Poznámkové bloky Jupyter s funkcemi proaktivního vyhledávání v Microsoft Sentinelu

  • Článek
  • Platí pro:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Poznámkové bloky Jupyter kombinují plnou programovatelnost s rozsáhlou kolekcí knihoven pro strojové učení, vizualizaci a analýzu dat. Díky těmto atributům je Jupyter poutavým nástrojem pro prověřování zabezpečení a proaktivní vyhledávání.

Základem služby Microsoft Sentinel je úložiště dat; Kombinuje vysoce výkonné dotazování, dynamické schéma a škáluje na obrovské objemy dat. Azure Portal a všechny nástroje Microsoft Sentinelu používají pro přístup k tomuto úložišti dat společné rozhraní API. Stejné rozhraní API je také k dispozici pro externí nástroje, jako jsou poznámkové bloky Jupyter a Python.

Důležité

Microsoft Sentinel je k dispozici jako součást veřejné verze Preview pro jednotnou platformu operací zabezpečení na portálu Microsoft Defender. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Kdy používat poznámkové bloky Jupyter

I když je možné na portálu provádět mnoho běžných úloh, Jupyter rozšiřuje rozsah toho, co můžete s daty dělat.

Pomocí poznámkových bloků můžete například:

  • Provádění analýz , které nejsou k dispozici předem v Microsoft Sentinelu, jako jsou některé funkce strojového učení v Pythonu
  • Vytváření vizualizací dat, které nejsou k dispozici předem v Microsoft Sentinelu, jako jsou vlastní časové osy a stromy procesů
  • Integrujte zdroje dat mimo Microsoft Sentinel, například místní datovou sadu.

Prostředí Jupyter jsme integrují do webu Azure Portal, což usnadňuje vytváření a spouštění poznámkových bloků pro analýzu dat. Knihovna Kqlmagic poskytuje připevnění, které umožňuje přijímat dotazy dotazovací jazyk Kusto (KQL) z Microsoft Sentinelu a spouštět je přímo v poznámkovém bloku.

Několik poznámkových bloků vyvinutých některými analytiky zabezpečení Microsoftu je zabaleno do Microsoft Sentinelu:

  • Některé z těchto poznámkových bloků jsou vytvořené pro konkrétní scénář a dají se použít tak, jak jsou.
  • Ostatní jsou určené jako ukázky pro ilustraci technik a funkcí, které můžete kopírovat nebo přizpůsobovat pro použití ve vlastních poznámkových blocích.

Naimportujte další poznámkové bloky z úložiště GitHub služby Microsoft Sentinel.

Jak fungují poznámkové bloky Jupyter

Poznámkové bloky mají dvě komponenty:

  • Rozhraní založené na prohlížeči, kde zadáte a spustíte dotazy a kód a kde se zobrazí výsledky provádění.
  • Jádro, které je zodpovědné za analýzu a spuštění samotného kódu.

Jádro poznámkového bloku Microsoft Sentinelu běží na virtuálním počítači Azure. Instance virtuálního počítače může podporovat spouštění mnoha poznámkových bloků najednou. Pokud poznámkové bloky obsahují složité modely strojového učení, existuje několik možností licencování, které použijí výkonnější virtuální počítače.

Principy balíčků Pythonu

Poznámkové bloky Microsoft Sentinelu používají mnoho oblíbených knihoven Pythonu, jako jsou pandas, matplotlib, bokeh a další. Existuje mnoho dalších balíčků Pythonu, ze kterých si můžete vybrat, včetně oblastí, jako jsou:

  • Vizualizace a grafika
  • Zpracování a analýza dat
  • Statistiky a numerické výpočty
  • Strojové učení a hluboké učení

Abyste se vyhnuli nutnosti psát nebo vkládat složitý a opakující se kód do buněk poznámkového bloku, většina poznámkových bloků Pythonu spoléhá na knihovny třetích stran označované jako balíčky. Pokud chcete balíček použít v poznámkovém bloku, musíte balíček nainstalovat i importovat. Azure Machine Učení Compute má předinstalované nejběžnější balíčky. Ujistěte se, že importujete balíček nebo příslušnou část balíčku, jako je modul, soubor, funkce nebo třída.

Poznámkové bloky Microsoft Sentinelu používají balíček Pythonu s názvem MSTICPy, což je kolekce nástrojů kybernetické bezpečnosti pro načítání, analýzu, rozšiřování a vizualizaci dat.

