Vyhledávání bezpečnostních hrozeb pomocí poznámkových bloků Jupyter
V rámci vyšetřování zabezpečení a proaktivního vyhledávání můžete spouštět a spouštět poznámkové bloky Jupyter pro programovou analýzu dat.
V tomto článku vytvoříte pracovní prostor Azure Machine Learning, spustíte poznámkový blok z Microsoft Sentinelu do pracovního prostoru Azure Machine Learning a spustíte kód v poznámkovém bloku.
Důležité
Microsoft Sentinel je obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Ve verzi Preview je Microsoft Sentinel k dispozici na portálu Defender bez licence XDR v programu Microsoft Defender nebo licence E5. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.
Požadavky
Než dokončíte kroky v tomto článku, doporučujeme, abyste se seznámili s poznámkovými bloky Microsoft Sentinelu. Viz Použití poznámkových bloků Jupyter k vyhledávání bezpečnostních hrozeb.
Pokud chcete používat poznámkové bloky Microsoft Sentinelu, musíte mít následující role a oprávnění:
Typ | Detaily |
---|---|
Microsoft Sentinel | – Role Přispěvatel Microsoft Sentinelu, aby bylo možné ukládat a spouštět poznámkové bloky z Microsoft Sentinelu |
Azure Machine Learning | – Role Vlastník nebo Přispěvatel na úrovni skupiny prostředků, která v případě potřeby vytvoří nový pracovní prostor Azure Machine Learning. – Role Přispěvatel v pracovním prostoru Azure Machine Learning, ve kterém spouštíte poznámkové bloky Microsoft Sentinelu. Další informace najdete v tématu Správa přístupu k pracovnímu prostoru Azure Machine Learning. |
Vytvoření pracovního prostoru Azure Machine Learning z Microsoft Sentinelu
Pokud chcete vytvořit pracovní prostor, vyberte jednu z následujících karet v závislosti na tom, jestli používáte veřejný nebo privátní koncový bod.
- Pokud má váš pracovní prostor Microsoft Sentinelu jeden, doporučujeme použít veřejný koncový bod , abyste se vyhnuli potenciálním problémům v síťové komunikaci.
- Pokud chcete použít pracovní prostor Azure Machine Learning ve virtuální síti, použijte privátní koncový bod.
Pro Microsoft Sentinel na webu Azure Portal v části Správa hrozeb vyberte Poznámkové bloky.
Pro Microsoft Sentinel na portálu Defender vyberte poznámkové bloky pro správu>hrozeb Microsoft Sentinelu>.Vyberte Konfigurovat azure Machine Learning>– Vytvořit nový pracovní prostor AML.
Zadejte následující podrobnosti a pak vyberte Další.
Pole Popis Předplatné Vyberte předplatné Azure, které chcete použít. Skupina prostředků Použijte stávající skupinu prostředků, kterou máte v předplatném, nebo zadejte název a vytvořte novou skupinu prostředků. Skupina prostředků obsahuje související prostředky pro řešení Azure. Název pracovního prostoru Zadejte jedinečný název, který identifikuje váš pracovní prostor. Názvy musí být v rámci skupiny prostředků jedinečné. Použijte název, který je snadno odvolatelný a odlišit se od pracovních prostorů vytvořených jinými uživateli. Oblast Vyberte umístění nejblíže vašim uživatelům a datovým prostředkům a vytvořte pracovní prostor. Účet úložiště Účet úložiště se používá jako výchozí úložiště dat pro pracovní prostor. Můžete vytvořit nový prostředek Azure Storage nebo vybrat existující prostředek ve vašem předplatném. KeyVault Trezor klíčů slouží k ukládání tajných kódů a dalších citlivých informací, které pracovní prostor potřebuje. Můžete vytvořit nový prostředek služby Azure Key Vault nebo vybrat existující prostředek ve vašem předplatném. Application Insights Pracovní prostor používá Aplikace Azure lication Insights k ukládání informací o monitorování nasazených modelů. Můžete vytvořit nový prostředek Aplikace Azure lication Insights nebo vybrat existující prostředek ve vašem předplatném. Registr kontejneru Registr kontejneru se používá k registraci imagí Dockeru používaných při trénování a nasazeních. Pokud chcete minimalizovat náklady, vytvoří se nový prostředek služby Azure Container Registry až po vytvoření první image. Případně se můžete rozhodnout vytvořit prostředek hned nebo vybrat existující prostředek ve vašem předplatném nebo vybrat možnost Žádné , pokud nechcete používat žádný registr kontejneru. Na kartě Sítě vyberte Povolit veřejný přístup ze všech sítí.
Na kartách Upřesnit nebo Značky definujte všechna relevantní nastavení a pak vyberte Zkontrolovat a vytvořit.
Na kartě Zkontrolovat a vytvořit zkontrolujte informace, abyste ověřili, že jsou správné, a pak vyberte Vytvořit a začněte nasazovat pracovní prostor. Příklad:
Vytvoření pracovního prostoru v cloudu může trvat několik minut. Během této doby se na stránce Přehled pracovního prostoru zobrazuje aktuální stav nasazení a po dokončení nasazení se aktualizuje.
Po dokončení nasazení se vraťte do poznámkových bloků v Microsoft Sentinelu a spusťte poznámkové bloky z nového pracovního prostoru Azure Machine Learning.
