Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Jupyter-Notebooks bieten sowohl umfassende Programmierbarkeit als auch eine große Sammlung von Bibliotheken für Machine Learning, Visualisierung und Datenanalyse. Dies macht Jupyter zu einem überzeugenden Tool für Sicherheitsuntersuchungen und Aufspüren von Sicherheitsrisiken.
Grundlage für Microsoft Sentinel ist der Datenspeicher. Dieser zeichnet sich durch Hochleistungsabfragen, ein dynamisches Schema und die Skalierung auf große Datenvolumen aus. Das Azure-Portal und alle Microsoft Sentinel-Tools greifen über eine gemeinsame API auf diesen Datenspeicher zu. Die gleiche API ist auch für externe Tools wie Jupyter-Notizbücher und Python verfügbar.
Wichtig
Microsoft Sentinel ist im Microsoft Defender-Portal allgemein verfügbar, einschließlich für Kunden ohne Microsoft Defender XDR oder eine E5-Lizenz.
Ab Juli 2026 wird Microsoft Sentinel nur im Defender-Portal unterstützt, und alle verbleibenden Kunden, die das Azure-Portal verwenden, werden automatisch umgeleitet.
Es wird empfohlen, alle Kunden, die Microsoft Sentinel in Azure verwenden, mit der Planung des Übergangs zum Defender-Portal für die vollständige einheitliche Sicherheitsoperationserfahrung von Microsoft Defender zu beginnen. Weitere Informationen finden Sie unter Planen Ihres Wechsels zum Microsoft Defender-Portal für alle Microsoft Sentinel-Kunden.
Gründe für die Verwendung von Jupyter-Notebooks
Viele gängige Aufgaben können im Portal durchgeführt werden, Jupyter erweitert jedoch den Rahmen der Verarbeitung dieser Daten.
Verwenden Sie Notebooks beispielsweise für Folgendes:
- Durchführung von Analysen, die in Microsoft Sentinel standardmäßig nicht enthalten sind, wie zum Beispiel einige Python Machine Learning-Funktionen.
- Erstellen von Datenvisualisierungen , die in Microsoft Sentinel nicht sofort einsatzbereit sind, z. B. benutzerdefinierte Zeitachsen und Prozessstrukturen
- Integrieren sie Datenquellen außerhalb von Microsoft Sentinel, z. B. einen lokalen Datensatz.
Wir haben die Jupyter-Benutzeroberfläche in das Azure-Portal integriert, sodass Sie Notebooks auf einfache Weise erstellen und mit diesen Notebooks Daten analysieren können. Die Kqlmagic-Bibliothek stellt den Klebstoff bereit, mit dem Sie Kusto Query Language (KQL)-Abfragen von Microsoft Sentinel ausführen und sie direkt in einem Notizbuch ausführen können.
Verschiedene von Microsoft-Sicherheitsanalysten entwickelte Notebooks werden mit Microsoft Sentinel verpackt:
- Einige diese Notebooks wurden auf ein bestimmtes Szenario ausgelegt, und sie sind ohne weitere Änderungen sofort verwendungsfähig.
- Andere sollen beispielhaft Techniken und Funktionen veranschaulichen, die Sie kopieren oder für die Verwendung in Ihren eigenen Notebooks anpassen können.
Importieren Sie andere Notizbücher aus dem Microsoft Sentinel GitHub-Repository.
Funktionsweise von Jupyter-Notizbüchern
Notebooks verfügen über zwei Komponenten:
- Die browserbasierte Schnittstelle, in der Sie Abfragen und Code eingeben und ausführen und wo die Ergebnisse der Ausführung angezeigt werden.
- Ein Kernel , der für die Analyse und Ausführung des Codes selbst verantwortlich ist.
