Suchen nach Sicherheitsbedrohungen mit Jupyter Notebooks

Starten und führen Sie jupyter Notebooks im Rahmen Ihrer Sicherheitsuntersuchungen und -suche aus, um Ihre Daten programmgesteuert zu analysieren.

In diesem Artikel erstellen Sie einen Azure Machine Learning-Arbeitsbereich, starten das Notebook von Microsoft Sentinel in Ihren Azure Machine Learning-Arbeitsbereich und führen Code im Notebook aus.

Wichtig

Nach dem 31. März 2027 werden Microsoft Sentinel im Azure-Portal nicht mehr unterstützt und sind nur im Microsoft Defender-Portal verfügbar. Alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, werden zum Defender-Portal umgeleitet und verwenden Microsoft Sentinel nur im Defender-Portal.

Wenn Sie weiterhin Microsoft Sentinel im Azure-Portal verwenden, empfehlen wir Ihnen, den Übergang zum Defender-Portal zu planen, um einen reibungslosen Übergang zu gewährleisten und die von Microsoft Defender angebotenen einheitlichen Sicherheitsvorgänge in vollem Umfang zu nutzen.

Voraussetzungen

Es wird empfohlen, sich über Microsoft Sentinel Notebooks zu informieren, bevor Sie die Schritte in diesem Artikel ausführen. Weitere Informationen finden Sie unter Verwenden von Jupyter Notebooks zum Suchen nach Sicherheitsbedrohungen.

Um Microsoft Sentinel Notebooks verwenden zu können, müssen Sie über die folgenden Rollen und Berechtigungen verfügen:

Typ	Details
Microsoft Sentinel	– Die Rolle Microsoft Sentinel Mitwirkender, um Notebooks aus Microsoft Sentinel zu speichern und zu starten
Azure Machine Learning	– Eine Rolle "Besitzer" oder "Mitwirkender" auf Ressourcengruppenebene, um bei Bedarf einen neuen Azure Machine Learning-Arbeitsbereich zu erstellen. – Eine Rolle Mitwirkender im Azure Machine Learning-Arbeitsbereich, in dem Sie Ihre Microsoft Sentinel Notebooks ausführen. Weitere Informationen finden Sie unter Verwalten des Zugriffs auf einen Azure Machine Learning-Arbeitsbereich.

Erstellen eines Azure Machine Learning-Arbeitsbereichs aus Microsoft Sentinel

Wählen Sie zum Erstellen Ihres Arbeitsbereichs eine der folgenden Registerkarten aus, je nachdem, ob Sie einen öffentlichen oder privaten Endpunkt verwenden.

• Es wird empfohlen, einen öffentlichen Endpunkt zu verwenden, wenn Ihr Microsoft Sentinel Arbeitsbereich über einen verfügt, um potenzielle Probleme bei der Netzwerkkommunikation zu vermeiden.
• Wenn Sie einen Azure Machine Learning-Arbeitsbereich in einem virtuellen Netzwerk verwenden möchten, verwenden Sie einen privaten Endpunkt.

Öffentlicher Endpunkt

1. Wählen Sie für Microsoft Sentinel im Azure-Portal unter Bedrohungsverwaltungdie Option Notebooks aus.
   Wählen Sie für Microsoft Sentinel im Defender-PortalMicrosoft Sentinel>Threat Management>Notebooks aus.

