البحث عن تهديدات الأمان باستخدام مفكرات Jupyter
كجزء من تحقيقات الأمان والتتبع، قم بتشغيل مفكرات Jupyter لتحليل بياناتك بشكل برمجي.
في هذه المقالة، يمكنك إنشاء مساحة عمل Azure التعلم الآلي، وتشغيل دفتر الملاحظات من Microsoft Sentinel إلى مساحة عمل Azure التعلم الآلي، وتشغيل التعليمات البرمجية في دفتر الملاحظات.
هام
يتوفر Microsoft Sentinel كجزء من المعاينة العامة للنظام الأساسي لعمليات الأمان الموحدة في مدخل Microsoft Defender. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.
المتطلبات الأساسية
نوصي بالتعرف على دفاتر ملاحظات Microsoft Sentinel قبل إكمال الخطوات الواردة في هذه المقالة. راجع استخدام مفكرات Jupyter للبحث عن تهديدات الأمان.
لاستخدام مفكرات Microsoft Azure Sentinel، يجب أن يكون لديك الأدوار والأذونات التالية:
| النوع | التفاصيل |
|---|---|
| Microsoft Sentinel | - دور مساهم Microsoft Azure Sentinel، من أجل حفظ المفكرات وتشغيلها من Microsoft Azure Sentinel |
| التعلم الآلي من Microsoft Azure | - دور المالك أو المساهم على مستوى مجموعة الموارد، لإنشاء مساحة عمل التعلم الآلي من Microsoft Azure جديدة إذا لزم الأمر. - دور المساهم في مساحة عمل التعلم الآلي من Microsoft Azure حيث تقوم بتشغيل مفكرات Microsoft Azure Sentinel. لمزيدٍ من المعلومات، راجع إدارة الوصول إلى مساحة عمل Azure Machine Learning. |
إنشاء مساحة عمل Azure التعلم الآلي من Microsoft Sentinel
لإنشاء مساحة العمل، حدد إحدى علامات التبويب التالية، استنادا إلى ما إذا كنت تستخدم نقطة نهاية عامة أو خاصة.
- نوصي باستخدام نقطة نهاية عامة عندما تحتوي مساحة عمل Microsoft Sentinel على واحدة ، لتجنب المشكلات المحتملة في اتصال الشبكة.
- إذا كنت تريد استخدام مساحة عمل Azure التعلم الآلي في شبكة ظاهرية، فاستخدم نقطة نهاية خاصة.
بالنسبة إلى Microsoft Sentinel في مدخل Microsoft Azure، ضمن Threat management، حدد Notebooks.
بالنسبة إلى Microsoft Sentinel في مدخل Defender، حدد دفاتر ملاحظات إدارة>المخاطر في Microsoft Sentinel.>حدد تكوين Azure التعلم الآلي> إنشاء مساحة عمل AML جديدة.
أدخل التفاصيل الآتية، ثم حدد التالي.
الحقل الوصف الاشتراك حدد اشتراك Azure الذي تريد استخدامه. مجموعة الموارد استخدم مجموعة الموارد الموجودة في اشتراكك، أو أدخل اسمًا لإنشاء مجموعة موارد جديدة. تحتفظ مجموعة الموارد بالموارد ذات الصلة الخاصة بحل Azure. اسم مساحة العمل أدخل اسمًا فريدًا يعرف مساحة العمل. يجب أن تكون الأسماء فريدة عبر مجموعة الموارد. استخدم اسمًا يسهل تذكره والتمييز بينه وبين مساحات العمل التي أنشأها الآخرون. المنطقة حدد الموقع الأقرب إلى المستخدمين وموارد البيانات لإنشاء مساحة العمل الخاصة بك. حساب التخزين يتم استخدام حساب التخزين كمخزن بيانات افتراضي لمساحة العمل. يمكنك إنشاء مورد Azure Storage جديد أو تحديد مورد موجود في اشتراكك. KeyVault يتم استخدام Key Vault لتخزين الأسرار والمعلومات الحساسة الأخرى التي تحتاجها مساحة العمل. يمكنك إنشاء مورد Azure Key Vault جديد أو تحديد مورد موجود في اشتراكك. Application Insights تستخدم مساحة العمل Azure Application Insights لتخزين معلومات المراقبة حول النماذج التي تم توزيعها. يمكنك إنشاء مورد Azure Application Insights جديد أو تحديد مورد موجود في اشتراكك. سجل الحاوية يتم استخدام سجل الحاوية لتسجيل صور عامل المرسى المستخدمة في التدريب وعمليات التوزيع. لتقليل التكاليف، لا يتم إنشاء مورد سجل حاوية Azure جديد إلا بعد إنشاء صورتك الأولى. بدلا من ذلك، قد تختار إنشاء المورد الآن أو تحديد مورد موجود في اشتراكك، أو تحديد بلا إذا كنت لا تريد استخدام أي سجل حاوية. في علامة التبويب Networking ، حدد Enable public access from all networks.
