Vyhledávání bezpečnostních hrozeb pomocí poznámkových bloků Jupyter

• Platí pro:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

V rámci vyšetřování zabezpečení a proaktivního vyhledávání můžete spouštět a spouštět poznámkové bloky Jupyter pro programovou analýzu dat.

V tomto článku vytvoříte pracovní prostor Azure Machine Učení, spustíte poznámkový blok z Microsoft Sentinelu do svého pracovního prostoru Azure Machine Učení a spustíte kód v poznámkovém bloku.

Důležité

Microsoft Sentinel je k dispozici jako součást veřejné verze Preview pro jednotnou platformu operací zabezpečení na portálu Microsoft Defender. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Požadavky

Než dokončíte kroky v tomto článku, doporučujeme, abyste se seznámili s poznámkovými bloky Microsoft Sentinelu. Viz Použití poznámkových bloků Jupyter k vyhledávání bezpečnostních hrozeb.

Pokud chcete používat poznámkové bloky Microsoft Sentinelu, musíte mít následující role a oprávnění:

Typ	Detaily
Microsoft Sentinel	– Role Přispěvatel Microsoft Sentinelu, aby bylo možné ukládat a spouštět poznámkové bloky z Microsoft Sentinelu
Azure Machine Learning	– Role Vlastník nebo Přispěvatel na úrovni skupiny prostředků, která v případě potřeby vytvoří nový pracovní prostor azure Učení. – Role Přispěvatel v pracovním prostoru Azure Machine Učení, ve kterém spouštíte poznámkové bloky Microsoft Sentinelu. Další informace najdete v tématu Správa přístupu k pracovnímu prostoru Azure Machine Učení.

Vytvoření pracovního prostoru Azure Machine Učení z Microsoft Sentinelu

Pokud chcete vytvořit pracovní prostor, vyberte jednu z následujících karet v závislosti na tom, jestli používáte veřejný nebo privátní koncový bod.

• Pokud má váš pracovní prostor Microsoft Sentinelu jeden, doporučujeme použít veřejný koncový bod , abyste se vyhnuli potenciálním problémům v síťové komunikaci.
• Pokud chcete použít pracovní prostor Azure Machine Učení ve virtuální síti, použijte privátní koncový bod.

Veřejný koncový bod

1. Pro Microsoft Sentinel na webu Azure Portal v části Správa hrozeb vyberte Poznámkové bloky.
   Pro Microsoft Sentinel na portálu Defender vyberte poznámkové bloky pro správu>hrozeb Microsoft Sentinelu>.

2. Vyberte Konfigurovat Azure Machine Učení> Vytvoření nového pracovního prostoru AML.

3. Zadejte následující podrobnosti a pak vyberte Další.

   Pole	Popis
   Předplatné	Vyberte předplatné Azure, které chcete použít.
   Skupina prostředků	Použijte stávající skupinu prostředků, kterou máte v předplatném, nebo zadejte název a vytvořte novou skupinu prostředků. Skupina prostředků obsahuje související prostředky pro řešení Azure.
   Název pracovního prostoru	Zadejte jedinečný název, který identifikuje váš pracovní prostor. Názvy musí být v rámci skupiny prostředků jedinečné. Použijte název, který je snadno odvolatelný a odlišit se od pracovních prostorů vytvořených jinými uživateli.
   Oblast	Vyberte umístění nejblíže vašim uživatelům a datovým prostředkům a vytvořte pracovní prostor.
   Účet úložiště	Účet úložiště se používá jako výchozí úložiště dat pro pracovní prostor. Můžete vytvořit nový prostředek Azure Storage nebo vybrat existující prostředek ve vašem předplatném.
   KeyVault	Trezor klíčů slouží k ukládání tajných kódů a dalších citlivých informací, které pracovní prostor potřebuje. Můžete vytvořit nový prostředek služby Azure Key Vault nebo vybrat existující prostředek ve vašem předplatném.
   Application Insights	Pracovní prostor používá Aplikace Azure Přehledy k ukládání informací o monitorování nasazených modelů. Můžete vytvořit nový prostředek Aplikace Azure Přehledy nebo vybrat existující prostředek ve vašem předplatném.
   Registr kontejneru	Registr kontejneru se používá k registraci imagí Dockeru používaných při trénování a nasazeních. Pokud chcete minimalizovat náklady, vytvoří se nový prostředek služby Azure Container Registry až po vytvoření první image. Případně se můžete rozhodnout vytvořit prostředek hned nebo vybrat existující prostředek ve vašem předplatném nebo vybrat možnost Žádné , pokud nechcete používat žádný registr kontejneru.

4. Na kartě Sítě vyberte Povolit veřejný přístup ze všech sítí.

   Na kartách Upřesnit nebo Značky definujte všechna relevantní nastavení a pak vyberte Zkontrolovat a vytvořit.

5. Na kartě Zkontrolovat a vytvořit zkontrolujte informace, abyste ověřili, že jsou správné, a pak vyberte Vytvořit a začněte nasazovat pracovní prostor. Příklad:

   

   Vytvoření pracovního prostoru v cloudu může trvat několik minut. Během této doby se na stránce Přehled pracovního prostoru zobrazuje aktuální stav nasazení a po dokončení nasazení se aktualizuje.

Privátní koncový bod

Kroky v tomto postupu odkazují na konkrétní články v dokumentaci ke službě Azure Machine Učení, pokud jsou relevantní. Další informace najdete v tématu Vytvoření zabezpečeného pracovního prostoru azure machine Učení.

1. Vytvořte jump box virtuálního počítače v rámci virtuální sítě. Vzhledem k tomu, že virtuální síť omezuje přístup z veřejného internetu, jump box slouží jako způsob připojení k prostředkům za virtuální sítí.

2. Přejděte do jump boxu a přejděte do svého pracovního prostoru Microsoft Sentinelu. Pro přístup k virtuálnímu počítači doporučujeme použít Azure Bastion .

3. Pro Microsoft Sentinel na webu Azure Portal v části Správa hrozeb vyberte Poznámkové bloky.
   Pro Microsoft Sentinel na portálu Defender vyberte poznámkové bloky pro správu>hrozeb Microsoft Sentinelu>.

4. Vyberte Konfigurovat Azure Machine Učení> Vytvoření nového pracovního prostoru AML.

5. Zadejte následující podrobnosti a pak vyberte Další.

   Pole	Popis
   Předplatné	Vyberte předplatné Azure, které chcete použít.
   Skupina prostředků	Použijte stávající skupinu prostředků, kterou máte v předplatném, nebo zadejte název a vytvořte novou skupinu prostředků. Skupina prostředků obsahuje související prostředky pro řešení Azure.
   Název pracovního prostoru	Zadejte jedinečný název, který identifikuje váš pracovní prostor. Názvy musí být v rámci skupiny prostředků jedinečné. Použijte název, který je snadno odvolatelný a odlišit se od pracovních prostorů vytvořených jinými uživateli.
   Oblast	Vyberte umístění nejblíže vašim uživatelům a datovým prostředkům a vytvořte pracovní prostor.
   Účet úložiště	Účet úložiště se používá jako výchozí úložiště dat pro pracovní prostor. Můžete vytvořit nový prostředek Azure Storage nebo vybrat existující prostředek ve vašem předplatném.
   KeyVault	Trezor klíčů slouží k ukládání tajných kódů a dalších citlivých informací, které pracovní prostor potřebuje. Můžete vytvořit nový prostředek služby Azure Key Vault nebo vybrat existující prostředek ve vašem předplatném.
   Application Insights	Pracovní prostor používá Aplikace Azure Přehledy k ukládání informací o monitorování nasazených modelů. Můžete vytvořit nový prostředek Aplikace Azure Přehledy nebo vybrat existující prostředek ve vašem předplatném.
   Registr kontejneru	Registr kontejneru se používá k registraci imagí Dockeru používaných při trénování a nasazeních. Pokud chcete minimalizovat náklady, vytvoří se nový prostředek služby Azure Container Registry až po vytvoření první image. Případně se můžete rozhodnout vytvořit prostředek hned nebo vybrat existující prostředek ve vašem předplatném nebo vybrat možnost Žádné , pokud nechcete používat žádný registr kontejneru.

