Microsoft Sentinel'de Jupyter not defterleri ve MSTICPy için gelişmiş yapılandırmalar

Makale
06/01/2023

Bu makalede, Microsoft Sentinel'de Jupyter not defterleri ve MSTICPy ile çalışmaya yönelik gelişmiş yapılandırmalar açıklanmaktadır.

Daha fazla bilgi için bkz . Güvenlik tehditlerini aramak için Jupyter not defterlerini kullanma ve Öğretici: Microsoft Sentinel'de Jupyter not defterlerini ve MSTICPy'yi kullanmaya başlama.

Önkoşullar

Bu makale, Öğretici: Microsoft Sentinel'de Jupyter not defterlerini ve MSTICPy'i kullanmaya başlama makalesinde devamı niteliğindedir. Aşağıda açıklanan gelişmiş yordamlara devam etmeden önce öğreticiyi gerçekleştirmenizi öneririz.

Azure ve Microsoft Sentinel API'leri için kimlik doğrulama parametrelerini belirtme

Bu yordamda, msticpyconfig.yaml dosyanızda Microsoft Sentinel ve diğer Azure API kaynakları için kimlik doğrulama parametrelerinin nasıl yapılandırıldığı açıklanır.

MSTICPy ayarları düzenleyicisine Azure kimlik doğrulaması ve Microsoft Sentinel API ayarları eklemek için:

Aşağıdaki kodla sonraki hücreye geçin ve çalıştırın:
```
mpedit.set_tab("Data Providers")
mpedit
```
Veri Sağlayıcısı sekmesinde AzureCLI>Ekle'yi seçin.
Kullanılacak kimlik doğrulama yöntemlerini seçin:
- Azure varsayılanlarından farklı bir yöntem kümesi kullanabilirsiniz ancak bu kullanım tipik bir yapılandırma değildir.
- env (ortam değişkeni) kimlik doğrulamasını kullanmak istemiyorsanız clientId, tenantId ve clientSecret alanlarını boş bırakın.
- Önerilmez ancak MSTICPy, kimlik doğrulamanız için istemci uygulama kimliklerini ve gizli dizilerini kullanmayı da destekler. Böyle durumlarda clientId, tenantId ve clientSecret alanlarınızı doğrudan Veri Sağlayıcısı s sekmesinde tanımlayın.
Değişikliklerinizi kaydetmek için Dosyayı Kaydet'i seçin.

Otomatik yükleme sorgu sağlayıcılarını tanımlama

İşlevi çalıştırdığınızda MSTICPy'nin otomatik olarak yüklenmesini istediğiniz sorgu sağlayıcılarını nbinit.init_notebook tanımlayın.

Sık sık yeni not defterleri yazdığınızda, sorgu sağlayıcılarının otomatik olarak yüklenmesi, gerekli sağlayıcıların pivot işlevleri ve not defterleri gibi diğer bileşenlerden önce yüklendiğinden emin olarak size zaman kazandırabilir.

Otomatik yükleme sorgusu sağlayıcıları eklemek için:

Aşağıdaki kodla sonraki hücreye geçin ve çalıştırın:
```
mpedit.set_tab("Autoload QueryProvs")
mpedit
```
SorguYu Otomatik YükleProv sekmesinde:
- Microsoft Sentinel sağlayıcıları için hem sağlayıcı adını hem de bağlanmak istediğiniz çalışma alanı adını belirtin.
- Diğer sorgu sağlayıcıları için yalnızca sağlayıcı adını belirtin.
Her sağlayıcının aşağıdaki isteğe bağlı değerleri de vardır:
- Otomatik bağlanma: Bu seçenek varsayılan olarak True olarak tanımlanır ve MSTICPy yüklendikten hemen sonra sağlayıcıda kimlik doğrulaması yapmaya çalışır. MSTICPy, ayarlarınızda sağlayıcı için kimlik bilgilerini yapılandırdığınız varsayılır.
- Diğer ad: MSTICPy bir sağlayıcıyı yüklediğinde sağlayıcıyı bir Python değişken adına atar. Varsayılan olarak, değişken adı Microsoft Sentinel sağlayıcıları için qryworkspace_name ve diğer sağlayıcılar için qryprovider_name .
  
