البحث عن تهديدات الأمان باستخدام مفكرات Jupyter

كجزء من تحقيقات الأمان والتتبع، قم بتشغيل مفكرات Jupyter لتحليل بياناتك بشكل برمجي.

في هذه المقالة، يمكنك إنشاء مساحة عمل Azure التعلم الآلي، وتشغيل دفتر الملاحظات من Microsoft Sentinel إلى مساحة عمل Azure التعلم الآلي، وتشغيل التعليمات البرمجية في دفتر الملاحظات.

Important

يتوفر Microsoft Sentinel بشكل عام في مدخل Microsoft Defender، بما في ذلك للعملاء الذين ليس لديهم Microsoft Defender XDR أو ترخيص E5.

Starting in July 2026, all customers using Microsoft Sentinel in the Azure portal will be redirected to the Defender portal and will use Microsoft Sentinel in the Defender portal only. Starting in July 2025, many new customers are automatically onboarded and redirected to the Defender portal.

إذا كنت لا تزال تستخدم Microsoft Sentinel في مدخل Microsoft Azure، نوصيك بالبدء في التخطيط للانتقال إلى مدخل Defender لضمان انتقال سلس والاستفادة الكاملة من تجربة عمليات الأمان الموحدة التي يقدمها Microsoft Defender. لمزيد من المعلومات، راجع حان الوقت للنقل: إيقاف مدخل Microsoft Sentinel Azure لمزيد من الأمان.

Prerequisites

نوصي بالتعرف على دفاتر ملاحظات Microsoft Sentinel قبل إكمال الخطوات الواردة في هذه المقالة. راجع استخدام دفاتر ملاحظات Jupyter للبحث عن تهديدات الأمان.

لاستخدام مفكرات Microsoft Azure Sentinel، يجب أن يكون لديك الأدوار والأذونات التالية:

Type	Details
Microsoft Sentinel	- دور مساهم Microsoft Sentinel ، من أجل حفظ دفاتر الملاحظات وتشغيلها من Microsoft Sentinel
التعلم الآلي من Azure	- A resource group-level Owner or Contributor role, to create a new Azure Machine Learning workspace if needed. - A Contributor role on the Azure Machine Learning workspace where you run your Microsoft Sentinel notebooks. لمزيد من المعلومات، راجع إدارة الوصول إلى مساحة عمل التعلم الآلي من Azure.

إنشاء مساحة عمل Azure التعلم الآلي من Microsoft Sentinel

لإنشاء مساحة العمل، حدد إحدى علامات التبويب التالية، استنادا إلى ما إذا كنت تستخدم نقطة نهاية عامة أو خاصة.

• We recommend that you use a public endpoint when your Microsoft Sentinel workspace has one, to avoid potential issues in the network communication.
• If you want to use an Azure Machine Learning workspace in a virtual network, use a private endpoint.

Public endpoint

1. For Microsoft Sentinel in the Azure portal, under Threat management, select Notebooks.
   For Microsoft Sentinel in the Defender portal, select Microsoft Sentinel>Threat management>Notebooks.

2. حدد Configure Azure Machine Learning>Create a new AML workspace.

3. Enter the following details, and then select Next.

   Field	Description
   Subscription	حدد اشتراك Azure الذي تريد استخدامه.
   Resource group	استخدم مجموعة الموارد الموجودة في اشتراكك، أو أدخل اسمًا لإنشاء مجموعة موارد جديدة. تحتفظ مجموعة الموارد بالموارد ذات الصلة الخاصة بحل Azure.
   Workspace name	أدخل اسمًا فريدًا يعرف مساحة العمل. يجب أن تكون الأسماء فريدة عبر مجموعة الموارد. استخدم اسمًا يسهل تذكره والتمييز بينه وبين مساحات العمل التي أنشأها الآخرون.
   Region	حدد الموقع الأقرب إلى المستخدمين وموارد البيانات لإنشاء مساحة العمل الخاصة بك.
   Storage account	يتم استخدام حساب التخزين كمخزن بيانات افتراضي لمساحة العمل. يمكنك إنشاء مورد Azure Storage جديد أو تحديد مورد موجود في اشتراكك.
   KeyVault	يتم استخدام Key Vault لتخزين الأسرار والمعلومات الحساسة الأخرى التي تحتاجها مساحة العمل. يمكنك إنشاء مورد Azure Key Vault جديد أو تحديد مورد موجود في اشتراكك.
   Application insights	تستخدم مساحة العمل Azure Application Insights لتخزين معلومات المراقبة حول النماذج التي تم توزيعها. يمكنك إنشاء مورد Azure Application Insights جديد أو تحديد مورد موجود في اشتراكك.
   Container registry	يتم استخدام سجل الحاوية لتسجيل صور عامل المرسى المستخدمة في التدريب وعمليات التوزيع. لتقليل التكاليف، لا يتم إنشاء مورد سجل حاوية Azure جديد إلا بعد إنشاء صورتك الأولى. Alternatively, you might choose to create the resource now or select an existing one in your subscription, or select None if you don't want to use any container registry.

4. On the Networking tab, select Enable public access from all networks.

   Define any relevant settings in the Advanced or Tags tabs, and then select Review + create.

5. في علامة التبويب مراجعة + إنشاء ، راجع المعلومات للتحقق من صحتها، ثم حدد إنشاء لبدء نشر مساحة العمل الخاصة بك. For example:

   

   قد يستغرق إنشاء مساحة العمل في السحابة عدة دقائق. During this time, the workspace Overview page shows the current deployment status, and updates when the deployment is complete.

Private endpoint

تشير الخطوات الواردة في هذا الإجراء إلى مقالات محددة في وثائق التعلم الآلي من Microsoft Azure عند الاقتضاء. لمزيد من المعلومات، راجع كيفية إنشاء مساحة عمل آمنة للتعلم الآلي من Azure.

1. إنشاء مربع انتقال للجهاز الظاهري (VM) داخل شبكة ظاهرية. نظرا لأن الشبكة الظاهرية تقيد الوصول من الإنترنت العام، يتم استخدام مربع الانتقال كطريقة للاتصال بالموارد خلف الشبكة الظاهرية.

2. قم بالوصول إلى مربع الانتقال السريع، ثم انتقل إلى مساحة عمل Microsoft Azure Sentinel. We recommend using Azure Bastion to access the VM.

3. For Microsoft Sentinel in the Azure portal, under Threat management, select Notebooks.
   For Microsoft Sentinel in the Defender portal, select Microsoft Sentinel>Threat management>Notebooks.

4. حدد Configure Azure Machine Learning>Create a new AML workspace.

5. Enter the following details, and then select Next.

   Field	Description
   Subscription	حدد اشتراك Azure الذي تريد استخدامه.
   Resource group	استخدم مجموعة الموارد الموجودة في اشتراكك، أو أدخل اسمًا لإنشاء مجموعة موارد جديدة. تحتفظ مجموعة الموارد بالموارد ذات الصلة الخاصة بحل Azure.
   Workspace name	أدخل اسمًا فريدًا يعرف مساحة العمل. يجب أن تكون الأسماء فريدة عبر مجموعة الموارد. استخدم اسمًا يسهل تذكره والتمييز بينه وبين مساحات العمل التي أنشأها الآخرون.
   Region	حدد الموقع الأقرب إلى المستخدمين وموارد البيانات لإنشاء مساحة العمل الخاصة بك.
   Storage account	يتم استخدام حساب التخزين كمخزن بيانات افتراضي لمساحة العمل. يمكنك إنشاء مورد Azure Storage جديد أو تحديد مورد موجود في اشتراكك.
   KeyVault	يتم استخدام Key Vault لتخزين الأسرار والمعلومات الحساسة الأخرى التي تحتاجها مساحة العمل. يمكنك إنشاء مورد Azure Key Vault جديد أو تحديد مورد موجود في اشتراكك.
   Application insights	تستخدم مساحة العمل Azure Application Insights لتخزين معلومات المراقبة حول النماذج التي تم توزيعها. يمكنك إنشاء مورد Azure Application Insights جديد أو تحديد مورد موجود في اشتراكك.
   Container registry	يتم استخدام سجل الحاوية لتسجيل صور عامل المرسى المستخدمة في التدريب وعمليات التوزيع. لتقليل التكاليف، لا يتم إنشاء مورد سجل حاوية Azure جديد إلا بعد إنشاء صورتك الأولى. Alternatively, you might choose to create the resource now or select an existing one in your subscription, or select None if you don't want to use any container registry.

6. On the Networking tab, select Disable public access and use private endpoint. تأكد من استخدام نفس الشبكة الظاهرية كما هو الحال في مربع الانتقال إلى الجهاز الظاهري. For example:

   

7. Define any relevant settings in the Advanced or Tags tabs, and then select Review + create.

8. في علامة التبويب مراجعة + إنشاء ، راجع المعلومات للتحقق من صحتها، ثم حدد إنشاء لبدء نشر مساحة العمل الخاصة بك. For example:

   

   قد يستغرق إنشاء مساحة العمل في السحابة عدة دقائق. During this time, the workspace Overview page shows the current deployment status, and updates when the deployment is complete.

