Udostępnij za pośrednictwem


Notesy Jupyter z funkcjami wyszukiwania zagrożeń w usłudze Microsoft Sentinel

Notesy Jupyter łączą pełną możliwość programowania z ogromną kolekcją bibliotek do uczenia maszynowego, wizualizacji i analizy danych. Te atrybuty sprawiają, że jupyter jest atrakcyjnym narzędziem do badania zabezpieczeń i wyszukiwania zagrożeń.

Podstawą usługi Microsoft Sentinel jest magazyn danych; Łączy ona zapytania o wysokiej wydajności, schemat dynamiczny i skaluje do ogromnych woluminów danych. Witryna Azure Portal i wszystkie narzędzia usługi Microsoft Sentinel używają wspólnego interfejsu API do uzyskiwania dostępu do tego magazynu danych. Ten sam interfejs API jest również dostępny dla narzędzi zewnętrznych, takich jak notesy Jupyter i język Python.

Ważne

Usługa Microsoft Sentinel jest ogólnie dostępna na ujednoliconej platformie operacji zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. W wersji zapoznawczej usługa Microsoft Sentinel jest dostępna w portalu usługi Defender bez usługi Microsoft Defender XDR lub licencji E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Kiedy używać notesów Jupyter

Chociaż w portalu można wykonywać wiele typowych zadań, program Jupyter rozszerza zakres zadań, które można wykonać za pomocą tych danych.

Na przykład użyj notesów, aby:

  • Wykonywanie analiz , które nie są dostępne w usłudze Microsoft Sentinel, takich jak niektóre funkcje uczenia maszynowego w języku Python
  • Tworzenie wizualizacji danych, które nie są udostępniane w usłudze Microsoft Sentinel, takich jak niestandardowe osie czasu i drzewa procesów
  • Integrowanie źródeł danych poza usługą Microsoft Sentinel, takich jak lokalny zestaw danych.

Zintegrowaliśmy środowisko jupyter z witryną Azure Portal, co ułatwia tworzenie i uruchamianie notesów w celu analizowania danych. Biblioteka Kqlmagic udostępnia klej, który umożliwia wykonywanie zapytań język zapytań Kusto (KQL) z usługi Microsoft Sentinel i uruchamianie ich bezpośrednio w notesie.

Kilka notesów opracowanych przez niektórych analityków zabezpieczeń firmy Microsoft jest spakowanych w usłudze Microsoft Sentinel:

  • Niektóre z tych notesów są tworzone dla określonego scenariusza i mogą być używane w taki sposób, jak to jest.
  • Inne są przeznaczone jako przykłady ilustrujące techniki i funkcje, które można kopiować lub dostosowywać do użycia we własnych notesach.

Zaimportuj inne notesy z repozytorium GitHub usługi Microsoft Sentinel.

Jak działają notesy Jupyter

Notesy mają dwa składniki:

  • Interfejs oparty na przeglądarce, w którym wprowadzasz i uruchamiasz zapytania i kod oraz gdzie są wyświetlane wyniki wykonywania.
  • Jądro odpowiedzialne za analizowanie i wykonywanie samego kodu.

Jądro notesu usługi Microsoft Sentinel działa na maszynie wirtualnej platformy Azure. Wystąpienie maszyny wirtualnej może obsługiwać uruchamianie wielu notesów jednocześnie. Jeśli notesy obejmują złożone modele uczenia maszynowego, istnieje kilka opcji licencjonowania, aby korzystać z bardziej zaawansowanych maszyn wirtualnych.

Omówienie pakietów języka Python

Notesy usługi Microsoft Sentinel używają wielu popularnych bibliotek języka Python, takich jak pandas, matplotlib, bokeh i inne. Istnieje wiele innych pakietów języka Python do wyboru, obejmujących takie obszary jak:

  • Wizualizacje i grafiki
  • Przetwarzanie i analiza danych
  • Statystyki i obliczenia liczbowe
  • Uczenie maszynowe i uczenie głębokie

Aby uniknąć konieczności wpisywania lub wklejania złożonego i powtarzalnego kodu do komórek notesu, większość notesów języka Python korzysta z bibliotek innych firm nazywanych pakietami. Aby użyć pakietu w notesie, należy zainstalować i zaimportować pakiet. Usługa Azure Machine Learning Compute ma wstępnie zainstalowane najczęściej pakiety. Upewnij się, że importujesz pakiet lub odpowiednią część pakietu, taką jak moduł, plik, funkcja lub klasa.

Notesy usługi Microsoft Sentinel używają pakietu języka Python o nazwie MSTICPy, który jest kolekcją narzędzi cyberbezpieczeństwa do pobierania, analizowania, wzbogacania i wizualizacji danych.