  Örneğin, ContosoSOC çalışma alanı için bir sorgu sağlayıcısı yüklerseniz, bu sorgu sağlayıcısı not defteri ortamınızda adıyla qry_ContosoSOColuşturulur. Daha kısa veya daha kolay yazılmasını ve anımsanmasını istiyorsanız bir diğer ad ekleyin. Sağlayıcı değişkeninin adı olacaktır qry_<alias>. Burada <alias> , sağladığınız diğer adla değiştirilir.
  
  Bu mekanizmayla yüklediğiniz sağlayıcılar, örneğin aşağıdaki kodda kullanılan MSTICPy current_providers özniteliğine de eklenir:
```
import msticpy
msticpy.current_providers
```
Değişikliklerinizi kaydetmek için Ayarları Kaydet'i seçin.

Otomatik yüklenen MSTICPy bileşenlerini tanımlama

Bu yordamda, işlevi çalıştırdığınızda nbinit.init_notebook MSTICPy tarafından otomatik olarak yüklenen diğer bileşenlerin nasıl tanımlanacağı açıklanır.

Desteklenen bileşenler şunlardır:

TILookup:TI sağlayıcı kitaplığı
GeoIP:Kullanmak istediğiniz GeoIP sağlayıcısı
AzureData: Azure kaynakları hakkındaki ayrıntıları sorgulamak için kullandığınız modül
AzureSentinelAPI: Microsoft Sentinel API'sini sorgulamak için kullandığınız modül
Not Defterleri: msticnb paketindeki not defterleri
Özet: Pivot işlevleri

Not

Pivot bileşeninde varlıklara eklendiği pivot işlevlerini bulmak için sorgunun ve diğer sağlayıcıların yüklenmesi gerektiğinden bileşenler bu sırada yüklenir. Daha fazla bilgi için MSTICPy belgelerine bakın.

Otomatik yüklenen MSTICPy bileşenlerini tanımlamak için:

Aşağıdaki kodla sonraki hücreye geçin ve çalıştırın:
```
mpedit.set_tab("Autoload Components")
mpedit
```
Bileşenleri Otomatik Yükle sekmesinde, parametre değerlerini gerektiği gibi tanımlayın. Örneğin:
- GeoIpLookup. Kullanmak istediğiniz GeoIP sağlayıcısının adını (GeoLiteLookup veya IPStack) girin. Daha fazla bilgi için bkz . GeoIP sağlayıcı ayarları ekleme.
- AzureData ve AzureSentinelAPI bileşenleri. Aşağıdaki değerleri tanımlayın:
  - auth_methods: AzureCLI için varsayılan ayarları geçersiz kılın ve seçili yöntemleri kullanarak bağlanın.
  - Otomatik bağlanma: Bağlanmadan yüklemek için false olarak ayarlayın.
  Daha fazla bilgi için bkz . Azure ve Microsoft Sentinel API'leri için kimlik doğrulama parametrelerini belirtme.
- Not defterleri. Notebooklets bileşeninin tek bir parametre bloğu vardır: AzureSentinel.
  
  Aşağıdaki söz dizimini kullanarak Microsoft Sentinel çalışma alanınızı belirtin: workspace:\<workspace name>. Çalışma alanı adı, Microsoft Sentinel sekmesinde tanımlanan çalışma alanlarından biri olmalıdır.
  
  İşleve göndermek notebooklets init için daha fazla parametre eklemek istiyorsanız, bunları yeni satırlarla ayrılmış olarak key:value çiftleri olarak belirtin. Örneğin:
```
workspace:<workspace name>
providers=["LocalData","geolitelookup"]
```
  Daha fazla bilgi için MSTICNB (MSTIC Notebooklets) belgelerine bakın.
TILookup ve Pivot gibi bazı bileşenler için parametre gerekmez.
Değişikliklerinizi kaydetmek için Ayarları Kaydet'i seçin.