9. In the Azure Machine Learning studio, on the Compute page, create a new compute. On the Advanced Settings tab, make sure to select the same virtual network that you'd used for your VM jump box. لمزيد من المعلومات، راجع إنشاء مثيل حساب التعلم الآلي من Azure وإدارته.

10. تكوين نسبة استخدام الشبكة للوصول إلى Azure التعلم الآلي من خلف جدار حماية. لمزيد من المعلومات، راجع تكوين نسبة استخدام الشبكة الواردة والصادرة.

تابع باستخدام إحدى مجموعات الخطوات الآتية:

• إذا كان لديك ارتباط خاص واحد فقط: يمكنك الآن الوصول إلى دفاتر الملاحظات عبر أي من الطرق التالية:

  • استنساخ المفكرات وتشغيلها من Microsoft Azure Sentinel إلى التعلم الآلي من Microsoft Azure
  • تحميل المفكرات إلى التعلم الآلي من Microsoft Azure يدويًا
  • استنساخ دفاتر ملاحظات Microsoft Sentinel مستودع GitHub على محطة التعلم الآلي من Microsoft Azure

• إذا كان لديك ارتباط خاص آخر، يستخدم VNET مختلفا، فقم بما يلي:

  1. في مدخل Microsoft Azure، انتقل إلى مجموعة الموارد لمساحة عمل التعلم الآلي من Azure، ثم ابحث عن موارد منطقة DNS الخاصة المسماة privatelink.api.azureml.msprivatelink.notebooks.azure.ms. For example:

     

  2. For each resource, including both privatelink.api.azureml.ms and privatelink.notebooks.azure.ms, add a virtual network link.

     حدد > الشبكة الظاهرية للمورد >إضافة. لمزيد من المعلومات، راجع ربط الشبكة الظاهرية.

لمزيد من المعلومات، راجع:

• تدفق نسبة استخدام الشبكة عند استخدام مساحة عمل آمنة
• تأمين موارد مساحة عمل التعلم الآلي من Azure باستخدام الشبكات الظاهرية (VNets)

After your deployment is complete, go back to Notebooks in Microsoft Sentinel and launch notebooks from your new Azure Machine Learning workspace.

إذا كان لديك مفكرات متعددة، فتأكد من تحديد مساحة عمل التعلم الآلي من Microsoft Azure افتراضية لاستخدامها عند تشغيل المفكرات. For example:

تشغيل دفتر ملاحظات في مساحة عمل Azure التعلم الآلي

بعد إنشاء مساحة عمل Azure التعلم الآلي، قم بتشغيل دفتر الملاحظات في مساحة العمل هذه من Microsoft Sentinel. يجب أن تدرك أنه إذا كان لديك نقاط نهاية خاصة أو قيود على الوصول إلى الشبكة العامة ممكنة في حساب تخزين Azure الخاص بك، فلا يمكنك تشغيل دفاتر الملاحظات في مساحة عمل Azure التعلم الآلي من Microsoft Sentinel. يجب نسخ قالب دفتر الملاحظات من Microsoft Sentinel وتحميل دفتر الملاحظات إلى استوديو Azure التعلم الآلي.

لتشغيل دفتر ملاحظات Microsoft Sentinel في مساحة عمل Azure التعلم الآلي، أكمل الخطوات التالية.

1. For Microsoft Sentinel in the Azure portal, under Threat management, select Notebooks.
   For Microsoft Sentinel in the Defender portal, select Microsoft Sentinel>Threat management>Notebooks.

2. Select the Templates tab to see the notebooks that Microsoft Sentinel provides.

3. حدد مفكرة لعرض الوصف وأنواع البيانات المطلوبة ومصادر البيانات.

4. عندما تعثر على دفتر الملاحظات الذي تريد استخدامه، حدد إنشاء من القالبوحفظ لاستنساخه في مساحة العمل الخاصة بك. يمكن تحديد مساحات عمل التعلم الآلي من Azure فقط في نفس الاشتراك.

5. قم بتحرير الاسم حسب الحاجة. إذا كان دفتر الملاحظات موجودا بالفعل في مساحة العمل، فاستبدل دفتر الملاحظات الموجود أو أنشئ دفتر ملاحظات جديدا. بشكل افتراضي، يتم حفظ دفتر الملاحظات في دليل /Users/<Your_User_Name>/ لمساحة عمل AML المحددة.

   

6. After the notebook is saved, the Save notebook button changes to Launch notebook. Select Launch notebook to open it in your AML workspace.

