ICM / azure / Jupyter Notebooks en Azure Sentinel

Jupyter Notebooks en Azure Sentinel

16 febrero 2021 | Elena González

¿Quieres saber cómo poder exportar un proyecto Jupyter Notebooks en Azure Sentinel? Sigue leyendo esta entrada y descubre el paso a paso de cómo realizarlo.

¿Qué es Jupyter Notebooks? ¿Cómo se usa en Azure?

Azure Notebooks es un servicio gratuito para que cualquiera pueda desarrollar y crear código en su navegador utilizando Jupyter; un proyecto de código abierto que permite combinar prosa markdown, código ejecutable, y gráficos en un solo lienzo.

Basado en el lenguaje de script Julia, Python y R, Jupyter se suele utilizar para clasificar incidentes en Azure Sentinel que hayan sido resueltos. También cuando algún proceso automatizado ha dejado de estarlo y es necesario encontrar cuál ha sido el motivo, y cuando las búsquedas con KQL ya no ofrecen las respuestas correctas.

Cuando hablamos de Azure Playbooks, nos referimos al uso de playbooks en este servicio. Aplicamos Jupyter Playbooks en Azure Sentinel, sobre todo cuando la investigación se vuelve compleja o hay demasiados datos y detalles que analizar. Así, se puede almacenar el resultado de las consultas como, por ejemplo, resultados de datos o mejorar el procesamiento de datos, ML y visualizaciones con distintas librerías y paquetes disponibles.

No existen muchas opciones para utilizar Notebooks, pero como el mismo título sugiere, en este caso utilizaremos Azure Sentinel, por lo explicaremos cómo utilizar Jupyter Notebooks en Azure.

azure sentinel jupyter

Cómo usar Jupyter Notebooks en Azure Sentinel

Una vez hemos instalado la extensión en nuestra aplicación, necesitaremos conectar con Jupyter Server en Visual Studio o, en el caso de que no contemos con uno, siempre podemos utilizar una instancia ML en nuestro Azure Sentinel, para así tener un lugar dónde almacenar y acceder a nuestros playbooks. En caso de que sí contemos con un Jupyter Server, se puede acceder a éste desde el propio localhost y utilizar la función de Python para empezar a teclear código. En este caso trabajamos con Azure Sentinel, por lo que a continuación enseñaremos cómo crear playbooks desde un servidor Azure ML.

Desde el portal de Azure accederemos a Azure Sentinel > Threat Management > Notebooks donde encontrar playbooks básicos. Seleccionaremos el notebook que vayamos a usar y, a continuación, el “Launch Notebook” para clonar y configurar el notebook en un nuevo proyecto de Azure Notebooks. Este conecta a su vez con tu workspace de Azure Sentinel. Cuando el proceso esté completado, el notebook se abrirá con Azure Notebooks para editarlo. En la sección de Azure ML Workspace, selecciona tu workspace y, clicka en Launch. Una vez completado este paso, selecciona una instancia de proceso.

En el caso de que ahora mismo no cuentes con una instancia, selecciona la opción “+” para abrir el “New Compute instance wizard”. Esta página te proporcionará la información necesaria para rellenar y poder crear una de cero.

Una vez tu servidor notebook esté creado, dentro de cada celda selecciona el icono “run” para ejecutar código en el notebook. En este paso, ya se puede introducir y utilizar código. Puedes elegir entre lanzar todo el código del notebook o solo una parte.

Los playbooks de Jupyter Notebooks utilizan JSON. En el siguiente link podrás encontrar el repositorio oficial de Azure Sentinel con Jupyter Notebooks: GitHub – Azure/Azure-Sentinel: Cloud-native SIEM for intelligent security analytics for your entire enterprise.