Der Kernel des Notebooks in Microsoft Sentinel wird auf einer Azure-VM ausgeführt. Die VM-Instanz kann die gleichzeitige Ausführung vieler Notebooks unterstützen. Wenn Ihre Notebooks komplexe Machine Learning-Modelle umfassen, stehen auch weitere Lizenzierungsoptionen zur Verfügung, um leistungsfähigere VMs nutzen zu können.
Verstehen von Python-Paketen
Die Microsoft Sentinel-Notizbücher verwenden viele beliebte Python-Bibliotheken wie Pandas, Matplotlib, Bokeh und andere. Zahlreiche weitere Python-Pakete stehen zur Auswahl, die u.a. die folgenden Bereiche abdecken:
- Visualisierungen und Grafiken
- Datenverarbeitung und -analyse
- Statistiken und numerisches Computing
- Machine Learning und Deep Learning
Um zu vermeiden, komplexen und sich wiederholenden Code in Notizbuchzellen einzugeben oder einzufügen, basieren die meisten Python-Notizbücher auf Bibliotheken von Drittanbietern, die als Pakete bezeichnet werden. Um ein Paket in einem Notebook zu verwenden, müssen Sie das Paket installieren und importieren. Bei Azure Machine Learning Compute sind die gängigsten Pakete vorinstalliert. Stellen Sie sicher, dass Sie das Paket oder den relevanten Teil des Pakets, z. B. ein Modul, eine Datei, eine Funktion oder eine Klasse, importieren.
Microsoft Sentinel-Notizbücher verwenden ein Python-Paket namens MSTICPy, das eine Sammlung von Cybersicherheitstools zum Abrufen, Analysieren, Anreichern und Visualisieren von Daten ist.
MSTICPy-Tools sollen Sie insbesondere beim Erstellen von Notebooks zum Aufspüren und Untersuchen von Sicherheitsrisiken unterstützen, und wir arbeiten aktiv an neuen Features und Verbesserungen. Weitere Informationen finden Sie unter
- MSTIC Jupyter- und Python-Sicherheitstools-Dokumentation
- Erste Schritte mit Jupyter-Notizbüchern und MSTICPy in Microsoft Sentinel
- Erweiterte Konfigurationen für Jupyter-Notizbücher und MSTICPy in Microsoft Sentinel
Notizbücher suchen
Wählen Sie in Microsoft Sentinel Notizbücher aus, um Notizbücher anzuzeigen, die Microsoft Sentinel bereitstellt. Erfahren Sie mehr über die Verwendung von Notizbüchern bei der Bedrohungssuche und -untersuchung, indem Sie Notizbuchvorlagen wie "Anmeldeinformationsscan in Azure Log Analytics" und "Geführte Untersuchung – Prozesswarnungen" untersuchen.
Weitere von Microsoft erstellte Notizbücher oder Beiträge aus der Community finden Sie im Microsoft Sentinel GitHub-Repository. Verwenden Sie beim Entwickeln Ihrer eigenen Notebooks im Microsoft Sentinel-GitHub-Repository verfügbare Notebooks als nützliche Tools, Veranschaulichungen und Codebeispiele.
Im Verzeichnis
Sample-Notebooksbefinden sich Beispielnotebooks, die mit Daten gespeichert wurden, die die beabsichtigte Ausgabe veranschaulichen.Das Verzeichnis
HowTosenthält Notebooks, die Konzepte wie das Festlegen der Standard-Python-Version oder das Erstellen von Microsoft Sentinel-Lesezeichen aus einem Notebook veranschaulichen.
Verwalten des Zugriffs auf Microsoft Sentinel-Notebooks
Um Jupyter Notebooks in Microsoft Sentinel verwenden zu können, müssen Sie je nach Ihrer Benutzerrolle zuerst über die richtigen Berechtigungen verfügen.