6. Na kartě Sítě vyberte Zakázat veřejný přístup a používat privátní koncový bod. Ujistěte se, že používáte stejnou virtuální síť, jakou máte v jump boxu virtuálního počítače. Příklad:

   

7. Na kartách Upřesnit nebo Značky definujte všechna relevantní nastavení a pak vyberte Zkontrolovat a vytvořit.

8. Na kartě Zkontrolovat a vytvořit zkontrolujte informace, abyste ověřili, že jsou správné, a pak vyberte Vytvořit a začněte nasazovat pracovní prostor. Příklad:

   

   Vytvoření pracovního prostoru v cloudu může trvat několik minut. Během této doby se na stránce Přehled pracovního prostoru zobrazuje aktuální stav nasazení a po dokončení nasazení se aktualizuje.

9. Na studio Azure Machine Learning na stránce Compute vytvořte nový výpočetní objekt. Na kartě Upřesnit Nastavení nezapomeňte vybrat stejnou virtuální síť, kterou jste použili pro jump box virtuálního počítače. Další informace najdete v tématu Vytvoření a správa výpočetní instance služby Azure Machine Učení.

10. Nakonfigurujte síťový provoz pro přístup ke službě Azure Machine Učení za bránou firewall. Další informace najdete v tématu Konfigurace příchozího a odchozího síťového provozu.

Pokračujte jedním z následujících kroků:

• Pokud máte jenom jedno privátní propojení: K poznámkovému bloku se teď dostanete některým z následujících způsobů:

  • Klonování a spouštění poznámkových bloků z Microsoft Sentinelu do služby Azure Machine Učení
  • Ruční nahrání poznámkových bloků do Azure Machine Učení
  • Naklonujte úložiště Poznámkové bloky Microsoft Sentinelu na GitHubu na terminálu Azure Machine Učení

• Pokud máte další privátní propojení, které používá jinou virtuální síť, postupujte takto:

  1. Na webu Azure Portal přejděte do skupiny prostředků vašeho pracovního prostoru Azure Machine Učení a vyhledejte prostředky zóny Privátní DNS s názvem privatelink.api.azureml.ms a privatelink.notebooks.azure.ms. Příklad:

     

  2. Pro každý prostředek, včetně privatelink.api.azureml.ms i privatelink.notebooks.azure.ms, přidejte propojení virtuální sítě.

     Vyberte propojení>virtuální sítě prostředků >Přidat. Další informace najdete v tématu Propojení virtuální sítě.

Další informace naleznete v tématu:

• Tok síťového provozu při použití zabezpečeného pracovního prostoru
• Zabezpečení prostředků pracovních prostorů Azure Machine Learning s využitím virtuálních sítí

Po dokončení nasazení se vraťte do poznámkových bloků v Microsoft Sentinelu a spusťte poznámkové bloky z nového pracovního prostoru azure machine Učení.

Pokud máte více poznámkových bloků, nezapomeňte vybrat výchozí pracovní prostor AML, který se má použít při spouštění poznámkových bloků. Příklad:

Spuštění poznámkového bloku v pracovním prostoru Azure Machine Učení

Po vytvoření pracovního prostoru Azure Machine Učení spusťte poznámkové bloky v daném pracovním prostoru z Microsoft Sentinelu.

1. Pro Microsoft Sentinel na webu Azure Portal v části Správa hrozeb vyberte Poznámkové bloky.
   Pro Microsoft Sentinel na portálu Defender vyberte poznámkové bloky pro správu>hrozeb Microsoft Sentinelu>.

2. Výběrem karty Šablony zobrazíte poznámkové bloky, které Microsoft Sentinel poskytuje.

3. Výběrem poznámkového bloku zobrazíte jeho popis, požadované datové typy a zdroje dat.

4. Když najdete poznámkový blok, který chcete použít, vyberte Vytvořit ze šablony a Uložte ho a naklonujte ho do vlastního pracovního prostoru.

5. Podle potřeby upravte název. Pokud už poznámkový blok ve vašem pracovním prostoru existuje, přepište existující poznámkový blok nebo vytvořte nový. Ve výchozím nastavení je poznámkový blok uložený v adresáři /Users/<Your_User_Name>/ vybraného pracovního prostoru AML.

   

6. Po uložení poznámkového bloku se tlačítko Uložit poznámkový blok změní na Spustit poznámkový blok. Vyberte Spustit poznámkový blok a otevřete ho v pracovním prostoru AML.