Python 3.6 ve 3.8 çekirdekleri arasında geçiş yapma

Python 3.65 ile 3.8 çekirdekleri arasında geçiş yaparsanız MSTICPy ve diğer paketlerin beklendiği gibi yüklenmediğini fark edebilirsiniz.

Bu durum, komut ilk ortamda doğru şekilde yüklenir ancak ikinci ortamda doğru yüklenmezse oluşabilir !pip install pkg . Bu, ikinci ortamın paketi içeri aktaramama veya kullanamama durumu oluşturur.

Azure ML not defterlerinde paketleri yüklemek için kullanmamanızı !pip install... öneririz. Bunun yerine aşağıdaki seçeneklerden birini kullanın:

Not defteri içinde %pip çizgi büyüsünü kullanın. Çalıştır:
```
%pip install --upgrade msticpy
```
Terminalden yükleme:
1. Azure ML not defterlerinde bir terminal açın ve aşağıdaki komutları çalıştırın:
```
conda activate azureml_py38
pip install --upgrade msticpy
```
2. Terminali kapatın ve çekirdeği yeniden başlatın.

msticpyconfig.yaml dosyanız için ortam değişkeni ayarlama

Azure ML'de çalıştırıyorsanız ve msticpyconfig.yaml dosyanız kullanıcı klasörünüzün kökündeyse, MSTICPy bu ayarları otomatik olarak bulur. Ancak, not defterlerini başka bir ortamda çalıştırıyorsanız, yapılandırma dosyanızın konumunu gösteren bir ortam değişkeni ayarlamak için bu bölümdeki yönergeleri izleyin.

Msticpyconfig.yaml dosyanızın yolunu bir ortam değişkeninde tanımlamak, dosyanızı bilinen bir konumda depolamanıza ve her zaman aynı ayarları yüklediğinizden emin olmanıza olanak tanır.

Farklı not defterleri için farklı ayarlar kullanmak istiyorsanız, birden çok ortam değişkeniyle birden çok yapılandırma dosyası kullanın.

msticpyconfig.yaml dosyanız için ~/.msticpyconfig.yaml veya %userprofile%/msticpyconfig.yaml gibi bir konuma karar verin.

Azure ML kullanıcıları: Yapılandırma dosyanızı Azure ML kullanıcı klasörünüzde depolarsanız, MSTICPy init_notebook işlevi (başlatma hücresinde çalıştır) dosyayı otomatik olarak bulur ve kullanır ve bir MSTICPYCONFIG ortam değişkeni ayarlamanız gerekmez.

Ancak, dosyada depolanan gizli dizileriniz de varsa, yapılandırma dosyasını işlem yerel sürücüsünde depolamanızı öneririz. İşlem iç depolamasına yalnızca işlemi oluşturan kişi erişebilirken, paylaşılan depolamaya Azure ML çalışma alanınıza erişimi olan herkes erişebilir.

Daha fazla bilgi için bkz . Azure Machine Learning işlem örneği nedir?.
Gerekirse, msticpyconfig.yaml dosyanızı seçtiğiniz konuma kopyalayın.
MSTICPYCONFIG ortam değişkenini bu konuma işaret etmek için ayarlayın.

MSTICPYCONFIG ortam değişkenini tanımlamak için aşağıdaki yordamlardan birini kullanın.