2. Wählen Sie Konfigurieren Azure Machine Learning>Neuen AML-Arbeitsbereich erstellen aus.

3. Geben Sie die folgenden Details ein, und wählen Sie dann Weiter aus.

   Feld	Beschreibung
   Abonnement	Wählen Sie das Azure Abonnement aus, das Sie verwenden möchten.
   Ressourcengruppe	Verwenden Sie eine vorhandene Ressourcengruppe in Ihrem Abonnement, oder geben Sie einen Namen ein, um eine neue Ressourcengruppe zu erstellen. Eine Ressourcengruppe enthält verwandte Ressourcen für eine Azure Lösung.
   Arbeitsbereichsname	Geben Sie einen eindeutigen Namen ein, der Ihren Arbeitsbereich identifiziert. Namen müssen in der Ressourcengruppe eindeutig sein. Verwenden Sie einen Namen, der leicht wiederzurücken ist und um sich von Arbeitsbereichen zu unterscheiden, die von anderen Personen erstellt wurden.
   Region	Wählen Sie den Standort aus, der Ihren Benutzern am nächsten ist, und die Datenressourcen, um Ihren Arbeitsbereich zu erstellen.
   Speicherkonto	Ein Speicherkonto wird als Standarddatenspeicher für den Arbeitsbereich verwendet. Sie können eine neue Azure Storage-Ressource erstellen oder eine vorhandene Ressource in Ihrem Abonnement auswählen.
   KeyVault	Ein Schlüsseltresor wird verwendet, um Geheimnisse und andere vertrauliche Informationen zu speichern, die vom Arbeitsbereich benötigt werden. Sie können eine neue Azure Key Vault-Ressource erstellen oder eine vorhandene Ressource in Ihrem Abonnement auswählen.
   Application Insights	Der Arbeitsbereich verwendet Azure-Anwendung Insights, um Überwachungsinformationen zu Ihren bereitgestellten Modellen zu speichern. Sie können eine neue Azure-Anwendung Insights-Ressource erstellen oder eine vorhandene Ressource in Ihrem Abonnement auswählen.
   Containerregistrierung	Eine Containerregistrierung wird verwendet, um Docker-Images zu registrieren, die in Schulungen und Bereitstellungen verwendet werden. Um die Kosten zu minimieren, wird eine neue Azure Container Registry-Ressource erst erstellt, nachdem Sie Ihr erstes Image erstellt haben. Alternativ können Sie die Ressource jetzt erstellen oder eine vorhandene Ressource in Ihrem Abonnement auswählen oder Keine auswählen, wenn Sie keine Containerregistrierung verwenden möchten.

4. Wählen Sie auf der Registerkarte Netzwerk die Option Öffentlichen Zugriff aus allen Netzwerken aktivieren aus.

   Definieren Sie alle relevanten Einstellungen auf den Registerkarten Erweitert oder Tags , und wählen Sie dann Überprüfen + erstellen aus.

5. Überprüfen Sie auf der Registerkarte Überprüfen + erstellen die Informationen, um zu überprüfen, ob sie korrekt sind, und wählen Sie dann Erstellen aus, um mit der Bereitstellung Ihres Arbeitsbereichs zu beginnen. Zum Beispiel:

   

   Die Erstellung Ihres Arbeitsbereichs in der Cloud kann einige Minuten dauern. Während dieser Zeit werden auf der Seite Übersicht des Arbeitsbereichs die aktuellen status und Updates angezeigt, wenn die Bereitstellung abgeschlossen ist.

Privater Endpunkt

Die Schritte in diesem Verfahren beziehen sich gegebenenfalls auf bestimmte Artikel in der Azure Machine Learning-Dokumentation. Weitere Informationen finden Sie unter Erstellen eines sicheren Azure Machine Learning-Arbeitsbereichs.

1. Erstellen Sie eine Jumpbox für virtuelle Computer (VM) in einem virtuellen Netzwerk. Da das virtuelle Netzwerk den Zugriff über das öffentliche Internet einschränkt, wird die Jumpbox als Möglichkeit zum Herstellen einer Verbindung mit Ressourcen hinter dem virtuellen Netzwerk verwendet.

2. Greifen Sie auf die Jumpbox zu, und wechseln Sie dann zu Ihrem Microsoft Sentinel Arbeitsbereich. Es wird empfohlen, Azure Bastion für den Zugriff auf den virtuellen Computer zu verwenden.

3. Wählen Sie für Microsoft Sentinel im Azure-Portal unter Bedrohungsverwaltungdie Option Notebooks aus.
   Wählen Sie für Microsoft Sentinel im Defender-PortalMicrosoft Sentinel>Threat Management>Notebooks aus.

4. Wählen Sie Konfigurieren Azure Machine Learning>Neuen AML-Arbeitsbereich erstellen aus.

5. Geben Sie die folgenden Details ein, und wählen Sie dann Weiter aus.

   Feld	Beschreibung
   Abonnement	Wählen Sie das Azure Abonnement aus, das Sie verwenden möchten.
   Ressourcengruppe	Verwenden Sie eine vorhandene Ressourcengruppe in Ihrem Abonnement, oder geben Sie einen Namen ein, um eine neue Ressourcengruppe zu erstellen. Eine Ressourcengruppe enthält verwandte Ressourcen für eine Azure Lösung.
   Arbeitsbereichsname	Geben Sie einen eindeutigen Namen ein, der Ihren Arbeitsbereich identifiziert. Namen müssen in der Ressourcengruppe eindeutig sein. Verwenden Sie einen Namen, der leicht wiederzurücken ist und um sich von Arbeitsbereichen zu unterscheiden, die von anderen Personen erstellt wurden.
   Region	Wählen Sie den Standort aus, der Ihren Benutzern am nächsten ist, und die Datenressourcen, um Ihren Arbeitsbereich zu erstellen.
   Speicherkonto	Ein Speicherkonto wird als Standarddatenspeicher für den Arbeitsbereich verwendet. Sie können eine neue Azure Storage-Ressource erstellen oder eine vorhandene Ressource in Ihrem Abonnement auswählen.
   KeyVault	Ein Schlüsseltresor wird verwendet, um Geheimnisse und andere vertrauliche Informationen zu speichern, die vom Arbeitsbereich benötigt werden. Sie können eine neue Azure Key Vault-Ressource erstellen oder eine vorhandene Ressource in Ihrem Abonnement auswählen.
   Application Insights	Der Arbeitsbereich verwendet Azure-Anwendung Insights, um Überwachungsinformationen zu Ihren bereitgestellten Modellen zu speichern. Sie können eine neue Azure-Anwendung Insights-Ressource erstellen oder eine vorhandene Ressource in Ihrem Abonnement auswählen.
   Containerregistrierung	Eine Containerregistrierung wird verwendet, um Docker-Images zu registrieren, die in Schulungen und Bereitstellungen verwendet werden. Um die Kosten zu minimieren, wird eine neue Azure Container Registry-Ressource erst erstellt, nachdem Sie Ihr erstes Image erstellt haben. Alternativ können Sie die Ressource jetzt erstellen oder eine vorhandene Ressource in Ihrem Abonnement auswählen oder Keine auswählen, wenn Sie keine Containerregistrierung verwenden möchten.

6. Wählen Sie auf der Registerkarte Netzwerk die Option Öffentlichen Zugriff deaktivieren und privaten Endpunkt verwenden aus. Stellen Sie sicher, dass Sie das gleiche virtuelle Netzwerk wie in der VM-Jumpbox verwenden. Zum Beispiel:

   

7. Definieren Sie alle relevanten Einstellungen auf den Registerkarten Erweitert oder Tags , und wählen Sie dann Überprüfen + erstellen aus.

8. Überprüfen Sie auf der Registerkarte Überprüfen + erstellen die Informationen, um zu überprüfen, ob sie korrekt sind, und wählen Sie dann Erstellen aus, um mit der Bereitstellung Ihres Arbeitsbereichs zu beginnen. Zum Beispiel:

   

   Die Erstellung Ihres Arbeitsbereichs in der Cloud kann einige Minuten dauern. Während dieser Zeit werden auf der Seite Übersicht des Arbeitsbereichs die aktuellen status und Updates angezeigt, wenn die Bereitstellung abgeschlossen ist.

9. Erstellen Sie im Azure Machine Learning Studio auf der Seite Compute eine neue Compute-Instanz. Wählen Sie auf der Registerkarte Erweiterte Einstellungen dasselbe virtuelle Netzwerk aus, das Sie für Ihre VM-Jumpbox verwendet haben. Weitere Informationen finden Sie unter Erstellen und Verwalten eines Azure Machine Learning-Compute-instance.

10. Konfigurieren Sie Ihren Netzwerkdatenverkehr für den Zugriff auf Azure Machine Learning hinter einer Firewall. Weitere Informationen finden Sie unter Konfigurieren von eingehendem und ausgehendem Netzwerkdatenverkehr.

Fahren Sie mit einem der folgenden Schritte fort:

• Wenn Sie nur über eine private Verbindung verfügen: Sie können jetzt über eine der folgenden Methoden auf die Notizbücher zugreifen:

  • Klonen und Starten von Notebooks von Microsoft Sentinel zu Azure Machine Learning
  • Manuelles Hochladen von Notizbüchern in Azure Machine Learning
  • Klonen des GitHub-Repositorys für Microsoft Sentinel Notebooks im Azure Machine Learning-Terminal

• Wenn Sie über eine andere private Verbindung verfügen, die ein anderes VNET verwendet, gehen Sie wie folgt vor:

  1. Navigieren Sie im Azure-Portal zur Ressourcengruppe Ihres Azure Machine Learning-Arbeitsbereichs, und suchen Sie dann nach den Privates DNS Zonenressourcennamens privatelink.api.azureml.ms und privatelink.notebooks.azure.ms. Zum Beispiel:

     

  2. Fügen Sie für jede Ressource, einschließlich privatelink.api.azureml.ms und privatelink.notebooks.azure.ms, eine virtuelle Netzwerkverbindung hinzu.

