Udostępnij za pośrednictwem


Wyszukiwanie zagrożeń bezpieczeństwa za pomocą notesów Jupyter

W ramach badań zabezpieczeń i wyszukiwania zagrożeń uruchom i uruchom notesy Jupyter w celu programowego analizowania danych.

W tym artykule utworzysz obszar roboczy usługi Azure Machine Learning, uruchom notes z usługi Microsoft Sentinel do obszaru roboczego usługi Azure Machine Learning i uruchomisz kod w notesie.

Ważne

Usługa Microsoft Sentinel jest ogólnie dostępna na ujednoliconej platformie operacji zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. W wersji zapoznawczej usługa Microsoft Sentinel jest dostępna w portalu usługi Defender bez usługi Microsoft Defender XDR lub licencji E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Wymagania wstępne

Zalecamy zapoznanie się z notesami usługi Microsoft Sentinel przed wykonaniem kroków opisanych w tym artykule. Zobacz Wyszukiwanie zagrożeń bezpieczeństwa za pomocą notesów Jupyter.

Aby korzystać z notesów usługi Microsoft Sentinel, musisz mieć następujące role i uprawnienia:

Typ Szczegóły
Microsoft Sentinel — Rola współautora usługi Microsoft Sentinel w celu zapisania i uruchomienia notesów z usługi Microsoft Sentinel
Azure Machine Learning — Rola właściciela lub współautora na poziomie grupy zasobów, aby w razie potrzeby utworzyć nowy obszar roboczy usługi Azure Machine Learning.
— Rola Współautor w obszarze roboczym usługi Azure Machine Learning, w którym są uruchamiane notesy usługi Microsoft Sentinel.

Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do obszaru roboczego usługi Azure Machine Learning.

Tworzenie obszaru roboczego usługi Azure Machine Learning na podstawie usługi Microsoft Sentinel

Aby utworzyć obszar roboczy, wybierz jedną z poniższych kart, w zależności od tego, czy używasz publicznego, czy prywatnego punktu końcowego.

  • Zalecamy użycie publicznego punktu końcowego, gdy obszar roboczy usługi Microsoft Sentinel ma jeden, aby uniknąć potencjalnych problemów z komunikacją sieciową.
  • Jeśli chcesz użyć obszaru roboczego usługi Azure Machine Learning w sieci wirtualnej, użyj prywatnego punktu końcowego.
  1. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Zarządzanie zagrożeniami wybierz pozycję Notesy.
    W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Notesy zarządzania zagrożeniami>w usłudze Microsoft Sentinel.>

  2. Wybierz pozycję Konfiguruj usługę Azure Machine Learning>Utwórz nowy obszar roboczy AML.

  3. Wprowadź następujące szczegóły, a następnie wybierz pozycję Dalej.

    Pole opis
    Subskrypcja Wybierz subskrypcję platformy Azure, której chcesz użyć.
    Grupa zasobów: Użyj grupy zasobów istniejącej w Twojej subskrypcji lub wprowadź nazwę, aby utworzyć nową grupę zasobów. Grupa zasobów zawiera powiązane zasoby dla rozwiązania platformy Azure.
    Nazwa obszaru roboczego Wprowadź unikatową nazwę identyfikującą obszar roboczy. Nazwy muszą być unikatowe w całej grupie zasobów. Użyj nazwy, która jest łatwa do przywoływania i rozróżniania obszarów roboczych utworzonych przez inne osoby.
    Region Wybierz lokalizację znajdującą się najbliżej użytkowników i zasobów danych, aby utworzyć obszar roboczy.
    Konto magazynu Konto magazynu jest używane jako domyślny magazyn danych dla obszaru roboczego. Możesz utworzyć nowy zasób usługi Azure Storage lub wybrać istniejący w subskrypcji.
    KeyVault Magazyn kluczy służy do przechowywania wpisów tajnych i innych poufnych informacji potrzebnych przez obszar roboczy. Możesz utworzyć nowy zasób usługi Azure Key Vault lub wybrać istniejący w subskrypcji.
    Szczegółowe dane dotyczące aplikacji Obszar roboczy używa aplikacja systemu Azure Insights do przechowywania informacji monitorowania dotyczących wdrożonych modeli. Możesz utworzyć nowy zasób usługi aplikacja systemu Azure Insights lub wybrać istniejący w subskrypcji.
    Rejestr kontenerów Rejestr kontenerów służy do rejestrowania obrazów platformy Docker używanych w szkoleniach i wdrożeniach. Aby zminimalizować koszty, nowy zasób usługi Azure Container Registry jest tworzony dopiero po utworzeniu pierwszego obrazu. Alternatywnie możesz utworzyć zasób teraz lub wybrać istniejący w subskrypcji albo wybrać pozycję Brak , jeśli nie chcesz używać żadnego rejestru kontenerów.
  4. Na karcie Sieć wybierz pozycję Włącz dostęp publiczny ze wszystkich sieci.

    Zdefiniuj odpowiednie ustawienia na kartach Zaawansowane lub Tagi , a następnie wybierz pozycję Przejrzyj i utwórz.

  5. Na karcie Przeglądanie + tworzenie przejrzyj informacje, aby sprawdzić, czy są poprawne, a następnie wybierz pozycję Utwórz, aby rozpocząć wdrażanie obszaru roboczego. Na przykład:

    Przejrzyj i utwórz obszar roboczy usługi Machine Learning z usługi Microsoft Sentinel.

    Utworzenie obszaru roboczego w chmurze może potrwać kilka minut. W tym czasie na stronie Przegląd obszaru roboczego jest wyświetlany bieżący stan wdrożenia i aktualizacje po zakończeniu wdrażania.

Po zakończeniu wdrażania wróć do pozycji Notesy w usłudze Microsoft Sentinel i uruchom notesy z nowego obszaru roboczego usługi Azure Machine Learning.

Jeśli masz wiele notesów, wybierz domyślny obszar roboczy AML do użycia podczas uruchamiania notesów. Na przykład:

Wybierz domyślny obszar roboczy AML dla notesów.

Uruchamianie notesu w obszarze roboczym usługi Azure Machine Learning

Po utworzeniu obszaru roboczego usługi Azure Machine Learning uruchom notes w tym obszarze roboczym z usługi Microsoft Sentinel. Należy pamiętać, że jeśli masz prywatne punkty końcowe lub ograniczenia dostępu do sieci publicznej włączone na koncie usługi Azure Storage, nie możesz uruchamiać notesów w obszarze roboczym usługi Azure Machine Learning z usługi Microsoft Sentinel. Musisz skopiować szablon notesu z usługi Microsoft Sentinel i przekazać notes do usługi Azure Machine Learning Studio.

Aby uruchomić notes usługi Microsoft Sentinel w obszarze roboczym usługi Azure Machine Learning, wykonaj następujące kroki.

  1. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Zarządzanie zagrożeniami wybierz pozycję Notesy.
    W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Notesy zarządzania zagrożeniami>w usłudze Microsoft Sentinel.>

  2. Wybierz kartę Szablony , aby wyświetlić notesy udostępnione przez usługę Microsoft Sentinel.

  3. Wybierz notes, aby wyświetlić jego opis, wymagane typy danych i źródła danych.

  4. Po znalezieniu notesu, którego chcesz użyć, wybierz pozycję Utwórz z szablonu i Zapisz , aby sklonować go do własnego obszaru roboczego.

  5. Edytuj nazwę zgodnie z potrzebami. Jeśli notes już istnieje w obszarze roboczym, zastąp istniejący notes lub utwórz nowy. Domyślnie notes jest zapisywany w katalogu /Users/<Your_User_Name>/ wybranego obszaru roboczego AML.

    Zapisz notes, aby sklonować go do własnego obszaru roboczego.

  6. Po zapisaniu notesu przycisk Zapisz notes zmieni się na Uruchom notes. Wybierz pozycję Uruchom notes , aby otworzyć go w obszarze roboczym AML.

    Na przykład:

    Uruchom notes w obszarze roboczym usługi AML.