Während Sie Microsoft Sentinel-Notizbücher in JupyterLab oder Jupyter classic ausführen können, werden Notizbücher in Microsoft Sentinel auf einer Azure Machine Learning-Plattform ausgeführt. Zum Ausführen von Notizbüchern in Microsoft Sentinel benötigen Sie einen geeigneten Zugriff auf den Microsoft Sentinel-Arbeitsbereich und einen Azure Machine Learning-Arbeitsbereich.
| Berechtigung | BESCHREIBUNG |
|---|---|
| Microsoft Sentinel-Berechtigungen | Wie bei anderen Microsoft Sentinel-Ressourcen ist für den Zugriff auf Notebooks auf dem Blatt für Microsoft Sentinel-Notebooks die Rolle „Microsoft Sentinel-Leser“, „Microsoft Sentinel-Antwortberechtigter“ oder „Microsoft Sentinel-Mitwirkender“ erforderlich. Weitere Informationen finden Sie unter "Berechtigungen" in Microsoft Sentinel. |
| Azure Machine Learning-Berechtigungen | Ein Azure Machine Learning-Arbeitsbereich ist eine Azure-Ressource. Wie jede andere Azure-Ressource verfügt ein neu erstellter Azure Machine Learning-Arbeitsbereich über Standardrollen. Sie können dem Arbeitsbereich Benutzer hinzufügen und diesen eine dieser integrierten Rollen zuweisen. Weitere Informationen finden Sie unter Azure Machine Learning-Standardrollen und in Azure integrierte Rollen. Wichtig: Der Rollenzugriff kann auf mehrere Ebenen in Azure erweitert werden. Es kann z. B. sein, dass ein Benutzer mit Vollzugriff für einen Arbeitsbereich für die Ressourcengruppe, die diesen Arbeitsbereich enthält, keinen Vollzugriff hat. Weitere Informationen finden Sie unter Funktionsweise von Azure RBAC. Wenn Sie Besitzer eines Azure ML-Arbeitsbereichs sind, können Sie Rollen für den Arbeitsbereich hinzufügen und entfernen und Benutzern Rollen zuweisen. Weitere Informationen finden Sie unter - Azure-Portal - PowerShell - Azure CLI - REST-API - Azure Resource Manager-Vorlagen - Azure Machine Learning CLI Wenn die integrierten Rollen nicht ausreichend sind, können Sie auch benutzerdefinierte Rollen erstellen. Benutzerdefinierte Rollen können über Berechtigung zum Lesen, Schreiben, Löschen und für Computeressourcen in diesem Arbeitsbereich verfügen. Sie können die Rolle auf einer bestimmten Arbeitsbereichsebene, einer bestimmten Ressourcengruppenebene oder einer bestimmten Abonnementebene verfügbar machen. Weitere Informationen finden Sie unter Erstellen einer benutzerdefinierten Rolle. |
Übermitteln von Feedback zu einem Notebook
Senden Sie Feedback, Featureanforderungen, Fehlerberichte oder Verbesserungen für vorhandene Notebooks. Wechseln Sie zum Microsoft Sentinel GitHub-Repository, um ein Problem zu erstellen, oder forken Sie und laden Sie einen Beitrag hoch.
Zugehöriger Inhalt
- Suchen nach Sicherheitsbedrohungen mit Jupyter-Notizbüchern
- Erste Schritte mit Jupyter-Notizbüchern und MSTICPy in Microsoft Sentinel
- Proaktive Suche nach Bedrohungen
- Behalten Sie während der Jagd mit Microsoft Sentinel den Überblick über Daten
Blogs, Videos und andere Ressourcen finden Sie unter:
- (Blogreihe)
- Lernprogramm: Microsoft Sentinel-Notizbücher – Erste Schritte (Video)
- Lernprogramm: Bearbeiten und Ausführen von Jupyter-Notizbüchern, ohne Azure Machine Learning Studio zu verlassen (Video)
- Erkennen von Anmeldeinformationenlecks mithilfe von Azure Sentinel-Notizbüchern (Video)
- Webinar: Grundlagen von Microsoft Sentinel-Notizbüchern (Video)
- Jupyter, msticpy und Microsoft Sentinel