     Wählen Sie die Ressource >Virtuelles Netzwerk links>Hinzufügen aus. Weitere Informationen finden Sie unter Verknüpfen des virtuellen Netzwerks.

Weitere Informationen finden Sie unter:

• Netzwerkdatenverkehr bei Verwendung eines geschützten Arbeitsbereichs
• Schützen Azure Machine Learning-Arbeitsbereichsressourcen mithilfe virtueller Netzwerke (VNETs)

Wechseln Sie nach Abschluss der Bereitstellung zurück zu Notebooks in Microsoft Sentinel, und starten Sie Notebooks aus Ihrem neuen Azure Machine Learning-Arbeitsbereich.

Wenn Sie über mehrere Notebooks verfügen, stellen Sie sicher, dass Sie einen STANDARD-AML-Arbeitsbereich auswählen, der beim Starten Ihrer Notebooks verwendet werden soll. Zum Beispiel:

Starten eines Notebooks in Ihrem Azure Machine Learning-Arbeitsbereich

Nachdem Sie einen Azure Machine Learning-Arbeitsbereich erstellt haben, starten Sie Ihr Notebook in diesem Arbeitsbereich aus Microsoft Sentinel. Beachten Sie, dass Sie Notebooks im Azure Machine Learning-Arbeitsbereich nicht über Microsoft Sentinel starten können, wenn private Endpunkte oder Einschränkungen für den Zugriff auf öffentliche Netzwerke in Ihrem Azure-Speicherkonto aktiviert sind. Sie müssen die Notebookvorlage aus Microsoft Sentinel kopieren und das Notizbuch in die Azure Machine Learning Studio hochladen.

Führen Sie die folgenden Schritte aus, um Ihr Microsoft Sentinel Notebook in Ihrem Azure Machine Learning-Arbeitsbereich zu starten.

1. Wählen Sie für Microsoft Sentinel im Azure-Portal unter Bedrohungsverwaltungdie Option Notebooks aus.
   Wählen Sie für Microsoft Sentinel im Defender-PortalMicrosoft Sentinel>Threat Management>Notebooks aus.

2. Wählen Sie die Registerkarte Vorlagen aus, um die Notizbücher anzuzeigen, die Microsoft Sentinel bereitstellt.

3. Wählen Sie ein Notebook aus, um dessen Beschreibung, erforderliche Datentypen und Datenquellen anzuzeigen.

4. Wenn Sie das notebook gefunden haben, das Sie verwenden möchten, wählen Sie Aus Vorlage erstellen und Speichern aus, um es in Ihrem eigenen Arbeitsbereich zu klonen. Es können nur Azure Machine Learning-Arbeitsbereiche im selben Abonnement ausgewählt werden.

5. Bearbeiten Sie den Namen nach Bedarf. Wenn das Notebook bereits in Ihrem Arbeitsbereich vorhanden ist, überschreiben Sie das vorhandene Notebook, oder erstellen Sie ein neues Notebook. Standardmäßig wird Ihr Notizbuch im Verzeichnis /Users/<Your_User_Name>/ des ausgewählten AML-Arbeitsbereichs gespeichert.

   

6. Nachdem das Notebook gespeichert wurde, ändert sich die Schaltfläche Notizbuch speichern in Notebook starten. Wählen Sie Notebook starten aus, um es in Ihrem AML-Arbeitsbereich zu öffnen.

   Zum Beispiel:

   

7. Wählen Sie oben auf der Seite einen Compute-instance aus, der für Ihren Notebookserver verwendet werden soll.

   Wenn Sie nicht über eine Compute-instance verfügen, erstellen Sie eine neue. Wenn Ihre Compute-instance beendet wurde, stellen Sie sicher, dass Sie sie starten. Weitere Informationen finden Sie unter Ausführen eines Notebooks im Azure Machine Learning Studio.

   Nur Sie können die von Ihnen erstellten Compute-Instanzen anzeigen und verwenden. Ihre Benutzerdateien werden getrennt von der VM gespeichert und für alle Compute-Instanzen im Arbeitsbereich freigegeben.

