دفاتر ملاحظات Jupyter مع قدرات تتبع Microsoft Sentinel

تجمع دفاتر ملاحظات Jupyter بين قابلية البرمجة الكاملة ومجموعة ضخمة من المكتبات للتعلّم الآلي والمرئيات وتحليل البيانات. هذه السمات تجعل Jupyter أداة مقنعة للتتبع الأمني والفحص.

أساس Azure Sentinel هو مخزن البيانات؛ فهو يجمع بين الاستعلام عالي الأداء، المخطط الديناميكي، والمقاييس إلى وحدات تخزين البيانات الضخمة. يستخدم مدخل Microsoft Azure وجميع أدوات Microsoft Sentinel واجهة برمجة تطبيقات شائعة للوصول إلى مخزن البيانات هذا. تتوفر واجهة برمجة التطبيقات نفسها للأدوات الخارجية مثل دفاتر ملاحظات Jupyter وPython.

هام

يتوفر Microsoft Sentinel الآن بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Microsoft Defender. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

متى تستخدم دفاتر ملاحظات Jupyter

بينما يمكن تنفيذ العديد من المهام الشائعة في المدخل، يوسّع Jupyter نطاق ما يمكنك القيام به مع هذه البيانات.

على سبيل المثال، استخدم دفاتر الملاحظات من أجل:

  • إجراء تحليلات لا يتم توفيرها خارج الصندوق في Microsoft Sentinel، مثل بعض ميزات التعلم الآلي من Python
  • إنشاء مرئيات البيانات غير المتوفرة الجاهزة في Microsoft Sentinel، مثل المخططات الزمنية المخصصة وأشجار المعالجة
  • دمج مصادر البيانات خارج Microsoft Azure Sentinel مثل مجموعة بيانات محلية.

لقد قمنا بدمج تجربة Jupyter في مدخل Microsoft Azure، مما يسهل عليك إنشاء دفاتر الملاحظات وتشغيلها لتحليل بياناتك. توفر مكتبة Kqlmagic الغراء الذي يتيح لك أخذ استعلامات Kusto Query Language (KQL) من Microsoft Sentinel وتشغيلها مباشرة داخل دفتر ملاحظات.

تُجمع العديد من دفاتر الملاحظات التي طورها محللو أمان Microsoft مع Microsoft Azure Sentinel:

  • بعض هذه دفاتر الملاحظات مبنية لسيناريو معين ويمكن استخدامها كما هو.
  • صُممت نماذج أخرى كعينات لتوضيح التقنيات والميزات التي يمكنك نسخها أو تكييفها لاستخدامها في دفاتر ملاحظاتك.

استيراد دفاتر ملاحظات أخرى من مستودع Microsoft Sentinel GitHub.

كيفية عمل دفاتر ملاحظات Jupyter

تحتوي دفاتر الملاحظات على مكونين:

  • الواجهة المستندة إلى المستعرض، حيث تقوم بإدخال وتشغيل الاستعلامات والتعليمات البرمجية وتُعرض نتائج التنفيذ.
  • يعد kernel هو المسؤول عن تحليل وتنفيذ التعليمات البرمجية نفسها.

يتم تشغيل نواة دفتر ملاحظات Microsoft Sentinel على جهاز ظاهري Azure (VM). يمكن أن يدعم مثيل الجهاز الظاهري تشغيل العديد من دفاتر الملاحظات في وقت واحد. إذا كانت دفاتر الملاحظات تتضمن نماذج معقدة للتعلّم الآلي، فهناك العديد من خيارات الترخيص لاستخدام أجهزة ظاهرية أكثر قوة.

فهم حزم Python

تستخدم دفاتر ملاحظات Microsoft Azure Sentinel العديد من مكتبات Python الشائعة مثل pandas وmatplotlibوbokeh وغيرها. كما ترى من الصورة التالية، يوجد العديد من التطبيقات التي يمكن الاختيار من بينها.

  • التصورات والرسومات
  • معالجة البيانات وتحليلها
  • الإحصاءات والحوسبة الرقمية
  • التعلم الآلي والتعلم العميق

لتجنب الاضطرار إلى كتابة التعليمات البرمجية المعقدة والمتكررة أو لصقها في خلايا دفتر الملاحظات، تعتمد معظم دفاتر ملاحظات Python على مكتبات تابعة لجهة خارجية تسمى الحزم. لاستخدام حزمة في دفتر ملاحظات، تحتاج إلى تثبيت الحزمة واستيرادها. يحتوي Azure التعلم الآلي Compute على الحزم الأكثر شيوعا المثبتة مسبقا. تأكد من استيراد الحزمة أو الجزء ذي الصلة من الحزمة، مثل وحدة نمطية أو ملف أو دالة أو فئة.

تستخدم دفاتر ملاحظات Microsoft Azure Sentinel حزمة Python تسمى MSTICPy، وهي مجموعة من أدوات الأمان عبر الإنترنت لاسترداد البيانات وتحليلها وإثراءها وتصورها.

