Erste Schritte mit Jupyter Notebooks und MSTICPy in Microsoft Sentinel

Gilt für:: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

In diesem Artikel wird beschrieben, wie Sie das Notebook Erste Schritte Handbuch für Microsoft Sentinel ML-Notebooks ausführen, das grundlegende Konfigurationen für die Ausführung von Jupyter Notebooks in Microsoft Sentinel einrichtet und Beispiele für die Ausführung einfacher Abfragen enthält.

Das Erste Schritte-Handbuch für Microsoft Sentinel ML-Notebooks verwendet MSTICPy, eine leistungsstarke Python-Bibliothek, die sicherheitsrelevante Untersuchungen und bedrohungssuche in Microsoft Sentinel Notebooks verbessert. Es bietet integrierte Tools für Datenanreicherung, Visualisierung, Anomalieerkennung und automatisierte Abfragen, die Analysten dabei unterstützen, ihren Workflow ohne umfangreiche benutzerdefinierte Codierung zu optimieren.

Weitere Informationen finden Sie unter Verwenden von Notebooks zum Durchführen von Untersuchungen und Verwenden von Jupyter Notebooks zur Suche nach Sicherheitsbedrohungen.

Wichtig

Nach dem 31. März 2027 werden Microsoft Sentinel im Azure-Portal nicht mehr unterstützt und sind nur im Microsoft Defender-Portal verfügbar. Alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, werden zum Defender-Portal umgeleitet und verwenden Microsoft Sentinel nur im Defender-Portal.

Wenn Sie weiterhin Microsoft Sentinel im Azure-Portal verwenden, empfehlen wir Ihnen, den Übergang zum Defender-Portal zu planen, um einen reibungslosen Übergang zu gewährleisten und die von Microsoft Defender angebotenen einheitlichen Sicherheitsvorgänge in vollem Umfang zu nutzen.

Voraussetzungen

Bevor Sie beginnen, stellen Sie sicher, dass Sie über die erforderlichen Berechtigungen und Ressourcen verfügen.

Voraussetzungen	Beschreibung
Berechtigungen	Um Notebooks in Microsoft Sentinel zu verwenden, stellen Sie sicher, dass Sie über die erforderlichen Berechtigungen verfügen. Weitere Informationen finden Sie unter Verwalten des Zugriffs auf Microsoft Sentinel Notebooks.
Python	Zum Ausführen der Schritte in diesem Artikel benötigen Sie Python 3.6 oder höher. In Azure Machine Learning können Sie entweder einen Python 3.8-Kernel (empfohlen) oder einen Python 3.6-Kernel verwenden. Wenn Sie das in diesem Artikel beschriebene Notebook in einer anderen Jupyter-Umgebung verwenden, können Sie einen beliebigen Kernel verwenden, der Python 3.6 oder höher unterstützt. Um MSTICPy-Notebooks außerhalb von Microsoft Sentinel und Azure Machine Learning (ML) zu verwenden, müssen Sie auch Ihre Python-Umgebung konfigurieren. Installieren Sie Python 3.6 oder höher mit der Anaconda-Distribution, die viele der erforderlichen Pakete enthält.
MaxMind GeoLite2	Dieses Notebook verwendet den Geolocation-Suchdienst MaxMind GeoLite2 für IP-Adressen. Um den MaxMind GeoLite2-Dienst verwenden zu können, benötigen Sie einen Lizenzschlüssel. Sie können sich auf der Maxmind-Registrierungsseite für ein kostenloses Konto und einen kostenlosen Schlüssel registrieren.
Virustotal	Dieses Notebook verwendet VirusTotal (VT) als Threat Intelligence-Quelle. Um die VirusTotal Threat Intelligence-Suche verwenden zu können, benötigen Sie ein VirusTotal-Konto und einen API-Schlüssel. Wenn Sie einen VT-Enterprise-Schlüssel verwenden, speichern Sie ihn in einem Azure Key Vault anstelle der Datei msticpyconfig.yaml. Weitere Informationen finden Sie unter Angeben von Geheimnissen als Key Vault Geheimnissen in der MSTICPY-Dokumentation. Wenn Sie derzeit keine Azure Key Vault einrichten möchten, registrieren Sie sich für ein kostenloses Konto, und verwenden Sie es, bis Sie Key Vault Speicher einrichten können.