Narzędzia MSTICPy zostały zaprojektowane specjalnie w celu ułatwienia tworzenia notesów do wyszukiwania zagrożeń i badania oraz aktywnie pracujemy nad nowymi funkcjami i ulepszeniami. Aby uzyskać więcej informacji, zobacz:

Znajdowanie notesów

W usłudze Microsoft Sentinel wybierz pozycję Notesy , aby wyświetlić notesy udostępnione przez usługę Microsoft Sentinel. Dowiedz się więcej na temat używania notesów w poszukiwaniu zagrożeń i badania, eksplorując szablony notesów, takie jak Skanowanie poświadczeń w usłudze Azure Log Analytics i Badanie z przewodnikiem — alerty procesu.

Aby uzyskać więcej notesów utworzonych przez firmę Microsoft lub współautorów ze społeczności, przejdź do repozytorium GitHub usługi Microsoft Sentinel. Użyj notesów udostępnionych w repozytorium GitHub usługi Microsoft Sentinel jako przydatnych narzędzi, ilustracji i przykładów kodu, których można używać podczas tworzenia własnych notesów.

  • Katalog Sample-Notebooks zawiera przykładowe notesy, które są zapisywane przy użyciu danych, których można użyć do wyświetlania zamierzonych danych wyjściowych.

  • Katalog HowTos zawiera notesy opisujące pojęcia, takie jak ustawianie domyślnej wersji języka Python, tworzenie zakładek usługi Microsoft Sentinel na podstawie notesu i nie tylko.

Zarządzanie dostępem do notesów usługi Microsoft Sentinel

Aby korzystać z notesów Jupyter w usłudze Microsoft Sentinel, musisz najpierw mieć odpowiednie uprawnienia, w zależności od roli użytkownika.

Notesy usługi Microsoft Sentinel można uruchamiać w klasycznej wersji JupyterLab lub Jupyter, ale w usłudze Microsoft Sentinel notesy są uruchamiane na platformie Azure Machine Learning . Aby uruchomić notesy w usłudze Microsoft Sentinel, musisz mieć odpowiedni dostęp do obszaru roboczego usługi Microsoft Sentinel i obszaru roboczego usługi Azure Machine Learning.

Uprawnienie opis
Uprawnienia usługi Microsoft Sentinel Podobnie jak w przypadku innych zasobów usługi Microsoft Sentinel, aby uzyskać dostęp do notesów w bloku Notesy usługi Microsoft Sentinel, wymagany jest czytelnik usługi Microsoft Sentinel, osoba odpowiadająca usługi Microsoft Sentinel lub współautor usługi Microsoft Sentinel.

Aby uzyskać więcej informacji, zobacz Uprawnienia w usłudze Microsoft Sentinel.
Uprawnienia usługi Azure Machine Learning Obszar roboczy usługi Azure Machine Learning to zasób platformy Azure. Podobnie jak w przypadku innych zasobów platformy Azure po utworzeniu nowego obszaru roboczego usługi Azure Machine Learning, są dostarczane z rolami domyślnymi. Możesz dodać użytkowników do obszaru roboczego i przypisać je do jednej z tych wbudowanych ról. Aby uzyskać więcej informacji, zobacz Role domyślne usługi Azure Machine Learning i role wbudowane platformy Azure.

Ważne: dostęp do ról można ograniczyć do wielu poziomów na platformie Azure. Na przykład osoba mająca dostęp właściciela do obszaru roboczego może nie mieć dostępu właściciela do grupy zasobów zawierającej obszar roboczy. Aby uzyskać więcej informacji, zobacz Jak działa kontrola dostępu oparta na rolach platformy Azure.

Jeśli jesteś właścicielem obszaru roboczego usługi Azure ML, możesz dodawać i usuwać role dla obszaru roboczego i przypisywać role do użytkowników. Aby uzyskać więcej informacji, zobacz:
- Witryna Azure Portal
- Program PowerShell
- Interfejs wiersza polecenia platformy Azure
- Interfejs API REST
- Szablony usługi Azure Resource Manager
- Interfejs wiersza polecenia usługi Azure Machine Learning

Jeśli role wbudowane są niewystarczające, możesz również utworzyć role niestandardowe. Role niestandardowe mogą mieć uprawnienia do odczytu, zapisu, usuwania i zasobów obliczeniowych w tym obszarze roboczym. Rolę można udostępnić na określonym poziomie obszaru roboczego, określonym poziomie grupy zasobów lub określonym poziomie subskrypcji. Aby uzyskać więcej informacji, zobacz Tworzenie roli niestandardowej.

Prześlij opinię dotyczącą notesu

Prześlij opinię, żądania dotyczące funkcji, raportów o błędach lub ulepszeń istniejących notesów. Przejdź do repozytorium GitHub usługi Microsoft Sentinel, aby utworzyć problem lub rozwidlenie i przekazać wkład.

W przypadku blogów, filmów wideo i innych zasobów zobacz: