Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Jupyter-muistikirjat ovat olennainen osa Microsoft Sentinel Data Lake -ekosysteemiä ja tarjoavat tehokkaita työkaluja tietojen analysointiin ja visualisointiin. Muistikirjat tarjotaan Microsoft Sentinel Visual Studio Code -laajennuksella, jonka avulla voit käsitellä Data Lakea Käyttämällä Python for Sparkia (PySpark). Muistikirjojen avulla voit suorittaa monimutkaisia tietojen muunnoksia, suorittaa koneoppimismalleja ja luoda visualisointeja suoraan muistikirjaympäristössä.
Microsoft Sentinel Visual Studio Code -laajennus Jupyter-muistikirjoilla tarjoaa tehokkaan ympäristön järvien tietojen tutkimiseen ja analysointiin seuraavien etujen avulla:
- Vuorovaikutteinen tietojen tutkiminen: Jupyter-muistikirjat tarjoavat vuorovaikutteisen ympäristön tietojen tutkimista ja analysointia varten. Voit suorittaa koodikatkelmia, visualisoida tuloksia ja dokumentoida havaintosi kaikki yhteen paikkaan.
- Integrointi Python-kirjastojen kanssa: Microsoft Sentinel laajennus sisältää laajan valikoiman Python-kirjastoja, joiden avulla voit käyttää olemassa olevia työkaluja ja kehyksiä tietojen analysointiin, koneoppimiseen ja visualisointiin.
- Tehokas tietoanalyysi: Apache Spark -käsittelyistuntojen integroinnin myötä voit hyödyntää hajautetun tietojenkäsittelyn tehoa suurten tietojoukkojen tehokkaaseen analysointiin. Näin voit suorittaa monimutkaisia muunnoksia ja koosteita suojaustiedoillasi.
- Matalat ja hitaat hyökkäykset: Analysoi laajamittaisia, monimutkaisia, toisiinsa yhdistettyjä tietoja, jotka liittyvät suojaustapahtumiin, hälytyksiin ja tapauksiin, mikä mahdollistaa kehittyneiden uhkien ja mallien, kuten sivusuuntaisten liikkeiden tai vähäisten ja hitaiden hyökkäysten, havaitsemisen, jotka voivat välttää perinteisiä sääntöpohjaisia järjestelmiä.
- Tekoälyn ja koneoppimisen integrointi: Integroi tekoälyn ja koneoppimisen avulla voit parantaa poikkeamien havaitsemista, uhkien ennakointia ja käyttäytymisanalyyseja ja antaa tietoturvatiimeille mahdollisuuden rakentaa agentteja tutkimustensa automatisoimiseksi.
- Skaalautuvuus: Muistikirjat tarjoavat skaalattavuuden suurten tietomäärien käsittelyyn kustannustehokkaasti ja mahdollistavat syvän eräkäsittelyn trendien, mallien ja poikkeamien paljastamiseksi.
- Visualisointiominaisuudet: Jupyter-muistikirjat tukevat eri visualisointikirjastoja, ja niiden avulla voit luoda tiedoistasi kaavioita, kuvaajia ja muita visuaalisia esityksiä, mikä auttaa sinua saamaan merkityksellisiä tietoja ja viestimään löydöksistä tehokkaasti.
- Yhteistyö ja jakaminen: Jupyter-muistikirjat voidaan jakaa helposti työtovereiden kanssa, mikä mahdollistaa yhteistyön tietojen analysointiprojekteissa. Voit viedä muistikirjoja eri muodoissa, kuten HTML: ssä ja PDF: ssä, jakamisen ja esittämisen helpottamiseksi.
- Dokumentaatio ja toistettavuus: Jupyter-muistikirjojen avulla voit dokumentoida koodisi, analyysisi ja havaintosi yhteen tiedostoon, mikä helpottaa tulosten toistamista ja työn jakamista muiden kanssa.
Muistikirjojen järventutkimusskenaariot
Seuraavissa skenaarioissa kuvataan, miten Microsoft Sentinel Lake -järven Jupyter-muistikirjoja voidaan käyttää parantamaan suojaustoimintoja:
| Skenaario | Kuvaus |
|---|---|
| Käyttäjän toiminta epäonnistuneiden sisäänkirjautumisten jälkeen | Muodosta normaalin käyttäjän toiminnan perustaso analysoimalla epäonnistuneiden kirjautumisyritysten malleja. Tutki toimintoja, joita yritettiin ennen epäonnistuneita kirjautumisia ja sen jälkeen mahdollisten vaarantumis- tai raakavoimatoimintojen havaitsemiseksi. |
| Luottamukselliset tietopolut | Tunnista käyttäjät ja laitteet, joilla on pääsy luottamuksellisiin tietoresursseilla. Yhdistä käyttöoikeuslokit organisaatiokontekstiin, jotta voit arvioida riskejä, määrittää käyttöoikeuspolkuja ja priorisoida alueita tietoturvatarkistusta varten. |
| Poikkeamien uhka-analyysi | Analysoi uhkia tunnistamalla poikkeamat vakiintuneista perusaikatauluista, kuten kirjautumiset epätavallisista sijainneista, laitteista tai ajoista. Kerro käyttäjien toiminta resurssitieduksilla suuren riskin toiminnan, mukaan lukien mahdollisten insider-uhkien, tunnistamiseksi. |
| Riskien pisteytyksen priorisointi | Käytä mukautettuja riskien pisteytysmalleja Data Lake -järjestelmän suojaustapahtumiin. Täydennä tapahtumia tilannekohtaisilla signaaleilla, kuten omaisuuden kriittisyyteen ja käyttäjän rooliin, jotta voidaan mitata riskejä, arvioida räjähdyssädettä ja priorisoida tapaukset tutkintaa varten. |
| Valmisteleva analyysi ja visualisointi | Suorita tutkivia tietoanalyyseja useissa lokilähteissä, jotta voit rekonstruoida hyökkäyksen aikajanoja, määrittää perimmäiset syyt ja luoda mukautettuja visualisointeja, jotka auttavat viestimään havainnoista sidosryhmille. |
Kirjoittaminen lake- ja analytiikkatasolle
Voit kirjoittaa tietoja lake-tasolle ja analytiikkatasolle muistikirjojen avulla. Visual Studio Coden Microsoft Sentinel -laajennus tarjoaa PySpark Python -kirjaston, joka abstraktii lake- ja analytiikkatasoille kirjoittamisen monimutkaisuuden. Luokan funktion MicrosoftSentinelProvidersave_as_table() avulla voit kirjoittaa tietoja mukautettuihin taulukoihin tai liittää tietoja lake-tason tai analytiikkatason olemassa oleviin taulukoihin. Lisätietoja on artikkelissa Microsoft Sentinel Provider-luokan viite.
Työt ja ajoitus
Voit ajoittaa työt suoritettaviksi tiettynä aikana tai tietyin väliajoin Visual Studio Coden Microsoft Sentinel -laajennuksen avulla. Töiden avulla voit automatisoida tietojen käsittelytehtäviä, jotta voit tehdä yhteenvedon, muuntaa tai analysoida Microsoft Sentinel Data Lake -tallennustilan tietoja. Töiden avulla voit käsitellä tietoja ja kirjoittaa tuloksia lake-tason tai analytiikkatason mukautettuihin taulukoihin. Lisätietoja on artikkelissa Jupyter-muistikirjatöiden luominen ja hallinta.