione un cuaderno para ver su descripción, los tipos de datos necesarios y los orígenes de datos.
Cuando encuentre el bloc de notas que desea utilizar, seleccione Crear a partir de plantilla y Guardar para clonarlo en su propia área de trabajo.
Edite el nombre según sea necesario. Si el bloc de notas ya existe en su área de trabajo, sobrescriba el bloc de notas existente o cree uno nuevo. Por defecto, su bloc de notas se guarda en /Usuarios/<Your_User_Name>/ directorio del área de trabajo AML seleccionado.
Una vez guardado el cuaderno, el botón Guardar cuaderno cambia a Iniciar cuaderno. Seleccione Iniciar cuaderno para abrirlo en el área de trabajo de AML.
Por ejemplo:
En la parte superior de la página, seleccione una instancia de Proceso que se usará para el servidor de cuadernos.
Si no tiene una instancia de proceso, cree una. Si la instancia de proceso está detenida, asegúrese de iniciarla. Para más información, vea Ejecución de un cuaderno en Estudio de Azure Machine Learning.
Solo puede ver y usar las instancias de proceso que usted cree. Los archivos de usuario se almacenan de forma independiente de la máquina virtual y se comparten entre todas las instancias de proceso en el área de trabajo.
Si va a crear una instancia de proceso para probar los cuadernos, créela con la categoría De uso general.
El núcleo también se muestra en la parte superior derecha de la ventana de Azure Machine Learning. Si el kernel que necesita no está seleccionado, seleccione otra versión en la lista desplegable.
Una vez creado e iniciado su servidor de blocs de notas, ejecute sus células de blocs de notas. En cada celda, seleccione el icono Ejecutar para ejecutar el código del cuaderno.
Para más información, vea Métodos abreviados del modo de comando.
Si el cuaderno no responde o quiere volver a empezar, puede reiniciar el kernel y volver a ejecutar las celdas del cuaderno desde el principio. Si reinicia el kernel, se eliminan las variables y otros estados. Después de reiniciarlo, vuelva a ejecutar las celdas de inicialización y autenticación.
Para empezar de nuevo, seleccione Operaciones de kernel>Reiniciar kernel. Por ejemplo:
Ejecución de código en el cuaderno
Ejecute siempre las celdas de código del cuaderno en secuencia. La omisión de celdas puede producir errores.
En un cuaderno:
- Las celdas de Markdown tienen texto, incluido HTML, e imágenes estáticas.
- Las celdas de código contienen código. Después de seleccionar una celda de código, ejecute el código en la celda; para ello, seleccione el icono Reproducir situado a la izquierda de la celda, o bien presione MAYÚS+ENTRAR.
Por ejemplo, ejecute la siguiente celda de código en el cuaderno:
# This is your first code cell. This cell contains basic Python code.
# You can run a code cell by selecting it and then selecting
# the Play button to the left of the cell, or by pressing SHIFT+ENTER.
# Code output displays below the code.
print("Congratulations, you just ran this code cell")
y = 2 + 2
print("2 + 2 =", y)
El código de ejemplo produce este resultado:
Congratulations, you just ran this code cell
2 + 2 = 4
Las variables establecidas dentro de una celda de código de cuaderno se conservan entre celdas, por lo que puede encadenar celdas. Por ejemplo, la siguiente celda de código usa el valor de y
de la celda anterior:
# Note that output from the last line of a cell is automatically
# sent to the output cell, without needing the print() function.
y + 2
La salida es la siguiente:
6
Descarga de todos los cuadernos de Microsoft Sentinel
Esta sección describe cómo utilizar Git para descargar todos los blocs de notas disponibles en el repositorio GitHub de Microsoft Sentinel, desde dentro de un bloc de notas de Microsoft Sentinel, directamente a su área de trabajo de Azure Machine Learning.
Almacenar los blocs de notas de Microsoft Sentinel en su área de trabajo de Azure Machine Learning le permite mantenerlos actualizados fácilmente.
Desde un cuaderno de Microsoft Sentinel, escriba el código siguiente en una celda vacía y, después, ejecute la celda:
!git clone https://github.com/Azure/Azure-Sentinel-Notebooks.git azure-sentinel-nb
Se crea una copia del contenido del repositorio de GitHub en el directorio azure-Sentinel-nb de su carpeta de usuario en su área de trabajo de Azure Machine Learning.
Copie los cuadernos que quiera desde esta carpeta al directorio de trabajo.
Para actualizar los cuadernos con los cambios recientes de GitHub, ejecute lo siguiente:
!cd azure-sentinel-nb && git pull