Pokud máte více poznámkových bloků, nezapomeňte vybrat výchozí pracovní prostor AML, který se má použít při spouštění poznámkových bloků. Příklad:
Spuštění poznámkového bloku v pracovním prostoru Azure Machine Learning
Po vytvoření pracovního prostoru Azure Machine Learning spusťte poznámkový blok v tomto pracovním prostoru z Microsoft Sentinelu. Mějte na paměti, že pokud máte v účtu úložiště Azure povolené privátní koncové body nebo omezení přístupu k veřejné síti, nemůžete z Microsoft Sentinelu spouštět poznámkové bloky v pracovním prostoru Azure Machine Learning. Šablonu poznámkového bloku musíte zkopírovat z Microsoft Sentinelu a nahrát ho do studio Azure Machine Learning.
Pokud chcete spustit poznámkový blok Microsoft Sentinelu v pracovním prostoru Azure Machine Learning, proveďte následující kroky.
Pro Microsoft Sentinel na webu Azure Portal v části Správa hrozeb vyberte Poznámkové bloky.
Pro Microsoft Sentinel na portálu Defender vyberte poznámkové bloky pro správu>hrozeb Microsoft Sentinelu>.Výběrem karty Šablony zobrazíte poznámkové bloky, které Microsoft Sentinel poskytuje.
Výběrem poznámkového bloku zobrazíte jeho popis, požadované datové typy a zdroje dat.
Když najdete poznámkový blok, který chcete použít, vyberte Vytvořit ze šablony a Uložte ho a naklonujte ho do vlastního pracovního prostoru.
Podle potřeby upravte název. Pokud už poznámkový blok ve vašem pracovním prostoru existuje, přepište existující poznámkový blok nebo vytvořte nový. Ve výchozím nastavení je poznámkový blok uložený v adresáři /Users/<Your_User_Name>/ vybraného pracovního prostoru AML.
Po uložení poznámkového bloku se tlačítko Uložit poznámkový blok změní na Spustit poznámkový blok. Vyberte Spustit poznámkový blok a otevřete ho v pracovním prostoru AML.
Příklad:
V horní části stránky vyberte výpočetní instanci, která se má použít pro váš server poznámkových bloků.
Pokud nemáte výpočetní instanci, vytvořte novou. Pokud je vaše výpočetní instance zastavená, nezapomeňte ji spustit. Další informace najdete v tématu Spuštění poznámkového bloku v studio Azure Machine Learning.
Výpočetní instance, které vytvoříte, můžete zobrazit a používat jenom vy. Vaše uživatelské soubory se ukládají odděleně od virtuálního počítače a sdílí se mezi všemi výpočetními instancemi v pracovním prostoru.
Pokud vytváříte novou výpočetní instanci, abyste mohli své poznámkové bloky otestovat, vytvořte výpočetní instanci s kategorií Pro obecné účely .
Jádro se také zobrazí v pravém horním rohu okna služby Azure Machine Learning. Pokud není vybrané jádro, které potřebujete, vyberte z rozevíracího seznamu jinou verzi.
Po vytvoření a spuštění serveru poznámkového bloku spusťte buňky poznámkového bloku. V každé buňce vyberte ikonu Spustit a spusťte kód poznámkového bloku.
Další informace najdete v tématu Klávesové zkratky režimu příkazů.
Pokud poznámkový blok přestane reagovat nebo chcete začít znovu, můžete restartovat jádro a znovu spustit buňky poznámkového bloku od začátku. Pokud restartujete jádro, odstraní se proměnné a další stav. Po restartování znovu spusťte všechny inicializace a ověřovací buňky.
Pokud chcete začít znovu, vyberte Operace>jádra Restartovat jádro. Příklad:
Spuštění kódu v poznámkovém bloku
Vždy spouštět buňky kódu poznámkového bloku v posloupnosti Vynechání buněk může vést k chybám.
V poznámkovém bloku:
- Buňky Markdownu mají text, včetně HTML a statických obrázků.
- Buňky kódu obsahují kód. Po výběru buňky s kódem spusťte kód v buňce tak , že vyberete ikonu Přehrát vlevo od buňky nebo stisknete SHIFT+ENTER.
Například v poznámkovém bloku spusťte následující buňku kódu:
# This is your first code cell. This cell contains basic Python code.
# You can run a code cell by selecting it and then selecting
# the Play button to the left of the cell, or by pressing SHIFT+ENTER.
# Code output displays below the code.
print("Congratulations, you just ran this code cell")
y = 2 + 2
print("2 + 2 =", y)
Ukázkový kód vytvoří tento výstup:
Congratulations, you just ran this code cell
2 + 2 = 4
Proměnné nastavené v buňce kódu poznámkového bloku se uchovávají mezi buňkami, takže můžete buňky zřetězí dohromady. Například následující buňka kódu používá hodnotu y
z předchozí buňky:
# Note that output from the last line of a cell is automatically
# sent to the output cell, without needing the print() function.
y + 2
Výstup je:
6
Stažení všech poznámkových bloků Microsoft Sentinelu
Tato část popisuje, jak pomocí Gitu stáhnout všechny poznámkové bloky dostupné v úložišti Microsoft Sentinel Na GitHubu přímo z poznámkového bloku Microsoft Sentinelu přímo do pracovního prostoru Azure Machine Learning.
Ukládání poznámkových bloků Microsoft Sentinelu do pracovního prostoru Azure Machine Learning vám umožní snadno je aktualizovat.
Z poznámkového bloku Microsoft Sentinelu zadejte do prázdné buňky následující kód a pak buňku spusťte:
!git clone https://github.com/Azure/Azure-Sentinel-Notebooks.git azure-sentinel-nb
V adresáři azure-Sentinel-nb v uživatelské složce v pracovním prostoru Azure Machine Learning se vytvoří kopie obsahu úložiště GitHub.
Zkopírujte požadované poznámkové bloky z této složky do svého pracovního adresáře.
Pokud chcete poznámkové bloky aktualizovat každou posledními změnami z GitHubu, spusťte:
!cd azure-sentinel-nb && git pull