   Příklad:

   

7. V horní části stránky vyberte výpočetní instanci, která se má použít pro váš server poznámkových bloků.

   Pokud nemáte výpočetní instanci, vytvořte novou. Pokud je vaše výpočetní instance zastavená, nezapomeňte ji spustit. Další informace najdete v tématu Spuštění poznámkového bloku v studio Azure Machine Learning.

   Výpočetní instance, které vytvoříte, můžete zobrazit a používat jenom vy. Vaše uživatelské soubory se ukládají odděleně od virtuálního počítače a sdílí se mezi všemi výpočetními instancemi v pracovním prostoru.

   Pokud vytváříte novou výpočetní instanci, abyste mohli své poznámkové bloky otestovat, vytvořte výpočetní instanci s kategorií Pro obecné účely .

   Jádro se také zobrazí v pravém horním rohu okna azure machine Učení. Pokud není vybrané jádro, které potřebujete, vyberte z rozevíracího seznamu jinou verzi.

8. Po vytvoření a spuštění serveru poznámkového bloku spusťte buňky poznámkového bloku. V každé buňce vyberte ikonu Spustit a spusťte kód poznámkového bloku.

   Další informace najdete v tématu Klávesové zkratky režimu příkazů.

9. Pokud poznámkový blok přestane reagovat nebo chcete začít znovu, můžete restartovat jádro a znovu spustit buňky poznámkového bloku od začátku. Pokud restartujete jádro, odstraní se proměnné a další stav. Po restartování znovu spusťte všechny inicializace a ověřovací buňky.

   Pokud chcete začít znovu, vyberte Operace>jádra Restartovat jádro. Příklad:

   

Spuštění kódu v poznámkovém bloku

Vždy spouštět buňky kódu poznámkového bloku v posloupnosti Vynechání buněk může vést k chybám.

V poznámkovém bloku:

• Buňky Markdownu mají text, včetně HTML a statických obrázků.
• Buňky kódu obsahují kód. Po výběru buňky s kódem spusťte kód v buňce tak , že vyberete ikonu Přehrát vlevo od buňky nebo stisknete SHIFT+ENTER.

Například v poznámkovém bloku spusťte následující buňku kódu:

# This is your first code cell. This cell contains basic Python code.

# You can run a code cell by selecting it and then selecting
# the Play button to the left of the cell, or by pressing SHIFT+ENTER.
# Code output displays below the code.

print("Congratulations, you just ran this code cell")

y = 2 + 2

print("2 + 2 =", y)

Ukázkový kód vytvoří tento výstup:

Congratulations, you just ran this code cell

2 + 2 = 4

Proměnné nastavené v buňce kódu poznámkového bloku se uchovávají mezi buňkami, takže můžete buňky zřetězí dohromady. Například následující buňka kódu používá hodnotu y z předchozí buňky:

# Note that output from the last line of a cell is automatically
# sent to the output cell, without needing the print() function.

y + 2

Výstup je:

6

Stažení všech poznámkových bloků Microsoft Sentinelu

Tato část popisuje, jak pomocí Gitu stáhnout všechny poznámkové bloky dostupné v úložišti GitHub microsoft Sentinel přímo do vašeho pracovního prostoru azure machine Učení.

Ukládání poznámkových bloků Microsoft Sentinelu do pracovního prostoru Azure Machine Učení vám umožní snadno je aktualizovat.

1. Z poznámkového bloku Microsoft Sentinelu zadejte do prázdné buňky následující kód a pak buňku spusťte:

   !git clone https://github.com/Azure/Azure-Sentinel-Notebooks.git azure-sentinel-nb
   

   Kopie obsahu úložiště GitHub se vytvoří v adresáři azure-Sentinel-nb ve složce uživatele ve vašem pracovním prostoru Azure Machine Učení.

2. Zkopírujte požadované poznámkové bloky z této složky do svého pracovního adresáře.

3. Pokud chcete poznámkové bloky aktualizovat každou posledními změnami z GitHubu, spusťte:

   !cd azure-sentinel-nb && git pull
   

Související obsah

• Poznámkové bloky Jupyter s funkcemi proaktivního vyhledávání v Microsoft Sentinelu
• Začínáme s poznámkovými bloky Jupyter a MSTICPy v Microsoft Sentinelu