Installieren und Ausführen des notebooks "Erste Schritte Guide"

In diesem Verfahren wird beschrieben, wie Sie Ihr Notebook mit Microsoft Sentinel starten.

Wählen Sie für Microsoft Sentinel im Defender-PortalMicrosoft Sentinel>Threat Management>Notebooks aus. Wählen Sie für Microsoft Sentinel im Azure-Portal unter Bedrohungsverwaltungdie Option Notebooks aus.
Wählen Sie auf der Registerkarte Vorlagen die Option A Erste Schritte Guide For Microsoft Sentinel ML Notebooks aus.
Wählen Sie Aus Vorlage erstellen aus.
Bearbeiten Sie den Namen, und wählen Sie den Azure Machine Learning-Arbeitsbereich entsprechend aus.
Wählen Sie Speichern aus, um sie in Ihrem Azure Machine Learning-Arbeitsbereich zu speichern.
Wählen Sie Notebook starten aus, um das Notebook auszuführen. Das Notebook enthält eine Reihe von Zellen:
- Markdownzellen enthalten Text und Grafiken mit Anweisungen zur Verwendung des Notebooks
- Codezellen enthalten ausführbaren Code, der die Notebookfunktionen ausführt
Wählen Sie oben auf der Seite Ihre Compute-Instanz aus.
Fahren Sie fort, indem Sie Markdownzellen lesen und Codezellen in der richtigen Reihenfolge ausführen, indem Sie die Anweisungen im Notebook befolgen. Das Überspringen von Zellen oder das Ausführen der Zellen in nicht ordnungsgemäßer Reihenfolge kann später im Notebook zu Fehlern führen.

Abhängig von der ausgeführten Funktion kann der Code in der Zelle schnell ausgeführt werden, oder es kann einige Zeit dauern, bis der Code abgeschlossen ist. Wenn die Zelle ausgeführt wird, ändert sich die Wiedergabeschaltfläche in einen Ladespinner, und die status wird am unteren Rand der Zelle zusammen mit der verstrichenen Zeit angezeigt.

Wenn Sie eine Codezelle zum ersten Mal ausführen, kann es je nach Ihren Computeeinstellungen einige Minuten dauern, bis die Sitzung gestartet wird. Die Anzeige Bereit wird angezeigt, wenn das Notebook bereit ist, Codezellen auszuführen. Zum Beispiel:

Das Notebook Erste Schritte Handbuch für Microsoft Sentinel ML-Notebooks enthält Abschnitte für die folgenden Aktivitäten:

Name	Beschreibung
Einführung	Beschreiben Sie die Grundlagen des Notebooks, und stellen Sie Beispielcode bereit, den Sie ausführen können, um zu sehen, wie Notebooks funktionieren.
Initialisieren des Notebooks und von MSTICPy	Hilft Ihnen, Ihre Umgebung für die Ausführung des restlichen Notebooks bereit zu machen. Beim Initialisieren des Notebooks werden Konfigurationswarnungen zu fehlenden Einstellungen erwartet, da Sie noch nichts konfiguriert haben.
Abfragen von Daten aus Microsoft Sentinel	Unterstützt Sie beim Überprüfen, Konfigurieren und Testen Microsoft Sentinel Einstellungen. Verwenden Sie den Code in diesem Abschnitt, um sich bei Microsoft Sentinel zu authentifizieren und eine Beispielabfrage auszuführen, um die Verbindung zu testen.
Konfigurieren und Testen externer Datenanbieter (VirusTotal und Maxmind GeoLite2)	Unterstützt Sie bei der Konfiguration von Einstellungen für VirusTotal als Beispiel-Threat Intelligence-Dienst und MaxMind GeoLite2 als Beispieldienst für die Suche nach geografischen Standorten. Verwenden Sie den Code in diesem Abschnitt, um Beispielabfragen für diese Datenanbieter auszuführen, um sie zu testen.

