Jupyter Notebooks mit Microsoft Sentinel-Hunting-Funktionen
Jupyter-Notebooks bieten sowohl umfassende Programmierbarkeit als auch eine große Sammlung von Bibliotheken für Machine Learning, Visualisierung und Datenanalyse. Dies macht Jupyter zu einem überzeugenden Tool für Sicherheitsuntersuchungen und Aufspüren von Sicherheitsrisiken.
Grundlage für Microsoft Sentinel ist der Datenspeicher. Dieser zeichnet sich durch Hochleistungsabfragen, ein dynamisches Schema und die Skalierung auf große Datenvolumen aus. Das Azure-Portal und alle Microsoft Sentinel-Tools greifen über eine gemeinsame API auf diesen Datenspeicher zu. Die gleiche API ist auch für externe Tools wie Jupyter Notebooks und Python verfügbar.
Wichtig
Microsoft Sentinel ist als Teil der öffentlichen Vorschau für die einheitliche Security Operations-Plattform im Microsoft Defender-Portal verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.
Gründe für die Verwendung von Jupyter-Notebooks
Viele gängige Aufgaben können im Portal durchgeführt werden, Jupyter erweitert jedoch den Rahmen der Verarbeitung dieser Daten.
Verwenden Sie Notebooks beispielsweise für Folgendes:
- Durchführen von Analysen, die nicht standardmäßig in Microsoft Sentinel enthalten sind, z. B. einige Python-Features für maschinelles Lernen
- Erstellen von Datenvisualisierungen, die nicht standardmäßig in Microsoft Sentinel enthalten sind, z. B. benutzerdefinierte Zeitachsen und Prozessstrukturen
- Integrieren von Datenquellen, die sich außerhalb von Microsoft Sentinel befinden, z. B. eines lokalen Datasets
Wir haben die Jupyter-Benutzeroberfläche in das Azure-Portal integriert, sodass Sie Notebooks auf einfache Weise erstellen und mit diesen Notebooks Daten analysieren können. Mit der Kqlmagic-Bibliothek als verbindende Komponente können Sie KQL-Abfragen (Kusto-Abfragesprache) von Microsoft Sentinel annehmen und diese direkt in einem Notebook ausführen.
Verschiedene von Microsoft-Sicherheitsanalysten entwickelte Notebooks werden mit Microsoft Sentinel verpackt:
- Einige diese Notebooks wurden auf ein bestimmtes Szenario ausgelegt, und sie sind ohne weitere Änderungen sofort verwendungsfähig.
- Andere sollen beispielhaft Techniken und Funktionen veranschaulichen, die Sie kopieren oder für die Verwendung in Ihren eigenen Notebooks anpassen können.
Weitere Notebooks können Sie aus dem Microsoft Sentinel-GitHub-Repository importieren.
Funktionsweise von Jupyter-Notizbüchern
Notebooks verfügen über zwei Komponenten:
- Die browserbasierte Benutzeroberfläche, in der Sie Abfragen und Code eingeben und ausführen und in der die Ergebnisse der Ausführung angezeigt werden.
- Einen Kernel, der für das Analysieren und Ausführen des Codes selbst zuständig ist.
Der Kernel des Notebooks in Microsoft Sentinel wird auf einer Azure-VM ausgeführt. Die VM-Instanz kann die gleichzeitige Ausführung vieler Notebooks unterstützen. Wenn Ihre Notebooks komplexe Machine Learning-Modelle umfassen, stehen auch weitere Lizenzierungsoptionen zur Verfügung, um leistungsfähigere VMs nutzen zu können.
Verstehen von Python-Paketen
Die Microsoft Sentinel-Notebooks nutzen viele beliebte Python-Bibliotheken wie pandas, matplotlib, bokeh und andere. Zahlreiche weitere Python-Pakete stehen zur Auswahl, die u.a. die folgenden Bereiche abdecken:
- Visualisierungen und Grafiken
- Datenverarbeitung und -analyse
- Statistiken und numerisches Computing
- Machine Learning und Deep Learning
Um zu vermeiden, komplexen und sich wiederholenden Code in Notebookzellen eingeben oder einfügen zu müssen, basieren die meisten Python-Notebooks auf Bibliotheken von Drittanbietern, die als Pakete bezeichnet werden. Um ein Paket in einem Notebook zu verwenden, müssen Sie das Paket installieren und importieren. Bei Azure Machine Learning Compute sind die gängigsten Pakete vorinstalliert. Stellen Sie sicher, dass Sie das Paket oder den relevanten Teil des Pakets, z. B. ein Modul, eine Datei, eine Funktion oder eine Klasse, importieren.
Microsoft Sentinel-Notebooks verwenden das Python-Paket MSTICPy, bei dem es sich um eine Sammlung von Cybersicherheitstools für den Datenabruf, die Datenanalyse, die Datenanreicherung und die Datenvisualisierung handelt.
MSTICPy-Tools sollen Sie insbesondere beim Erstellen von Notebooks zum Aufspüren und Untersuchen von Sicherheitsrisiken unterstützen, und wir arbeiten aktiv an neuen Features und Verbesserungen. Weitere Informationen finden Sie unter
- Dokumentation zu MSTIC Jupyter und Python Security Tools
- Erste Schritte mit Jupyter Notebooks und MSTICPy in Microsoft Sentinel
- Erweiterte Konfigurationen für Jupyter Notebooks und MSTICPy in Microsoft Sentinel
Notizbücher suchen
Wählen Sie in Microsoft Sentinel Notebooks aus, um Notebooks anzuzeigen, die von Microsoft Sentinel bereitgestellt wurden. Informieren Sie sich über die Verwendung von Notebooks bei der Bedrohungssuche und -untersuchung, indem Sie sich Notebookvorlagen ansehen, z. B. Anmeldeinformationsüberprüfung in Azure Log Analytics und Interaktive Untersuchung – Prozesswarnung.
