Buscar ameaças de segurança com os notebooks Jupyter
Como parte de suas investigações e buscas de segurança, inicie e execute notebooks Jupyter para analisar seus dados programaticamente.
Neste artigo, você criará um workspace do Azure Machine Learning, iniciará o notebook do Microsoft Sentinel para seu workspace do Azure Machine Learning e executará o código no notebook.
Importante
O Microsoft Sentinel já está em disponibilidade geral na plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender. Para a versão prévia, o Microsoft Sentinel está disponível no portal do Defender sem uma licença do E5 ou o Microsoft Defender XDR. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.
Pré-requisitos
Recomendamos que você saiba mais sobre blocos de anotações do Microsoft Sentinel antes de concluir as etapas neste artigo. Confira Usar o notebooks Jupyter para procurar ameaças à segurança.
Para usar os notebooks do Microsoft Sentinel, você deve ter as seguintes funções e permissões:
Tipo | Detalhes |
---|---|
Microsoft Sentinel | – A função Colaborador do Microsoft Azure Sentinel, para salvar e iniciar notebooks do Microsoft Azure Sentinel |
Azure Machine Learning | – Uma função de Proprietário ou Colaborador no nível do grupo de recursos, para criar um novo Workspace do Azure Machine Learning, se necessário. – Uma função de Colaborador no workspace do Azure Machine Learning onde você executará seus notebooks do Microsoft Azure Sentinel. Para obter mais informações, consulte Gerenciar acesso a um workspace do Azure Machine Learning. |
Criar um workspace do Azure Machine Learning do Microsoft Sentinel
Para criar seu workspace, selecione uma das guias a seguir, dependendo de você estar usando um ponto de extremidade público ou privado.
- Recomendamos que você use um ponto de extremidade público quando seu workspace do Microsoft Sentinel tiver um, para evitar possíveis problemas na comunicação de rede.
- Se você quiser usar um workspace do Azure Machine Learning em uma rede virtual, use um ponto de extremidade privado.
Para o Microsoft Sentinel no portal do Azure, em Gerenciamento de ameaças, selecione Notebooks.
Para o Microsoft Sentinel no Portal do Defender, selecione Microsoft Sentinel>Gerenciamento de Ameaças>Notebooks.Selecione Configurar o Azure Machine Learning>Criar um novo workspace AML.
Insira os detalhes a seguir, depois selecione Avançar.
Campo Descrição Assinatura Selecione a assinatura do Azure que você deseja usar. Grupo de recursos Use um grupo de recursos existente na sua assinatura ou insira um nome para criar um grupo de recursos. Um grupo de recursos mantém os recursos relacionados a uma solução do Azure. Nome do workspace Insira um nome único que identifique seu workspace. Os nomes devem ser únicos em todo o grupo de recursos. Use um nome que seja fácil de lembrar e diferenciar de workspaces criados por outras pessoas. Região Selecione a localização mais próxima aos usuários e recursos de dados para criar o workspace. Conta de armazenamento A Conta de Armazenamento do Azure é usada como o armazenamento de dados padrão para o workspace. Você pode criar um novo recurso de Armazenamento do Microsoft Azure ou selecionar um existente em sua assinatura. KeyVault Um cofre de chaves é usado para armazenar segredos e outras informações confidenciais de que o workspace precisa. Você pode criar um novo recurso do Azure Key Vault ou selecionar um existente em sua assinatura. Percepções sobre o aplicativo O workspace usa o Azure Application Insights para armazenar informações de monitoramento sobre seus modelos implantados. Você pode criar um novo recurso do Aplicativo Azure AD Insights ou selecionar um existente em sua assinatura. Registro de contêiner Um registro de contêiner é usado para registrar imagens do Docker usadas em treinamento e implantações. Para minimizar os custos, um novo Registro de Contêiner do Azure é criado somente depois que você cria sua primeira imagem. Como alternativa, você pode optar por criar o recurso agora ou selecionar um existente em sua assinatura ou selecionar Nenhum se não quiser usar nenhum registro de contêiner. Na guia Rede, selecione Habilitar acesso público em todas as redes.
Defina as configurações relevantes nas guias Avançado ou Marcas e, depois, selecione Examinar + criar.
Na guia Revisar + criar revise as informações para verificar se elas estão corretas e selecione Ciar para iniciar a implantação do seu workspace. Por exemplo:
Pode levar vários minutos para criar seu workspace na nuvem. Durante esse tempo, a página Visão geral do workspace mostra o status da implantação atual e atualiza quando a implantação é concluída.
Após a conclusão da implantação, volte para Notebooks no Microsoft Sentinel e inicie blocos de anotações do seu novo workspace do Azure Machine Learning.
Se tiver vários notebooks, selecione um workspace padrão do AML para usar ao iniciar seus notebooks. Por exemplo:
Iniciar um notebook no workspace do Azure Machine Learning
Depois de criar um espaço de trabalho Azure Machine Learning, inicie o seu caderno nesse espaço de trabalho a partir do Microsoft Sentinel. Esteja ciente de que se você tiver pontos de extremidade privados ou restrições no acesso à rede pública habilitados na sua conta de armazenamento do Azure, não poderá iniciar notebooks no espaço de trabalho do Azure Machine Learning a partir do Microsoft Sentinel. Você deve copiar o modelo de notebook do Microsoft Sentinel e carregá-lo no Estúdio do Azure Machine Learning.