  7. W górnej części strony wybierz wystąpienie obliczeniowe do użycia dla serwera notesu.

    Jeśli nie masz wystąpienia obliczeniowego, utwórz nowe. Jeśli wystąpienie obliczeniowe zostało zatrzymane, upewnij się, że zostało ono uruchomione. Aby uzyskać więcej informacji, zobacz Uruchamianie notesu w usłudze Azure Machine Learning Studio.

    Zobaczysz tylko utworzone wystąpienia obliczeniowe i użyjesz ich. Pliki użytkownika są przechowywane oddzielnie od maszyny wirtualnej i współużytkowane przez wszystkie wystąpienia obliczeniowe w obszarze roboczym.

    Jeśli tworzysz nowe wystąpienie obliczeniowe w celu przetestowania notesów, utwórz wystąpienie obliczeniowe z kategorią Ogólnego przeznaczenia .

    Jądro jest również wyświetlane w prawym górnym rogu okna usługi Azure Machine Learning. Jeśli potrzebne jądro nie jest zaznaczone, wybierz inną wersję z listy rozwijanej.

  8. Po utworzeniu i uruchomieniu serwera notesu uruchom komórki notesu. W każdej komórce wybierz ikonę Uruchom , aby uruchomić kod notesu.

    Aby uzyskać więcej informacji, zobacz Skróty trybu poleceń.

  9. Jeśli notes zawiesza się lub chcesz zacząć od nowa, możesz ponownie uruchomić jądro i ponownie uruchomić komórki notesu od początku. Jeśli ponownie uruchomisz jądro, zmienne i inny stan zostaną usunięte. Uruchom ponownie wszystkie komórki inicjowania i uwierzytelniania po ponownym uruchomieniu.

    Aby rozpocząć od nowa, wybierz pozycję Operacje>jądra Uruchom ponownie jądro. Na przykład:

    Uruchom ponownie jądro notesu.

Uruchamianie kodu w notesie

Zawsze uruchamiaj komórki kodu notesu w sekwencji. Pomijanie komórek może spowodować błędy.

W notesie:

  • Komórki markdown mają tekst, w tym html i obrazy statyczne.
  • Komórki kodu zawierają kod. Po wybraniu komórki kodu uruchom kod w komórce, wybierając ikonę Odtwarzania po lewej stronie komórki lub naciskając SHIFT+ENTER.

Na przykład uruchom następującą komórkę kodu w notesie:

# This is your first code cell. This cell contains basic Python code.

# You can run a code cell by selecting it and then selecting
# the Play button to the left of the cell, or by pressing SHIFT+ENTER.
# Code output displays below the code.

print("Congratulations, you just ran this code cell")

y = 2 + 2

print("2 + 2 =", y)

Przykładowy kod generuje następujące dane wyjściowe:

Congratulations, you just ran this code cell

2 + 2 = 4

Zmienne ustawione w komórce kodu notesu są utrwalane między komórkami, dzięki czemu można łączyć komórki ze sobą. Na przykład następująca komórka kodu używa wartości y z poprzedniej komórki:

# Note that output from the last line of a cell is automatically
# sent to the output cell, without needing the print() function.

y + 2

Dane wyjściowe to:

6

Pobieranie wszystkich notesów usługi Microsoft Sentinel

W tej sekcji opisano sposób pobierania wszystkich notesów dostępnych w repozytorium GitHub usługi Microsoft Sentinel z poziomu notesu usługi Microsoft Sentinel bezpośrednio do obszaru roboczego usługi Azure Machine Learning.

Przechowywanie notesów usługi Microsoft Sentinel w obszarze roboczym usługi Azure Machine Learning umożliwia łatwe aktualizowanie notesów.

  1. W notesie usługi Microsoft Sentinel wprowadź następujący kod w pustej komórce, a następnie uruchom komórkę:

    !git clone https://github.com/Azure/Azure-Sentinel-Notebooks.git azure-sentinel-nb
    

    Kopia zawartości repozytorium GitHub jest tworzona w katalogu azure-Sentinel-nb w folderze użytkownika w obszarze roboczym usługi Azure Machine Learning.

  2. Skopiuj notesy z tego folderu do katalogu roboczego.

  3. Aby zaktualizować notesy przy użyciu najnowszych zmian z usługi GitHub, uruchom polecenie:

    !cd azure-sentinel-nb && git pull