حدد أي إعدادات ذات صلة في علامة التبويب خيارات متقدمة أو علامات، ثم حدد مراجعة + إنشاء.
في علامة التبويب مراجعة + إنشاء، قم بمراجعة المعلومات للتحقق من صحتها، ثم حدد إنشاء لبدء نشر مساحة العمل الخاصة بك. على سبيل المثال:
قد يستغرق إنشاء مساحة العمل في السحابة عدة دقائق. خلال هذا الوقت، تعرض صفحة نظرة عامة على مساحة العمل حالة التوزيع الحالية والتحديثات عند اكتمال التوزيع.
بعد اكتمال النشر، ارجع إلى دفاتر الملاحظات في Microsoft Sentinel وقم بتشغيل دفاتر الملاحظات من مساحة عمل Azure التعلم الآلي الجديدة.
إذا كان لديك مفكرات متعددة، فتأكد من تحديد مساحة عمل التعلم الآلي من Microsoft Azure افتراضية لاستخدامها عند تشغيل المفكرات. على سبيل المثال:
تشغيل دفتر ملاحظات في مساحة عمل Azure التعلم الآلي
بعد إنشاء مساحة عمل Azure التعلم الآلي، قم بتشغيل دفاتر الملاحظات في مساحة العمل هذه من Microsoft Sentinel.
بالنسبة إلى Microsoft Sentinel في مدخل Microsoft Azure، ضمن Threat management، حدد Notebooks.
بالنسبة إلى Microsoft Sentinel في مدخل Defender، حدد دفاتر ملاحظات إدارة>المخاطر في Microsoft Sentinel.>حدد علامة التبويب Templates لمشاهدة دفاتر الملاحظات التي يوفرها Microsoft Sentinel.
حدد مفكرة لعرض الوصف وأنواع البيانات المطلوبة ومصادر البيانات.
عندما تعثر على دفتر الملاحظات الذي تريد استخدامه، حدد إنشاء من القالب وحفظلاستنساخه في مساحة العمل الخاصة بك.
قم بتحرير الاسم حسب الحاجة. إذا كان دفتر الملاحظات موجودا بالفعل في مساحة العمل، فاستبدل دفتر الملاحظات الموجود أو أنشئ دفتر ملاحظات جديدا. بشكل افتراضي، يتم حفظ دفتر الملاحظات في دليل /Users/<Your_User_Name>/ لمساحة عمل AML المحددة.
بعد حفظ المفكرة، يتغير الزر حفظ المفكرة إلى تشغيل المفكرة. حدد تشغيل المفكرة لفتحها في مساحة عمل التعلم الآلي من Microsoft Azure.
على سبيل المثال:
في الجزء العلوي من الصفحة، حدد مثيل حساب لاستخدامه لخادم المفكرة الخاصة بك.
إذا لم يكن لديك مثيل حساب، فأنشئ مثيلاً جديدًا. إذا تم إيقاف مثيل الحساب، فتأكد من بدء تشغيله. لمزيد من المعلومات، راجع تشغيل مفكرة في استوديو التعلم الآلي من Microsoft Azure.
يمكنك فقط رؤية مثيلات الحساب التي تقوم بإنشائها واستخدامها. يتم تخزين ملفات المستخدم الخاصة بك بشكل منفصل عن الجهاز الظاهري وتتم مشاركتها بين جميع مثيلات الحساب في مساحة العمل.
في حالة إنشاء مثيل compute جديد لاختبار دفتر ملاحظاتك، فأنشئ مثيل compute الخاص بك باستخدام الفئة General Purpose.
يتم أيضا عرض النواة في الجزء العلوي الأيسر من نافذة Azure التعلم الآلي. إذا لم يتم تحديد النواة التي تحتاجها، فحدد إصدارًا مختلفًا من القائمة المنسدلة.
بمجرد إنشاء خادم دفتر الملاحظات وبدء تشغيله، قم بتشغيل خلايا دفتر الملاحظات. في كل خلية، حدد أيقونة التشغيل لتشغيل التعليمات البرمجية للمفكرة.
ولمزيد من المعلومات، راجع اختصارات وضع الأوامر.
إذا توقفت المفكرة عن العمل أو إذا كنت تريد البدء من جديد، يمكنك إعادة تشغيل النواة وإعادة تشغيل خلايا المفكرة من البداية. إذا قمت بإعادة تشغيل النواة، يتم حذف المتغيّرات والحالة الأخرى. أعد تشغيل أي خلايا للتهيئة والمصادقة بعد إعادة التشغيل.
للبدء من جديد، حدد عمليات النواة>إعادة تشغيل النواة. على سبيل المثال:
تشغيل التعليمات البرمجية في المفكرة
قم دائمًا بتشغيل خلايا التعليمات البرمجية للمفكرة بالتسلسل. يمكن أن ينتج عن تخطي الخلايا حدوث أخطاء.
في مفكرة:
- Markdown تحتوي خلاياه على نص، بما في ذلك لغة HTML والصور الثابتة.
- التعليمة البرمجية تحتوي خلاياها على تعليمات برمجية. بعد تحديد خلية تعليمة برمجية، قم بتشغيل التعليمات البرمجية في الخلية عن طريق تحديد أيقونة التشغيل على يسار الخلية، أو بالضغط على SHIFT+ENTER.
على سبيل المثال، قم بتشغيل خلية التعليمات البرمجية التالية في المفكرة:
# This is your first code cell. This cell contains basic Python code.
# You can run a code cell by selecting it and then selecting
# the Play button to the left of the cell, or by pressing SHIFT+ENTER.
# Code output displays below the code.
print("Congratulations, you just ran this code cell")
y = 2 + 2
print("2 + 2 =", y)
ينتج نموذج التعليمات البرمجية هذا الإخراج:
Congratulations, you just ran this code cell
2 + 2 = 4
تستمر المتغيرات المعينة داخل خلية التعليمات البرمجية للمفكرة بين الخلايا، بحيث يمكنك ربط الخلايا ببعضها البعض. على سبيل المثال، تستخدم خلية التعليمة البرمجية y التالية قيمة من الخلية السابقة:
# Note that output from the last line of a cell is automatically
# sent to the output cell, without needing the print() function.
y + 2
تكون النتيجة:
6
تنزيل جميع مفكرات Microsoft Azure Sentinel
يصف هذا القسم كيفية استخدام Git لتنزيل جميع دفاتر الملاحظات المتوفرة في مستودع Microsoft Sentinel GitHub، من داخل دفتر ملاحظات Microsoft Sentinel، مباشرة إلى مساحة عمل Azure التعلم الآلي.
يسمح لك تخزين دفاتر ملاحظات Microsoft Sentinel في مساحة عمل Azure التعلم الآلي بتحديثها بسهولة.
من مفكرة Microsoft Azure Sentinel، أدخل التعليمة البرمجية التالية في خلية فارغة، ثم قم بتشغيل الخلية:
!git clone https://github.com/Azure/Azure-Sentinel-Notebooks.git azure-sentinel-nbيتم إنشاء نسخة من محتويات مستودع GitHub في دليل azure-Sentinel-nb على مجلد المستخدم الخاص بك في مساحة عمل Azure التعلم الآلي.
انسخ المفكرات التي تريدها من هذا المجلد إلى الدليل المشغَّل.
لتحديث المفكرات بأي تغييرات حديثة من GitHub، قم بتشغيل:
!cd azure-sentinel-nb && git pull