Örneğin, Windows sistemlerinde MSTICPYCONFIG ortam değişkenini ayarlamak için:

msticpyconfig.yaml dosyasını gerektiği gibi İşlem örneğine taşıyın.
Sistem Özellikleri iletişim kutusunu Gelişmiş sekmesine açın.
Ortam Değişkenleri iletişim kutusunu açmak için Ortam Değişkenleri... öğesini seçin.
Sistem değişkenleri alanında Yeni...'yi seçin ve değerleri aşağıdaki gibi tanımlayın:
- Değişken adı: Farklı tanımla MSTICPYCONFIG
- Değişken değeri: msticpyconfig.yaml dosyanızın yolunu girin

Bu yordam, Linux sistemlerinde MSTICPYCONFIG ortam değişkenini ayarlamak için .bashrc dosyasının nasıl güncelleştirildiği açıklanmaktadır.

msticpyconfig.yaml dosyasını gerektiği gibi İşlem örneğine taşıyın.
Microsoft Sentinel Not Defterleri sayfasında olduğu gibi bir Azure ML terminali açın.
msticpyconfig.yaml dosyanıza erişebildiğinizden emin olun.

Azure ML terminalinizde, geçerli dizininiz İşlem Linux sistemine bağlı Azure ML dosya deposu giriş dizininiz olmalıdır. İstem aşağıdaki örneğe benzer:
```
azureuser@alicecontoso-azml7:~/cloudfiles/code/Users/alicecontoso$
```
giriş dizinindeki msticpyconfig.yaml dosyası da dahil olmak üzere tüm dosyaları girerek listeleyinls.
msticpyconfig.yaml dosyasını İşlem dosya deposuna taşımak için şunu girin:
```
mv msticpyconfig.yaml ~
```

Ortam değişkeninizin .bashrc dosyasını düzenlemek için aşağıdaki işlemlerden birini kullanın:

Command	Adımlar
Vim	1. Çalıştır: `vim ~/.bashrc` 2. SHIFT+G>Ucu tuşlarına basarak dosyanın sonuna gidin. 3. Bir satır girip ENTER tuşuna basarak yeni bir satır oluşturun. 4. Ortam değişkeninizi ekleyin ve ardından komut moduna geri dönmek için ESC tuşuna basın. 5. :wq girerek dosyayı kaydedin.
nano	1. Çalıştır: `nano ~/.bashrc` 1. ALT+/ veya OPTION+/ tuşlarına basarak dosyanın sonuna gidin. 1. Ortam değişkeninizi ekleyin ve dosyanızı kaydedin. CTRL+X tuşlarına ve ardından Y tuşlarına basın.

Aşağıdaki ortam değişkenlerinden birini ekleyin:

msticpyconfig.yaml dosyasını taşıdıysanız komutunu çalıştırınexport MSTICPYCONFIG=~/msticpyconfig.yaml.
msticpyconfig.yaml dosyasını taşımadıysanız komutunu çalıştırınexport MSTICPYCONFIG=~/cloudfiles/code/Users/<YOURNAME>/msticpyconfig.yaml.

msticpyconfig.yaml dosyanızı Azure ML kullanıcı klasörünüz dışında bir yerde depolamanız gerekiyorsa, aşağıdaki seçeneklerden birini kullanın:

Kullanıcı klasörünüzün kökünde bir nbuser_settings.py dosyası. Bu işlem, kernel.json dosyasını düzenlemekten daha basit ve daha az müdahaleci olsa da, yalnızca not defteri kodunuzun init_notebook başında işlevi çalıştırdığınızda desteklenir. Bu varsayılan davranış olsa da, not defteri kodunu ilk çalıştırmadan init_notebookçalıştırırsanız, MSTICPy yapılandırma dosyasını bulamayabilir.
1. Azure ML terminalinde kullanıcı klasörünüzün kökünde kullanıcı adınızın bulunduğu klasör olan nbuser_settings.py dosyasını oluşturun.
2. nbuser_settings.py dosyasına aşağıdaki satırları ekleyin:
```
  import os
  os.environ["MSTICPYCONFIG"] = "~/msticpyconfig.yaml"
```
Bu dosya işlev tarafından init_notebook otomatik olarak içeri aktarılır ve geçerli not defteri için ortam değişkenini ayarlar MSTICPYCONFIG .
Python çekirdeğiniz için kernel.json dosyası. Not defterini el ile ve büyük olasılıkla başlangıçta işlevi çağırmadan çalıştırmayı init_notebook planlıyorsanız bu yordamı kullanın.

Python 3.6 ve Python 3.8 için çekirdekler vardır. Her iki çekirdeği de kullanıyorsanız, her iki dosyayı da düzenleyin.
- Python 3.8 konumu: /usr/local/share/jupyter/kernels/python38-azureml/kernel.json
- Python 3.6 konumu: /usr/local/share/jupyter/kernels/python3-azureml/kernel.json
kernel.json dosyasında ortam değişkenini ayarlamak için:
1. kernel.json dosyasının bir kopyasını yapın ve özgün dosyayı bir düzenleyicide açın. kernel.json dosyasının üzerine yazmak için kullanmanız sudo gerekebilir ve dosya içeriği aşağıdaki örneğe benzer:
```
{
   "argv": [
   "/anaconda/envs/azureml_py38/bin/python",
   "-m",
   "ipykernel_launcher",
   "-f",
   "{connection_file}"
   ],
   "display_name": "Python 3.8 - AzureML",
   "language": "python"
}
```
2. Öğeden "language" sonra aşağıdaki satırı ekleyin: "env": { "MSTICPYCONFIG": "~/msticpyconfig.yaml" }
  
  Satırın sonuna virgül eklediğinizden "language": "python" emin olun. Örneğin:
```
{
    "argv": [
    "/anaconda/envs/azureml_py38/bin/python",
    "-m",
    "ipykernel_launcher",
    "-f",
    "{connection_file}"
    ],
    "display_name": "Python 3.8 - AzureML",
    "language": "python",
    "env": { "MSTICPYCONFIG": "~/msticpyconfig.yaml" }
}
```

Not

Linux ve Windows seçenekleri için jupyter sunucunuzu yeniden başlatmanız ve tanımladığınız ortam değişkenini almanız gerekir.

Sonraki adımlar

Daha fazla bilgi için bkz.

Konu	Diğer başvurular
MSTICPy	- MSTICPy Paket Yapılandırması - MSTICPy Ayarları Düzenleyicisi - Not Defteri ortamınızı yapılandırma. - MPSettingsEditor not defteri. Not: Azure-Sentinel-Notebooks GitHub deposu, açıklama satırı bölümleri içeren ve ayarları anlamanıza yardımcı olabilecek bir şablon msticpyconfig.yaml dosyası da içerir.
Microsoft Sentinel ve Jupyter not defterleri	- İlk Microsoft Sentinel not defterinizi oluşturma (Blog serisi) - Jupyter Notebooks: Giriş - MSTICPy belgeleri - Microsoft Sentinel Not Defterleri belgeleri - The Infosec Jupyterbook - Linux Ana Bilgisayar Gezgini Not Defteri kılavuzu - Güvenlik Araştırmaları için Jupyter neden kullanılır? - Microsoft Sentinel ve Not Defterleri ile Güvenlik Araştırmaları - Pandas Belgeleri - Bokeh Belgeleri

Konu

Diğer başvurular

MSTICPy

- MSTICPy Paket Yapılandırması
- MSTICPy Ayarları Düzenleyicisi
- Not Defteri ortamınızı yapılandırma.
- MPSettingsEditor not defteri.

Not: Azure-Sentinel-Notebooks GitHub deposu, açıklama satırı bölümleri içeren ve ayarları anlamanıza yardımcı olabilecek bir şablon msticpyconfig.yaml dosyası da içerir.

Microsoft Sentinel ve Jupyter not defterleri

- İlk Microsoft Sentinel not defterinizi oluşturma (Blog serisi)
- Jupyter Notebooks: Giriş
- MSTICPy belgeleri
- Microsoft Sentinel Not Defterleri belgeleri
- The Infosec Jupyterbook
- Linux Ana Bilgisayar Gezgini Not Defteri kılavuzu
- Güvenlik Araştırmaları için Jupyter neden kullanılır?
- Microsoft Sentinel ve Not Defterleri ile Güvenlik Araştırmaları
- Pandas Belgeleri
- Bokeh Belgeleri

Aracılığıyla paylaş