   For example:

   

7. At the top of the page, select a Compute instance to use for your notebook server.

   إذا لم يكن لديك مثيل حساب، فبادر بإنشاء مثيل جديد. إذا تم إيقاف مثيل الحساب، فتأكد من بدء تشغيله. لمزيد من المعلومات، راجع تشغيل دفتر ملاحظات في استوديو التعلم الآلي من Azure.

   يمكنك فقط رؤية مثيلات الحساب التي تقوم بإنشائها واستخدامها. يتم تخزين ملفات المستخدم الخاصة بك بشكل منفصل عن الجهاز الظاهري وتتم مشاركتها بين جميع مثيلات الحساب في مساحة العمل.

   If you're creating a new compute instance in order to test your notebooks, create your compute instance with the General Purpose category.

   يتم أيضا عرض النواة في الجزء العلوي الأيسر من نافذة Azure التعلم الآلي. إذا لم يتم تحديد النواة التي تحتاجها، فحدد إصدارًا مختلفًا من القائمة المنسدلة.

8. بمجرد إنشاء خادم دفتر الملاحظات وبدء تشغيله، قم بتشغيل خلايا دفتر الملاحظات. In each cell, select the Run icon to run your notebook code.

   لمزيد من المعلومات، راجع اختصارات وضع الأوامر.

9. إذا توقفت المفكرة عن العمل أو إذا كنت تريد البدء من جديد، يمكنك إعادة تشغيل النواة وإعادة تشغيل خلايا المفكرة من البداية. إذا قمت بإعادة تشغيل النواة، يتم حذف المتغيّرات والحالة الأخرى. أعد تشغيل أي خلايا للتهيئة والمصادقة بعد إعادة التشغيل.

   To start over, select Kernel operations>Restart kernel. For example:

   

تشغيل التعليمات البرمجية في المفكرة

قم دائمًا بتشغيل خلايا التعليمات البرمجية للمفكرة بالتسلسل. يمكن أن ينتج عن تخطي الخلايا حدوث أخطاء.

في مفكرة:

• Markdown cells have text, including HTML, and static images.
• Code cells contain code. After you select a code cell, run the code in the cell by selecting the Play icon to the left of the cell, or by pressing SHIFT+ENTER.

على سبيل المثال، قم بتشغيل خلية التعليمات البرمجية التالية في المفكرة:

# This is your first code cell. This cell contains basic Python code.

# You can run a code cell by selecting it and then selecting
# the Play button to the left of the cell, or by pressing SHIFT+ENTER.
# Code output displays below the code.

print("Congratulations, you just ran this code cell")

y = 2 + 2

print("2 + 2 =", y)

ينتج نموذج التعليمات البرمجية هذا الإخراج:

Congratulations, you just ran this code cell

2 + 2 = 4

تستمر المتغيرات المعينة داخل خلية التعليمات البرمجية للمفكرة بين الخلايا، بحيث يمكنك ربط الخلايا ببعضها البعض. على سبيل المثال، تستخدم خلية التعليمة البرمجية y التالية قيمة من الخلية السابقة:

# Note that output from the last line of a cell is automatically
# sent to the output cell, without needing the print() function.

y + 2

تكون النتيجة:

6

تنزيل جميع مفكرات Microsoft Azure Sentinel

يصف هذا القسم كيفية استخدام Git لتنزيل جميع دفاتر الملاحظات المتوفرة في مستودع Microsoft Sentinel GitHub، من داخل دفتر ملاحظات Microsoft Sentinel، مباشرة إلى مساحة عمل التعلم الآلي من Azure.

يسمح لك تخزين دفاتر ملاحظات Microsoft Sentinel في مساحة عمل Azure التعلم الآلي بتحديثها بسهولة.

1. من مفكرة Microsoft Azure Sentinel، أدخل التعليمة البرمجية التالية في خلية فارغة، ثم قم بتشغيل الخلية:

   !git clone https://github.com/Azure/Azure-Sentinel-Notebooks.git azure-sentinel-nb
   

   A copy of the GitHub repository contents is created in the azure-Sentinel-nb directory on your user folder in your Azure Machine Learning workspace.

2. انسخ المفكرات التي تريدها من هذا المجلد إلى الدليل المشغَّل.

3. لتحديث المفكرات بأي تغييرات حديثة من GitHub، قم بتشغيل:

   !cd azure-sentinel-nb && git pull
   

Related content

• دفاتر ملاحظات Jupyter مع قدرات تتبع Microsoft Sentinel
• بدء استخدام دفاتر ملاحظات Jupyter وMSTICPy في Microsoft Sentinel