Weitere Notizbücher, die von Microsoft erstellt wurden oder von der Community beigetragen wurden, finden Sie imMicrosoft Sentinel-GitHub-Repository. Verwenden Sie beim Entwickeln Ihrer eigenen Notebooks im Microsoft Sentinel-GitHub-Repository verfügbare Notebooks als nützliche Tools, Veranschaulichungen und Codebeispiele.
Im Verzeichnis
Sample-Notebooksbefinden sich Beispielnotebooks, die mit Daten gespeichert wurden, die die beabsichtigte Ausgabe veranschaulichen.Das Verzeichnis
HowTosenthält Notebooks, die Konzepte wie das Festlegen der Standard-Python-Version oder das Erstellen von Microsoft Sentinel-Lesezeichen aus einem Notebook veranschaulichen.
Verwalten des Zugriffs auf Microsoft Sentinel-Notebooks
Um Jupyter Notebooks in Microsoft Sentinel verwenden zu können, müssen Sie je nach Ihrer Benutzerrolle zuerst über die richtigen Berechtigungen verfügen.
Während Sie Microsoft Sentinel-Notebooks in JupyterLab oder Jupyter (klassisch) ausführen können, werden Notebooks in Microsoft Sentinel auf einer Azure Machine Learning-Plattform ausgeführt. Für die Ausführung von Notebooks in Microsoft Sentinel müssen Sie über entsprechenden Zugriff sowohl auf den Microsoft Sentinel-Arbeitsbereich als auch auf einen Azure Machine Learning-Arbeitsbereich verfügen.
| Berechtigung | BESCHREIBUNG |
|---|---|
| Berechtigungen in Microsoft Sentinel | Wie bei anderen Microsoft Sentinel-Ressourcen ist für den Zugriff auf Notebooks in Microsoft Sentinel die Rolle „Microsoft Sentinel-Leser“, „Microsoft Sentinel-Antwortberechtigter“ oder „Microsoft Sentinel-Mitwirkender“ erforderlich. Weitere Informationen hierzu finden Sie unter Berechtigungen in Microsoft Sentinel. |
| Azure Machine Learning-Berechtigungen | Ein Azure Machine Learning-Arbeitsbereich ist eine Azure-Ressource. Wie jede andere Azure-Ressource verfügt ein neu erstellter Azure Machine Learning-Arbeitsbereich über Standardrollen. Sie können dem Arbeitsbereich Benutzer hinzufügen und diesen eine dieser integrierten Rollen zuweisen. Weitere Informationen finden Sie unter Azure Machine Learning-Standardrollen und Integrierte Azure-Rollen. Wichtig: Der Rollenzugriff kann für mehrere Ebenen in Azure gelten. Es kann z. B. sein, dass eine Person mit Besitzerzugriff auf einen Arbeitsbereich für die Ressourcengruppe, die diesen Arbeitsbereich enthält, keinen Besitzerzugriff hat. Weitere Informationen finden Sie unter Funktionsweise von Azure RBAC. Wenn Sie Besitzer oder Besitzerin eines Azure Machine Learning-Arbeitsbereichs sind, können Sie Rollen für den Arbeitsbereich hinzufügen und entfernen und Benutzern/Benutzerinnen Rollen zuweisen. Weitere Informationen finden Sie unter: - Azure-Portal - PowerShell - Azure CLI - REST-API - Azure Resource Manager-Vorlagen - Azure Machine Learning-CLI Wenn die integrierten Rollen nicht ausreichend sind, können Sie auch benutzerdefinierte Rollen erstellen. Benutzerdefinierte Rollen können über Berechtigung zum Lesen, Schreiben, Löschen und für Computeressourcen in diesem Arbeitsbereich verfügen. Sie können die Rolle auf einer bestimmten Arbeitsbereichsebene, einer bestimmten Ressourcengruppenebene oder einer bestimmten Abonnementebene verfügbar machen. Weitere Informationen finden Sie unter Erstellen einer benutzerdefinierten Rolle. |
Übermitteln von Feedback zu einem Notebook
Senden Sie Feedback, Featureanforderungen, Fehlerberichte oder Verbesserungen für vorhandene Notebooks. Im Microsoft Sentinel-GitHub-Repository können Sie ein Problem melden oder einen Beitrag forken und hochladen.
Zugehöriger Inhalt
- Suche nach Sicherheitsbedrohungen mithilfe von Jupyter-Notebooks
- Erste Schritte mit Jupyter Notebooks und MSTICPy in Microsoft Sentinel
- Proactively hunt for threats (Proaktive Ermittlung von Bedrohungen)
- Verfolgen Sie Daten während der Jagd mit Microsoft Sentinel
Blogs, Videos und andere Ressourcen finden Sie unter:
- (Blogreihe)
- Tutorial: Microsoft Sentinel: Notebooks – erste Schritte (Video)
- Tutorial: Bearbeiten und Ausführen von Jupyter Notebooks, ohne Azure Machine Learning Studio zu verlassen (Video)
- Erkennen von Anmeldeinformationenlecks mithilfe von Azure Sentinel-Notebooks (Video)
- Webinar: Grundlagen von Microsoft Sentinel-Notebooks (Video)
- Jupyter, msticpy und Microsoft Sentinel