Para lançar o seu bloco de notas Microsoft Sentinel no seu espaço de trabalho Azure Machine Learning, complete os seguintes passos.
Para o Microsoft Sentinel no portal do Azure, em Gerenciamento de ameaças, selecione Notebooks.
Para o Microsoft Sentinel no Portal do Defender, selecione Microsoft Sentinel>Gerenciamento de Ameaças>Notebooks.Selecione a guia Modelos para ver os blocos de anotações que o Microsoft Sentinel fornece.
Selecione um notebook para exibir sua descrição, os tipos de dados necessários e as fontes de dados.
Quando encontrar o bloco de anotações que deseja usar, selecione Criar de um modelo e Salvar para cloná-lo em seu próprio workspace.
Edite o nome conforme necessário. Se o bloco de anotações já existir em seu workspace, substitua o bloco de anotações existente ou crie um novo. Por padrão, o bloco de anotações é salvo em /Usuários/<Your_User_Name>/diretório do workspace AML selecionado.
Depois que o bloco de anotações for salvo, o botão Salvar notebook será alterado para Inicializar notebook. Selecione Inicializar notebook para abri-lo no seu workspace do AML.
Por exemplo:
Na parte superior da página, selecione uma instância de computação a ser usada para o servidor do notebook.
Se não tiver um recurso, você poderá criar um novo. Se a sua instância de computação for interrompida, não se esqueça de iniciá-la. Para obter mais informações, confira Executar um notebook no Estúdio do Azure Machine Learning.
Somente você pode ver e usar as instâncias de computação que criar. Seus arquivos de usuário são armazenados separadamente da VM e compartilhados entre todas as instâncias de computação no workspace.
Se estiver criando uma instância de computação para testar seus notebooks, crie-a com a categoria Uso Geral.
O kernel também é mostrado no canto superior direito da janela do Azure Machine Learning. Se o kernel de que você precisa não estiver selecionado, selecione uma versão diferente na lista suspensa.
Depois que o servidor do notebook for criado e iniciado, execute as células do bloco de anotações. Em cada célula, selecione o ícone Execução para executar o código do notebook.
Para obter mais informações, consulte Atalhos do modo de comando.
Se o notebook estiver travado ou você quiser começar novamente, é possível reiniciar o kernel e executar novamente as células do notebook desde o início. Se você reiniciar o kernel, as variáveis e outros estados serão excluídos. Execute novamente as inicializações e as células de autenticação após reiniciar.
Para começar outra vez, selecione Operações de kernel>Reiniciar kernel. Por exemplo:
Executar o código no notebook
Sempre execute células de código do notebook em sequência. Ignorar células pode resultar em erros.
Em um notebook:
- As células Markdown têm texto, incluindo HTML e imagens estáticas.
- As células de código contêm código. Após selecionar uma célula de código, execute o código na célula selecionando o ícone Executar à esquerda da célula ou pressionando SHIFT+ENTER.
Por exemplo, execute a seguinte célula de código em seu notebook:
# This is your first code cell. This cell contains basic Python code.
# You can run a code cell by selecting it and then selecting
# the Play button to the left of the cell, or by pressing SHIFT+ENTER.
# Code output displays below the code.
print("Congratulations, you just ran this code cell")
y = 2 + 2
print("2 + 2 =", y)
O código de exemplo produz esta saída:
Congratulations, you just ran this code cell
2 + 2 = 4
As variáveis definidas em uma célula de código de notebook persistem entre as células, para que assim seja possível encadeá-las. Por exemplo, a célula de código a seguir usa o valor de y
da célula anterior:
# Note that output from the last line of a cell is automatically
# sent to the output cell, without needing the print() function.
y + 2
A saída é:
6
Baixar todos os notebooks do Microsoft Sentinel
Esta seção descreve como usar o Git para baixar todos os notebooks disponíveis no repositório GitHub do Microsoft Sentinel, de dentro de um bloco de anotações do Microsoft Sentinel, diretamente para o workspace do Azure Machine Learning.
Armazenar os blocos de anotações do Microsoft Sentinel em seu workspace do Azure Machine Learning permite mantê-los atualizados facilmente.
Em um notebook do Microsoft Sentinel, insira o código a seguir em uma célula vazia e execute a célula:
!git clone https://github.com/Azure/Azure-Sentinel-Notebooks.git azure-sentinel-nb
Uma cópia do conteúdo do repositório GitHub é criada no diretório do azure-Sentinel-nb em sua pasta de usuário no workspace do Azure Machine Learning.
Copie os notebooks dessa pasta que você deseja para o diretório de trabalho.
Para atualizar seus notebooks com as alterações recentes do GitHub, execute:
!cd azure-sentinel-nb && git pull