Bedrohungssuche mit Notebooks
Eine Jupyter Notebook-Instanz ermöglicht Ihnen das Erstellen und Freigeben von Dokumenten mit Livecode, Gleichungen, Visualisierungen und Erklärungstext. Zu den Anwendungsbereichen zählen beispielsweise Datenbereinigung und -transformation, numerische Simulationen, Statistikmodelle und Machine Learning. Jupyter erweitert den Umfang der Aktionen, die Sie mit Microsoft Sentinel-Daten durchführen können. Jupyter bietet sowohl umfassende Programmierbarkeit als auch eine umfangreiche Sammlung für Machine Learning, Visualisierung und Datenanalyse. Diese Attribute machen Jupyter zu einem nützlichen Tool für die Sicherheitsuntersuchung und Bedrohungssuche.
Mehrere Notebooks, die von einigen Sicherheitsanalysten von Microsoft entwickelt wurden, sind im Lieferumfang von Microsoft Sentinel enthalten. Einige diese Notebooks wurden auf ein bestimmtes Szenario ausgelegt, und sie sind ohne weitere Änderungen sofort verwendungsfähig. Bei anderen handelt es sich um Beispiele zur Veranschaulichung von Techniken und Features, die Sie zur Verwendung in Ihren eigenen Notebooks kopieren oder anpassen können. Andere Notebooks können auch aus dem GitHub der Microsoft Sentinel-Community importiert werden.
Notebooks verfügen über zwei Komponenten:
Die browserbasierte Benutzeroberfläche, in der Sie Abfragen und Code eingeben und ausführen und in der die Ausführungsergebnisse angezeigt werden.
Der Kernel ist für das Analysieren und Ausführen des Codes selbst verantwortlich.
Der Kernel eines Microsoft Sentinel-Notebooks wird auf einem virtuellen Azure-Computer (VM) ausgeführt. Wenn Ihre Notebooks komplexe Machine Learning-Modelle umfassen, stehen auch weitere Lizenzierungsoptionen zur Verfügung, um leistungsfähigere VMs nutzen zu können.
Die Microsoft Sentinel-Notebooks verwenden viele beliebte Python-Bibliotheken wie pandas, matplotlib, bokeh usw. Es gibt viele weitere Python-Pakete, aus denen Sie auswählen können, die z. B. folgende Bereiche abdecken:
Visualisierungen und Grafiken
Datenverarbeitung und -analyse
Statistiken und numerisches Computing
Machine Learning und Deep Learning
Das msticpy-Paket wird in vielen der enthaltenen Notebooks verwendet. Msticpy-Tools sollen Sie insbesondere beim Erstellen von Notebooks zur Bedrohungssuche und -untersuchung unterstützen.