Nástroje MSTICPy jsou navržené speciálně tak, aby pomohly s vytvářením poznámkových bloků proaktivního vyhledávání a vyšetřování a aktivně pracujeme na nových funkcích a vylepšeních. Další informace naleznete v tématu:

Vyhledání poznámkových bloků

V Microsoft Sentinelu vyberte Poznámkové bloky a zobrazte poznámkové bloky , které Microsoft Sentinel poskytuje. Přečtěte si další informace o používání poznámkových bloků v proaktivním vyhledávání hrozeb a vyšetřování tím, že prozkoumáte šablony poznámkových bloků, jako je prohledávání přihlašovacích údajů ve službě Azure Log Analytics a vyšetřování s asistencí – upozornění na procesy.

Další poznámkové bloky vytvořené Microsoftem nebo přispívání z komunity najdete v úložišti Microsoft Sentinel Na GitHubu. Poznámkové bloky sdílené v úložišti GitHub služby Microsoft Sentinel můžete používat jako užitečné nástroje, ilustrace a ukázky kódu, které můžete použít při vývoji vlastních poznámkových bloků.

  • Adresář Sample-Notebooks obsahuje ukázkové poznámkové bloky uložené s daty, které můžete použít k zobrazení zamýšleného výstupu.

  • Tento HowTos adresář obsahuje poznámkové bloky, které popisují koncepty, jako je nastavení výchozí verze Pythonu, vytváření záložek Microsoft Sentinelu z poznámkového bloku a další.

Správa přístupu k poznámkových blokům Microsoft Sentinelu

Pokud chcete používat poznámkové bloky Jupyter v Microsoft Sentinelu, musíte mít nejdřív správná oprávnění v závislosti na vaší roli uživatele.

I když můžete spouštět poznámkové bloky Microsoft Sentinelu v Prostředí JupyterLab nebo Jupyter Classic, v Microsoft Sentinelu se poznámkové bloky spouštějí na platformě Azure Machine Učení. Pokud chcete spouštět poznámkové bloky v Microsoft Sentinelu, musíte mít odpovídající přístup k pracovnímu prostoru Microsoft Sentinelu i k pracovnímu prostoru Azure Machine Učení.

Oprávnění Popis
Oprávnění služby Microsoft Sentinel Stejně jako u jiných prostředků Microsoft Sentinelu se vyžaduje přístup k poznámkovým blokům v Microsoft Sentinelu, čtenáři Microsoft Sentinelu, respondéru Microsoft Sentinelu nebo roli Přispěvatel Microsoft Sentinelu.

Další informace najdete v tématu Oprávnění v Microsoft Sentinelu.
Oprávnění služby Azure Machine Učení Pracovní prostor služby Azure Machine Learning je prostředek Azure. Stejně jako u jiných prostředků Azure se při vytvoření nového pracovního prostoru Azure machine Učení dodává s výchozími rolemi. Do pracovního prostoru můžete přidat uživatele a přiřadit je k jedné z těchto předdefinovaných rolí. Další informace najdete v tématu Azure Machine Učení výchozích rolí a předdefinovaných rolí Azure.

Důležité: Přístup k rolím je možné v Azure vymezit na více úrovní. Například někdo s přístupem vlastníka k pracovnímu prostoru nemusí mít přístup vlastníka ke skupině prostředků, která tento pracovní prostor obsahuje. Další informace najdete v tématu Jak funguje Azure RBAC.

Pokud jste vlastníkem pracovního prostoru Azure Machine Učení, můžete přidávat a odebírat role pracovního prostoru a přiřazovat role uživatelům. Další informace naleznete v tématu:
- Azure Portal
- PowerShell
- Azure CLI
- REST API
- Šablony Azure Resource Manageru
- Azure Machine Učení CLI

Pokud předdefinované role nejsou dostatečné, můžete také vytvořit vlastní role. Vlastní role můžou mít oprávnění ke čtení, zápisu, odstranění a výpočetnímu prostředku v daném pracovním prostoru. Roli můžete zpřístupnit na konkrétní úrovni pracovního prostoru, na konkrétní úrovni skupiny prostředků nebo na konkrétní úrovni předplatného. Další informace najdete v tématu Vytvoření vlastní role.

Odeslání názoru na poznámkový blok

Odešlete zpětnou vazbu, žádosti o funkce, zprávy o chybách nebo vylepšení stávajících poznámkových bloků. Přejděte do úložiště GitHub pro Microsoft Sentinel a vytvořte problém nebo vytvořte fork a nahrajte příspěvek.

Související obsah

Blogy, videa a další zdroje informací najdete tady: