Freigeben über


Suche nach Sicherheitsbedrohungen mithilfe von Jupyter-Notebooks

Im Rahmen Ihrer Sicherheitsuntersuchungen und Bedrohungssuchen können Sie Jupyter-Notebooks starten und ausführen, um Ihre Daten programmgesteuert zu analysieren.

In diesem Artikel erstellen Sie einen Azure Machine Learning-Arbeitsbereich, starten Notizbuch von Microsoft Sentinel in Ihren Azure Machine Learning-Arbeitsbereich und führen Code im Notizbuch aus.

Wichtig

Microsoft Sentinel ist jetzt in der Microsoft Unified Security Operations Platform im Microsoft Defender-Portal allgemein verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Voraussetzungen

Wir empfehlen, dass Sie sich über Microsoft Sentinel-Notebooks informieren, bevor Sie die Schritte in diesem Artikel ausführen. Lesen Sie dazu Verwendung von Jupyter-Notebooks für die Suche nach Sicherheitsbedrohungen.

Um Microsoft Sentinel-Notebooks verwenden zu können, müssen Sie die folgenden Rollen und Berechtigungen haben:

Typ Details
Microsoft Sentinel - Die Rolle Microsoft Sentinel-Mitwirkender zum Speichern und Starten von Notebooks aus Microsoft Sentinel heraus.
Azure Machine Learning - Eine Rolle Inhaber oder Mitwirkender auf Ressourcengruppenebene, um bei Bedarf einen neuen Azure Machine Learning-Arbeitsbereich zu erstellen.
- Eine Rolle Mitwirkender im Azure Machine Learning-Arbeitsbereich, in dem Sie Ihre Microsoft Sentinel-Notebooks ausführen.

Weitere Informationen finden Sie unter Zugriff auf einen Azure Machine Learning-Arbeitsbereich verwalten.

Erstellen Sie Ihren Azure Machine Learning-Arbeitsbereich aus Microsoft Sentinel

Wählen Sie zum Erstellen Ihres Arbeitsbereichs eine der folgenden Registerkarten aus – je nachdem, ob Sie einen öffentlichen oder privaten Endpunkt verwenden.

  • Es wird empfohlen, einen öffentlichen Endpunkt zu verwenden, wenn Ihr Microsoft Sentinel-Arbeitsbereich über einen öffentlichen Endpunkt verfügt, um potenzielle Probleme bei der Netzwerkkommunikation zu vermeiden.
  • Wenn Sie einen Azure Machine Learning-Arbeitsbereich in einem virtuellen Netzwerk verwenden möchten, verwenden Sie einen privaten Endpunkt.
  1. Wählen Sie für Microsoft Sentinel im Azure-Portal unter Verwaltung von Bedrohungen die Option Notebooks aus.
    Wählen Sie für Microsoft Sentinel im Defender-Portal die Option Microsoft Sentinel>Verwaltung von Bedrohungen>Notebooks aus.

  2. Wählen Sie Azure Machine Learning konfigurieren>Neuen AML-Arbeitsbereich erstellen.

  3. Geben Sie die folgenden Informationen ein, und wählen Sie dann Weiter aus:

    Feld BESCHREIBUNG
    Abonnement Wählen Sie das gewünschte Azure-Abonnement aus.
    Ressourcengruppe Verwenden Sie eine vorhandene Ressourcengruppe in Ihrem Abonnement, oder geben Sie einen Namen ein, um eine neue Ressourcengruppe zu erstellen. Eine Ressourcengruppe enthält verwandte Ressourcen für eine Azure-Lösung.
    Arbeitsbereichsname Geben Sie einen eindeutigen Namen ein, der Ihren Arbeitsbereich identifiziert. Namen müssen in der Ressourcengruppe eindeutig sein. Verwenden Sie einen Namen, der leicht zu merken ist und sich von den von anderen Benutzern erstellten Arbeitsbereichen unterscheidet.
    Region Wählen Sie den Standort aus, der Ihren Benutzern und den Datenressourcen am nächsten ist, um Ihren Arbeitsbereich zu erstellen.
    Speicherkonto Ein Speicherkonto wird als Standarddatenspeicher für den Arbeitsbereich verwendet. Sie können eine neue Azure Storage-Ressource erstellen oder eine in Ihrem Abonnement vorhandene Ressource auswählen.
    KeyVault Ein Schlüsseltresor wird zum Speichern von Geheimnissen und anderen vertraulichen Informationen verwendet, die vom Arbeitsbereich benötigt werden. Sie können eine neue Azure Key Vault-Ressource erstellen oder eine in Ihrem Abonnement vorhandene Ressource auswählen.
    Application Insights Der Arbeitsbereich verwendet Azure Application Insights, um Überwachungsinformationen zu Ihren bereitgestellten Modellen zu speichern. Sie können eine neue Azure Application Insights-Ressource erstellen oder eine in Ihrem Abonnement vorhandene Ressource auswählen.
    Containerregistrierung Eine Containerregistrierung wird verwendet, um Docker-Images zu registrieren, die zu Trainingszwecken und in Bereitstellungen verwendet werden. Um Kosten zu minimieren, wird erst dann eine neue Azure Container Registry-Ressource erstellt, nachdem Sie Ihr erstes Image erstellt haben. Alternativ können Sie jetzt die Ressource erstellen oder eine vorhandene Ressource in Ihrem Abonnement auswählen oder aber Keine auswählen, wenn Sie keine Containerregistrierung verwenden möchten.
  4. Wählen Sie auf der Registerkarte Netzwerk die Option Öffentlichen Zugriff über alle Netzwerke aktivieren aus.

    Legen Sie auf den Registerkarten Erweitert oder Tags alle relevanten Einstellungen fest, und wählen Sie dann Überprüfen und erstellen aus.

  5. Überprüfen Sie auf der Registerkarte Überprüfen + erstellen, ob die Informationen korrekt sind, und klicken Sie dann auf Erstellen, um die Bereitstellung Ihres Arbeitsbereichs zu starten. Zum Beispiel:

    Überprüfen und erstellen Sie Ihren Machine Learning-Arbeitsbereich aus Microsoft Sentinel.

    Die Erstellung des Arbeitsbereichs in der Cloud kann einige Minuten dauern. Während dieser Zeit wird auf der Seite Übersicht des Arbeitsbereichs der aktuelle Bereitstellungsstatus angezeigt. Wenn die Bereitstellung abgeschlossen ist, wird dieser aktualisiert.

Nachdem Ihre Bereitstellung abgeschlossen ist, kehren Sie zu Notizbüchern in Microsoft Sentinel zurück, und starten Sie Notizbücher aus Ihrem neuen Azure Machine Learning-Arbeitsbereich.

Wenn Sie über mehrere Notebooks verfügen, stellen Sie sicher, dass Sie einen Standard-AML-Arbeitsbereich auswählen, der beim Starten Ihrer Notebooks verwendet werden soll. Zum Beispiel:

Wählen Sie einen Standardarbeitsbereich AML für Ihre Notebooks aus.

Starten eines Notizbuchs in Ihrem Azure Machine Learning-Arbeitsbereich

Nachdem Sie einen Azure Machine Learning-Arbeitsbereich erstellt haben, starten Sie Ihr Notebook in diesem Arbeitsbereich über Microsoft Sentinel. Wenn Sie private Endpunkte in Ihrem Azure-Speicherkonto aktiviert haben, ist es nicht möglich, Notebooks im Azure Machine Learning-Arbeitsbereich über Microsoft Sentinel zu starten. Sie müssen die Notebookvorlage aus Microsoft Sentinel kopieren und das Notebook in Azure Machine Learning Studio hochladen.

Führen Sie die folgenden Schritte aus, um Ihr Microsoft Sentinel-Notebook in Ihrem Azure Machine Learning-Arbeitsbereich zu starten.

  1. Wählen Sie für Microsoft Sentinel im Azure-Portal unter Verwaltung von Bedrohungen die Option Notebooks aus.
    Wählen Sie für Microsoft Sentinel im Defender-Portal die Option Microsoft Sentinel>Verwaltung von Bedrohungen>Notebooks aus.

  2. Wählen Sie die Registerkarte Vorlagen aus, um die von Microsoft Sentinel bereitgestellten Notizbücher anzuzeigen.

  3. Wählen Sie ein Notebook aus, um dessen Beschreibung, erforderliche Datentypen und Datenquellen anzuzeigen.

  4. Wenn Sie das gewünschte Notebook gefunden haben, wählen Sie Aus Vorlage erstellen und Speichern aus, um es in Ihren eigenen Arbeitsbereich zu klonen.

  5. Bearbeiten Sie den Namen nach Bedarf. Wenn das Notebook bereits in Ihrem Arbeitsbereich vorhanden ist, überschreiben Sie das vorhandene Notebook oder erstellen Sie ein neues. Standardmäßig wird Ihr Notebook im Verzeichnis „/Benutzer/<Ihr_Benutzername>/“ des ausgewählten AML-Arbeitsbereichs gespeichert.

    Speichern Sie ein Notebook, um es in Ihren eigenen Arbeitsbereich zu klonen.

  6. Nachdem das Notebook gespeichert wurde, ändert sich die Schaltfläche Notebook speichern in Notebook starten. Wählen Sie Notebook starten aus, um es in Ihrem AML-Arbeitsbereich zu öffnen.

    Zum Beispiel:

    Starten Sie Ihr Notebook in Ihrem AML-Arbeitsbereich.

  7. Wählen Sie oben auf der Seite eine Compute-Instanz aus, die für Ihren Notebook-Server verwendet werden soll.

    Wenn Sie über keine Compute-Instanz verfügen, erstellen Sie eine neue. Wenn Ihre Compute-Instanz beendet wurde, müssen Sie sie starten. Weitere Informationen finden Sie unter Ausführen eines Notebooks in Azure Machine Learning Studio.

    Nur Sie können die von Ihnen erstellten Computeinstanzen sehen und verwenden. Ihre Benutzerdateien werden getrennt vom virtuellen Computer gespeichert und von allen Computeinstanzen im Arbeitsbereich gemeinsam genutzt.

    Wenn Sie eine neue Compute-Instanz erstellen, um Ihre Notebooks zu testen, erstellen Sie Ihre Compute-Instanz mit der Kategorie Universell.

    Der Kernel wird auch rechts oben in Ihrem Azure Machine Learning-Fenster angezeigt. Wenn der von Ihnen benötigte Kernel nicht ausgewählt ist, wählen Sie in der Dropdownliste eine andere Version aus.

  8. Nachdem der Notebookserver erstellt und gestartet wurde, führen Sie Ihre Notebookzellen aus. Wählen Sie in jeder Zelle das Symbol Ausführen aus, um Ihren Notebookcode auszuführen.

    Weitere Informationen finden Sie unter Tastenkombinationen im Befehlsmodus.

  9. Wenn Ihr Notebook nicht mehr reagiert oder Sie von vorn beginnen möchten, können Sie den Kernel neu starten und die Notebookzellen von Anfang an erneut ausführen. Wenn Sie den Kernel neu starten, werden Variablen und der sonstige Zustand gelöscht. Führen Sie alle Initialisierungs- und Authentifizierungszellen nach dem Neustart erneut aus.

    Wählen Sie dazu Kernelvorgänge>Kernel neu starten aus. Beispiel:

    Starten Sie einen Notebookkernel neu.

Ausführen von Code in Ihrem Notebook

Führen Sie Notebook-Codezellen immer nacheinander aus. Das Überspringen von Zellen kann zu Fehlern führen.

In einem Notebook:

  • Markdownzellen enthalten Text, einschließlich HTML, und statische Bilder.
  • Codezellen enthalten Code. Nachdem Sie eine Codezelle ausgewählt haben, führen Sie den Code in der Zelle aus, indem Sie links neben der Zelle das Symbol Wiedergeben auswählen oder indem Sie UMSCHALT+EINGABE drücken.

Führen Sie beispielsweise die folgende Codezelle in Ihrem Notebook aus:

# This is your first code cell. This cell contains basic Python code.

# You can run a code cell by selecting it and then selecting
# the Play button to the left of the cell, or by pressing SHIFT+ENTER.
# Code output displays below the code.

print("Congratulations, you just ran this code cell")

y = 2 + 2

print("2 + 2 =", y)

Der Beispielcode erzeugt diese Ausgabe:

Congratulations, you just ran this code cell

2 + 2 = 4

Variablen, die in einer Notebook-Codezelle festgelegt werden, bleiben zwischen Zellen bestehen, so dass Sie Zellen miteinander verketten können. Die folgende Codezelle verwendet beispielsweise den Wert y aus der vorherigen Zelle:

# Note that output from the last line of a cell is automatically
# sent to the output cell, without needing the print() function.

y + 2

Die Ausgabe ist:

6

Herunterladen aller Microsoft Sentinel-Notebooks

In diesem Abschnitt wird beschrieben, wie Sie Git verwenden, um alle Notebooks, die im Microsoft Sentinel-GitHub-Repository verfügbar sind, aus einem Microsoft Sentinel-Notebook, direkt in Ihren Azure Machine Learning-Arbeitsbereich herunterzuladen.

Wenn Sie die Microsoft Sentinel-Notizbücher in Ihrem Azure Machine Learning-Arbeitsbereich speichern, können Sie sie auf einfache Weise aktualisieren.

  1. Geben Sie in einem Microsoft Sentinel-Notebook den folgenden Code in eine leere Zelle ein, und führen Sie dann die Zelle aus:

    !git clone https://github.com/Azure/Azure-Sentinel-Notebooks.git azure-sentinel-nb
    

    Eine Kopie des GitHub-Repositoryinhalts wird im Verzeichnis azure-Sentinel-nb in Ihrem Benutzerordner Ihres Azure Machine Learning-Arbeitsbereichs erstellt.

  2. Kopieren Sie die gewünschten Notebooks aus diesem Ordner in Ihr Arbeitsverzeichnis.

  3. Wenn Sie Ihre Notebooks mit aktuellen Änderungen von GitHub aktualisieren möchten, führen Sie Folgendes aus:

    !cd azure-sentinel-nb && git pull