صُممت أدوات MSTICPy خصوصاً للمساعدة في إنشاء دفاتر ملاحظات للتتبع والفحص ونحن نعمل بنشاط على الميزات والتحسينات الجديدة. لمزيد من المعلومات، راجع:

البحث عن دفاتر الملاحظات

في Microsoft Sentinel، حدد دفاتر الملاحظات لمشاهدة دفاتر الملاحظات التي يوفرها Microsoft Sentinel. تعرف على المزيد حول استخدام دفاتر الملاحظات في تتبع التهديدات والتحقيق فيها من خلال استكشاف قوالب دفتر الملاحظات مثل فحص بيانات الاعتماد على Azure Log Analytics والتحقيق الإرشادي - تنبيهات العملية.

لمزيد من دفاتر الملاحظات التي أنشأتها Microsoft أو ساهمت فيها من المجتمع، انتقل إلى " Microsoft Azure Sentinel GitHub repository". استخدم المفكرات المشتركة في مستودع GitHub Microsoft Azure Sentinel كأدوات ورسومات توضيحية وعينات تعليمات برمجية مفيدة يمكنك استخدامها عند تطوير المفكرات الخاصة بك.

  • يتضمن الدليل Sample-Notebooks نماذج المفكرات التي يتم حفظها مع البيانات التي يمكنك استخدامها لإظهار الإخراج المقصود.

  • يتضمن الدليل HowTos المفكرات التي تصف مفاهيم مثل تعيين إصدار Python الافتراضي وإنشاء الإشارات المرجعية لنظام Microsoft Azure Sentinel من المفكرة والمزيد.

إدارة الوصول إلى دفاتر ملاحظات Microsoft Azure Sentinel

لاستخدام دفاتر ملاحظات Jupyter في Microsoft Azure Sentinel يجب أن تكون لديك أولا الأذونات الصحيحة، اعتماداً على دور المستخدم الخاص بك.

بينما يمكنك تشغيل دفاتر ملاحظات Microsoft Sentinel في JupyterLab أو Jupyter الكلاسيكي، في Microsoft Sentinel، يتم تشغيل دفاتر الملاحظات على النظام الأساسي Azure التعلم الآلي. لتشغيل دفاتر الملاحظات في Microsoft Sentinel، يجب أن يكون لديك حق الوصول المناسب إلى كل من مساحة عمل Microsoft Sentinel ومساحة عمل Azure التعلم الآلي.

الإذن ‏‏الوصف
أذونات Microsoft Azure Sentinel مثل موارد Microsoft Azure Sentinel الأخرى، للوصول إلى دفاتر الملاحظات على جزء دفاتر ملاحظات Microsoft Azure Sentinel يلزم وجود دور قارئ Microsoft Sentinel أو مستجيب Microsoft Sentinel أو مساهم Microsoft Sentinel.

لمزيد من المعلومات، راجعالأذونات في Microsoft Azure Sentinel.
أذونات التعلّم الآلي من Microsoft Azure مساحة عمل التعلّم الآلي من Microsoft Azure هي مورد Azure. مثل موارد Azure الأخرى، عند إنشاء مساحة عمل جديدة للتعلّم الآلي من Microsoft Azure، فإنها تأتي مع أدوار افتراضية. يمكنك إضافة مستخدمين إلى مساحة العمل وتعيينهم إلى أحد هذه الأدوار المضمنة. لمزيد من المعلومات، راجع الأدوار الافتراضية للتعلّم الآلي من Microsoft Azureوالأدوار المضمنة في Azure.

هام: نطاق الوصول إلى الدور يمكن تحديده إلى مستويات متعددة في Azure. على سبيل المثال، قد لا يكون لدى شخص لديه حق وصول المالك إلى مساحة عمل حق وصول المالك إلى مجموعة الموارد التي تحتوي على مساحة العمل. للحصول على مزيدٍ من المعلومات، راجع التحكم في الوصول استنادا إلى الدور في Azure.

إذا كنت مالكاً لمساحة عمل التعلّم الآلي من Microsoft Azure، يمكنك إضافة أدوار لمساحة العمل وإزالتها وتعيين أدوار للمستخدمين. لمزيد من المعلومات، راجع:
- مدخل Microsoft Azure
- بوويرشيل
- Azure CLI
- واجهة برمجة التطبيقات REST
- قوالب Azure Resource Manager
- واجهة سطر أوامر التعلم الآلي من Microsoft Azure

إذا كانت الأدوار المضمنة غير كافية، يمكنك أيضاً إنشاء أدوار مخصصة. قد يكون للأدوار المخصصة أذونات موارد للقراءة والكتابة والحذف والحساب في مساحة العمل هذه. يمكنك إتاحة الدور على مستوى مساحة عمل محددة أو مستوى محدد لمجموعة الموارد أو مستوى اشتراك محدد. لمزيد من المعلومات، راجع إنشاء دور مخصص.

إرسال ملاحظات لدفتر ملاحظات

إرسال الملاحظات أو طلبات الميزات أو تقارير الأخطاء أو التحسينات إلى دفاتر الملاحظات الموجودة. انتقل إلى مستودع Microsoft Sentinel GitHub لإنشاء مشكلة، أو نسخ مساهمة وتحميلها.

للحصول على المدونات ومقاطع الفيديو والموارد الأخرى، راجع: