Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Poznámkové bloky Jupyter kombinují plnou programovatelnost s rozsáhlou kolekcí knihoven pro strojové učení, vizualizaci a analýzu dat. Díky těmto atributům je Jupyter poutavým nástrojem pro prověřování zabezpečení a proaktivní vyhledávání.
Základem služby Microsoft Sentinel je úložiště dat; Kombinuje vysoce výkonné dotazování, dynamické schéma a škáluje na obrovské objemy dat. Azure Portal a všechny nástroje Microsoft Sentinelu používají pro přístup k tomuto úložišti dat společné rozhraní API. Stejné rozhraní API je také k dispozici pro externí nástroje, jako Jupyter notebooky a Python.
Důležité
Po 31. březnu 2027 už Microsoft Sentinel nebude podporován na webu Azure Portal a bude dostupný jenom na portálu Microsoft Defender. Všichni zákazníci používající Microsoft Sentinel na webu Azure Portal budou přesměrováni na portál Defender a budou používat Microsoft Sentinel jenom na portálu Defender.
Pokud na webu Azure Portal stále používáte Microsoft Sentinel, doporučujeme začít plánovat přechod na portál Defender , abyste zajistili hladký přechod a plně využili sjednoceného prostředí operací zabezpečení, které nabízí Microsoft Defender.
Kdy používat poznámkové bloky Jupyter
I když je možné na portálu provádět mnoho běžných úloh, Jupyter rozšiřuje rozsah toho, co můžete s daty dělat.
Pomocí poznámkových bloků můžete například:
- Provádění analýz , které nejsou k dispozici předem v Microsoft Sentinelu, jako jsou některé funkce strojového učení v Pythonu
- Vytváření vizualizací dat, které nejsou k dispozici předem v Microsoft Sentinelu, jako jsou vlastní časové osy a stromy procesů
- Integrujte zdroje dat mimo Microsoft Sentinel, například místní datovou sadu.
Prostředí Jupyter jsme integrují do webu Azure Portal, což usnadňuje vytváření a spouštění poznámkových bloků pro analýzu dat. Knihovna Kqlmagic poskytuje vazbu, která umožňuje přijímat dotazy v dotazovacím jazyce Kusto (KQL) z Microsoft Sentinelu a spouštět je přímo v poznámkovém bloku.
Několik poznámkových bloků, které vyvinuli někteří analytici zabezpečení Microsoftu, je součástí Microsoft Sentinelu.
- Některé z těchto poznámkových bloků jsou vytvořené pro konkrétní scénář a dají se použít tak, jak jsou.
- Ostatní jsou určené jako ukázky pro ilustraci technik a funkcí, které můžete kopírovat nebo přizpůsobovat pro použití ve vlastních poznámkových blocích.
Importujte další poznámkové bloky z úložiště Microsoft Sentinel na GitHubu.
Jak fungují poznámkové bloky Jupyter
Notebooky mají dvě komponenty:
- Rozhraní založené na prohlížeči, kde zadáte a spustíte dotazy a kód a kde se zobrazí výsledky provádění.
- Jádro, které je zodpovědné za analýzu a spuštění samotného kódu.
Jádro poznámkového bloku Microsoft Sentinel běží na virtuálním počítači v Azure. Instance virtuálního počítače může podporovat spouštění mnoha poznámkových bloků najednou. Pokud vaše poznámkové bloky obsahují složité modely strojového učení, existuje několik licenčních možností, jak využít výkonnější virtuální počítače.
Principy balíčků Pythonu
Poznámkové bloky Microsoft Sentinelu používají mnoho oblíbených knihoven Pythonu, jako jsou pandas, matplotlib, bokeh a další. Existuje mnoho dalších balíčků Pythonu, ze kterých si můžete vybrat, včetně oblastí, jako jsou:
- Vizualizace a grafika
- Zpracování a analýza dat
- Statistiky a numerické výpočty
- Strojové učení a hluboké učení
Abyste se vyhnuli nutnosti psát nebo vkládat složitý a opakující se kód do buněk poznámkového bloku, většina poznámkových bloků Pythonu spoléhá na knihovny třetích stran označované jako balíčky. Pokud chcete balíček použít v poznámkovém bloku, musíte balíček nainstalovat a importovat. Služba Azure Machine Learning Compute má předinstalované nejběžnější balíčky. Ujistěte se, že importujete balíček nebo příslušnou část balíčku, jako je modul, soubor, funkce nebo třída.
Poznámkové bloky Microsoft Sentinelu používají balíček Pythonu s názvem MSTICPy, což je kolekce nástrojů kybernetické bezpečnosti pro načítání, analýzu, obohacování a vizualizaci dat.
Nástroje MSTICPy jsou navržené speciálně tak, aby pomohly s vytvářením poznámkových bloků proaktivního vyhledávání a vyšetřování a aktivně pracujeme na nových funkcích a vylepšeních. Další informace naleznete v tématu:
- Dokumentace k nástrojům MSTIC Jupyter a Python Security Tools
- Jak začít s poznámkovými bloky Jupyter a MSTICPy v Microsoft Sentinelu
- Pokročilé konfigurace pro poznámkové bloky Jupyter a MSTICPy v Microsoft Sentinelu
Najít poznámkové bloky
V Microsoft Sentinelu vyberte Poznámkové bloky, abyste zobrazili poznámkové bloky, které poskytuje Microsoft Sentinel. Přečtěte si další informace o používání poznámkových bloků ve vyhledávání hrozeb a vyšetřování tak, že prozkoumáte šablony poznámkových bloků, jako jsou prohledávání přihlašovacích údajů ve službě Azure Log Analytics a Asistované vyšetřování - Procesní upozornění.
Další poznámkové bloky vytvořené Microsoftem nebo přispěné komunitou najdete v repozitáři Microsoft Sentinel na GitHubu. Poznámkové bloky sdílené v úložišti GitHub služby Microsoft Sentinel můžete používat jako užitečné nástroje, ilustrace a ukázky kódu, které můžete použít při vývoji vlastních poznámkových bloků.
Adresář
Sample-Notebooksobsahuje ukázkové poznámkové bloky uložené s daty, které můžete použít k zobrazení zamýšleného výstupu.Tento
HowTosadresář obsahuje poznámkové bloky, které popisují koncepty, jako je nastavení výchozí verze Pythonu, vytváření záložek Microsoft Sentinelu z poznámkového bloku a další.
Správa přístupu k poznámkovým blokům Microsoft Sentinelu
Pokud chcete používat poznámkové bloky Jupyter v Microsoft Sentinelu, musíte mít nejdřív správná oprávnění v závislosti na vaší roli uživatele.
I když můžete spouštět poznámkové bloky Microsoft Sentinelu v JupyterLabu nebo Jupyter Classic, v Microsoft Sentinelu se poznámkové bloky spouštějí na platformě Azure Machine Learning . Pokud chcete spouštět poznámkové bloky v Microsoft Sentinelu, musíte mít odpovídající přístup k pracovnímu prostoru Microsoft Sentinelu i k pracovnímu prostoru Služby Azure Machine Learning.
| Oprávnění | Popis |
|---|---|
| Oprávnění služby Microsoft Sentinel | Pro přístup k poznámkovým blokům na panelu Poznámkové bloky Microsoft Sentinel, stejně jako u jiných prostředků Microsoft Sentinelu, je vyžadována role Microsoft Sentinel Reader, Microsoft Sentinel Responder nebo Microsoft Sentinel Contributor. Další informace najdete v tématu Oprávnění v Microsoft Sentinelu. |
| Oprávnění služby Azure Machine Learning | Pracovní prostor služby Azure Machine Learning je prostředek Azure. Stejně jako u jiných prostředků Azure se při vytvoření nového pracovního prostoru Azure Machine Learning dodává s výchozími rolemi. Do pracovního prostoru můžete přidat uživatele a přiřadit je k jedné z těchto předdefinovaných rolí. Další informace najdete v tématu Výchozí role služby Azure Machine Learning a předdefinované role Azure. Důležité: Přístup k rolím je možné v Azure vymezit na více úrovní. Například někdo s přístupem vlastníka k pracovnímu prostoru nemusí mít přístup vlastníka ke skupině prostředků, která tento pracovní prostor obsahuje. Další informace najdete v tématu Jak funguje Azure RBAC. Pokud jste vlastníkem pracovního prostoru Azure ML, můžete přidat a odebrat role pracovního prostoru a přiřadit role uživatelům. Další informace naleznete v tématu: - Azure Portal - Powershell - Azure CLI - REST API - Šablony Azure Resource Manageru - Azure Machine Learning CLI Pokud předdefinované role nejsou dostatečné, můžete také vytvořit vlastní role. Vlastní role můžou mít oprávnění ke čtení, zápisu, odstranění a k výpočetním prostředkům v tomto pracovním prostoru. Roli můžete zpřístupnit na konkrétní úrovni pracovního prostoru, na konkrétní úrovni skupiny prostředků nebo na konkrétní úrovni předplatného. Další informace najdete v tématu Vytvoření vlastní role. |
Odeslání názoru na poznámkový blok
Odešlete zpětnou vazbu, žádosti o funkce, zprávy o chybách nebo vylepšení stávajících poznámkových bloků. Přejděte do úložiště GitHub pro Microsoft Sentinel a vytvořte problém nebo vytvořte fork a nahrajte příspěvek.
Související obsah
- Vyhledávání bezpečnostních hrozeb pomocí poznámkových bloků Jupyter
- Jak začít s poznámkovými bloky Jupyter a MSTICPy v Microsoft Sentinelu
- Proaktivní vyhledávání hrozeb
- Sledování dat během proaktivního vyhledávání pomocí Microsoft Sentinelu
Blogy, videa a další zdroje informací najdete tady:
- Vytvoření prvního poznámkového bloku Microsoft Sentinelu (řada blogů)
- Návod: Notebooky Microsoft Sentinelu – Začínáme (Video)
- Kurz: Úpravy a spouštění poznámkových bloků Jupyter bez opuštění studio Azure Machine Learning (video)
- Detekce úniku přihlašovacích údajů pomocí poznámkových bloků Azure Sentinelu (video)
- Webinář: Základy poznámkových bloků Microsoft Sentinelu (Video)
- Jupyter, msticpy a Microsoft Sentinel