Azure Sentinel Notebooks 使用教程

最新推荐文章于 2024-12-27 13:30:47 发布

姚星依Kyla

最新推荐文章于 2024-12-27 13:30:47 发布

阅读量1k

点赞数 11

CC 4.0 BY-SA版权

本文链接：https://blog.youkuaiyun.com/gitblog_00421/article/details/142504979

Azure Sentinel Notebooks 使用教程

Azure-Sentinel-Notebooks Interactive Azure Sentinel Notebooks provides security insights and actions to investigate anomalies and hunt for malicious behaviors. 项目地址: https://gitcode.com/gh_mirrors/az/Azure-Sentinel-Notebooks

1. 项目介绍

Azure Sentinel Notebooks 是一个开源项目，旨在通过 Jupyter Notebooks 提供交互式的安全洞察和操作，帮助用户调查异常行为并追踪恶意活动。该项目由 Microsoft 维护，并得到了社区的广泛贡献。Notebooks 利用 Microsoft Sentinel 的开放 API，允许用户查询、转换、分析和可视化 Sentinel 数据，特别适用于临时调查、追踪或定制工作流程。

2. 项目快速启动

2.1 环境准备

在开始之前，确保你已经安装了以下工具和库：

Python 3.x
Jupyter Notebook
Azure SDK for Python
Microsoft Sentinel API 访问权限

2.2 安装依赖

首先，克隆项目仓库并安装所需的依赖包：

git clone https://github.com/Azure/Azure-Sentinel-Notebooks.git
cd Azure-Sentinel-Notebooks
pip install -r requirements.txt

2.3 启动 Notebook

启动 Jupyter Notebook 并打开一个示例 Notebook：

jupyter notebook

在 Jupyter Notebook 界面中，导航到 Getting Started Guide For Azure Sentinel ML Notebooks.ipynb 并运行其中的代码。

2.4 示例代码

以下是一个简单的示例代码，用于查询 Microsoft Sentinel 中的日志数据：

from azure.identity import DefaultAzureCredential
from azure.mgmt.securityinsight import SecurityInsights

# 初始化 Azure 认证
credential = DefaultAzureCredential()

# 初始化 Sentinel 客户端
client = SecurityInsights(credential=credential)

# 查询日志数据
query = "SecurityEvent | where EventID == 4624"
result = client.query(query)

print(result)