   Wenn Sie eine neue Compute-instance erstellen, um Ihre Notebooks zu testen, erstellen Sie Ihre Compute-instance mit der Kategorie Universell.

   Der Kernel wird auch oben rechts im Azure Machine Learning-Fenster angezeigt. Wenn der benötigte Kernel nicht ausgewählt ist, wählen Sie in der Dropdownliste eine andere Version aus.

8. Nachdem Ihr Notebook-Server erstellt und gestartet wurde, führen Sie Ihre Notebookzellen aus. Wählen Sie in jeder Zelle das Symbol Ausführen aus, um Ihren Notebookcode auszuführen.

   Weitere Informationen finden Sie unter Tastenkombinationen für den Befehlsmodus.

9. Wenn Ihr Notebook hängt oder Sie von vorn beginnen möchten, können Sie den Kernel neu starten und die Notebookzellen von Anfang an erneut ausführen. Wenn Sie den Kernel neu starten, werden Variablen und andere Zustände gelöscht. Führen Sie alle Initialisierungs- und Authentifizierungszellen nach dem Neustart erneut aus.

   Um von vorn zu beginnen, wählen Sie Kernelvorgänge>Kernel neu starten aus. Zum Beispiel:

   

Ausführen von Code in Ihrem Notebook

Führen Sie Notebookcodezellen immer nacheinander aus. Das Überspringen von Zellen kann zu Fehlern führen.

In einem Notizbuch:

• Markdownzellen enthalten Text, einschließlich HTML, und statische Bilder.
• Codezellen enthalten Code. Nachdem Sie eine Codezelle ausgewählt haben, führen Sie den Code in der Zelle aus, indem Sie das Wiedergabesymbol links neben der Zelle auswählen oder UMSCHALT+EINGABETASTE drücken.

Führen Sie beispielsweise die folgende Codezelle in Ihrem Notebook aus:

# This is your first code cell. This cell contains basic Python code.

# You can run a code cell by selecting it and then selecting
# the Play button to the left of the cell, or by pressing SHIFT+ENTER.
# Code output displays below the code.

print("Congratulations, you just ran this code cell")

y = 2 + 2

print("2 + 2 =", y)

Der Beispielcode erzeugt diese Ausgabe:

Congratulations, you just ran this code cell

2 + 2 = 4

Variablen, die in einer Notebook-Codezelle festgelegt sind, bleiben zwischen Zellen erhalten, sodass Sie Zellen miteinander verketten können. Die folgende Codezelle verwendet beispielsweise den Wert von y aus der vorherigen Zelle:

# Note that output from the last line of a cell is automatically
# sent to the output cell, without needing the print() function.

y + 2

Die Ausgabe lautet:

6

Herunterladen aller Microsoft Sentinel Notebooks

In diesem Abschnitt wird beschrieben, wie Sie git verwenden, um alle notebooks, die im Microsoft Sentinel GitHub-Repository verfügbar sind, aus einem Microsoft Sentinel Notebook direkt in Ihren Azure Machine Learning-Arbeitsbereich herunterzuladen.

Wenn Sie die Microsoft Sentinel Notebooks in Ihrem Azure Machine Learning-Arbeitsbereich speichern, können Sie sie problemlos auf dem neuesten Stand halten.

1. Geben Sie in einem Microsoft Sentinel Notebook den folgenden Code in eine leere Zelle ein, und führen Sie dann die Zelle aus:

   !git clone https://github.com/Azure/Azure-Sentinel-Notebooks.git azure-sentinel-nb
   

   Eine Kopie des GitHub-Repositoryinhalts wird im Verzeichnis azure-Sentinel-nb in Ihrem Benutzerordner in Ihrem Azure Machine Learning-Arbeitsbereich erstellt.

2. Kopieren Sie die gewünschten Notizbücher aus diesem Ordner in Ihr Arbeitsverzeichnis.

3. Führen Sie Folgendes aus, um Ihre Notebooks mit allen aktuellen Änderungen von GitHub zu aktualisieren:

   !cd azure-sentinel-nb && git pull
   

Verwandte Inhalte

• Jupyter Notebooks mit Microsoft Sentinel Hunting-Funktionen
• Erste Schritte mit Jupyter Notebooks und MSTICPy in Microsoft Sentinel