Der Code im Erste Schritte Guide For Microsoft Sentinel ML Notebooks startet das Tool MpConfigEdit, das eine Reihe von Registerkarten zum Konfigurieren Ihrer Notebookumgebung enthält. Wenn Sie Änderungen im MpConfigEdit-Tool vornehmen, müssen Sie ihre Änderungen speichern, bevor Sie fortfahren. Die Einstellungen für das Notebook werden in der Datei msticpyconfig.yaml gespeichert, die automatisch mit anfänglichen Details für Ihren Arbeitsbereich aufgefüllt wird.

Lesen Sie die Markdownzellen sorgfältig durch, damit Sie den Prozess vollständig verstehen, einschließlich der einstellungen und der Datei msticpyconfig.yaml . Die nächsten Schritte, zusätzliche Ressourcen und häufig gestellte Fragen aus dem Azure Sentinel Notebooks-Wiki sind am Ende des Notizbuchs verknüpft.

Anpassen Ihrer Abfragen (optional)

Das Notebook Erste Schritte Handbuch für Microsoft Sentinel ML-Notebooks enthält Beispielabfragen, die Sie verwenden können, wenn Sie sich mit Notebooks vertraut machen. Passen Sie die integrierten Abfragen an, indem Sie weitere Abfragelogik hinzufügen oder vollständige Abfragen mit der exec_query -Funktion ausführen. Beispielsweise unterstützen die meisten integrierten Abfragen den add_query_items -Parameter, den Sie zum Anfügen von Filtern oder anderen Vorgängen an die Abfragen verwenden können.

Führen Sie die folgende Codezelle aus, um einen Datenrahmen hinzuzufügen, der die Anzahl der Warnungen anhand des Warnungsnamens zusammenfasst:

from datetime import datetime, timedelta

qry_prov.SecurityAlert.list_alerts(
   start=datetime.utcnow() - timedelta(28),
    end=datetime.utcnow(),
    add_query_items="| summarize NumAlerts=count() by AlertName"
)

Übergeben Sie eine KQL-Abfragezeichenfolge (Full Kusto-Abfragesprache) an den Abfrageanbieter. Die Abfrage wird für den verbundenen Arbeitsbereich ausgeführt, und die Daten werden als Panda DataFrame zurückgegeben. Ausführen:
```
# Define your query
test_query = """
OfficeActivity
| where TimeGenerated > ago(1d)
| take 10
"""

# Pass the query to your QueryProvider
office_events_df = qry_prov.exec_query(test_query)
display(office_events_df.head())
```

Weitere Informationen finden Sie unter:

Anwenden von Anleitungen auf andere Notebooks

In den Schritten in diesem Artikel wird beschrieben, wie Sie das Notebook "Erste Schritte Guide for Microsoft Sentinel ML Notebooks" in Ihrem Azure Machine Learning-Arbeitsbereich über Microsoft Sentinel ausführen. Sie können diesen Artikel auch als Anleitung verwenden, um ähnliche Schritte zum Ausführen von Notebooks in anderen Umgebungen, einschließlich lokal, auszuführen.

Mehrere Microsoft Sentinel Notebooks verwenden MSTICPy nicht, z. B. die Notebooks für die Anmeldeinformationsprüfung oder die PowerShell- und C#-Beispiele. Notebooks, die MSTICpy nicht verwenden, benötigen nicht die in diesem Artikel beschriebene MSTICPy-Konfiguration.

Probieren Sie andere Microsoft Sentinel Notebooks aus, z. B.:

Konfigurieren Ihrer Notebook-Umgebung
Eine Tour durch cybersec Notebook-Features
Beispiele für maschinelles Lernen in Notebooks
Die Entity Explorer-Serie, einschließlich Variationen für Konten, Domänen und URLs, IP-Adressen und Linux- oder Windows-Hosts.

Weitere Informationen finden Sie unter:

Feedback

War diese Seite hilfreich?

Last updated on 2026-04-23