Rechercher les menaces de sécurité avec les notebooks Jupyter

Dans le cadre de vos investigations de sécurité et de votre repérage, lancez et exécutez des notebooks Jupyter pour analyser vos données par programmation.

Dans cet article, vous allez créer un espace de travail Machine Learning Azure, lancer un notebook à partir de Microsoft Sentinel dans votre espace de travail Machine Learning Azure et exécuter du code dans le bloc-notes.

Importante

Après le 31 mars 2027, Microsoft Sentinel ne seront plus pris en charge dans le Portail Azure et ne seront disponibles que dans le portail Microsoft Defender. Tous les clients qui utilisent Microsoft Sentinel dans le Portail Azure sont redirigés vers le portail Defender et utilisent Microsoft Sentinel dans le portail Defender uniquement.

Si vous utilisez toujours Microsoft Sentinel dans le Portail Azure, nous vous recommandons de commencer à planifier votre transition vers le portail Defender pour garantir une transition en douceur et tirer pleinement parti de l’expérience unifiée des opérations de sécurité offerte par Microsoft Defender.

Configuration requise

Nous vous recommandons d’en savoir plus sur les notebooks Microsoft Sentinel avant d’effectuer les étapes décrites dans cet article. Consultez Utiliser des notebooks Jupyter pour rechercher les menaces de sécurité.

Pour utiliser Microsoft Sentinel notebooks, vous devez disposer des rôles et autorisations suivants :

Type	Détails
Microsoft Sentinel	- Rôle Contributeur Microsoft Sentinel, afin d’enregistrer et de lancer des notebooks à partir de Microsoft Sentinel
Azure Machine Learning	- Un rôle Propriétaire ou Contributeur au niveau du groupe de ressources, pour créer un espace de travail Machine Learning Azure si nécessaire. - Un rôle Contributeur sur l’espace de travail Machine Learning Azure où vous exécutez vos notebooks Microsoft Sentinel. Pour plus d’informations, consultez Gérer l’accès à un espace de travail Machine Learning Azure.

Créer un espace de travail Machine Learning Azure à partir de Microsoft Sentinel

Pour créer votre espace de travail, sélectionnez l’un des onglets suivants, selon que vous utilisez un point de terminaison public ou privé.

• Nous vous recommandons d’utiliser un point de terminaison public lorsque votre espace de travail Microsoft Sentinel en possède un, afin d’éviter les problèmes potentiels de communication réseau.
• Si vous souhaitez utiliser un espace de travail Machine Learning Azure dans un réseau virtuel, utilisez un point de terminaison privé.

Point de terminaison public

1. Pour Microsoft Sentinel dans le Portail Azure, sous Gestion des menaces, sélectionnez Notebooks.
   Pour Microsoft Sentinel dans le portail Defender, sélectionnez Microsoft Sentinel>Notebooks de gestion>.

2. Sélectionnez Configurer Azure Machine Learning>Créer un espace de travail AML.

3. Entrez les détails suivants, puis sélectionnez Suivant.

   Field	Description
   Subscription	Sélectionnez l’abonnement Azure que vous souhaitez utiliser.
   Groupe de ressources	Utilisez un groupe de ressources existant dans votre abonnement ou entrez un nom pour créer un groupe de ressources. Un groupe de ressources contient les ressources associées pour une solution Azure.
   Nom de l’espace de travail	Entrez un nom unique qui identifie votre espace de travail. Les noms doivent être uniques dans le groupe de ressources. Utilisez un nom facile à rappeler et à différencier des espaces de travail créés par d’autres personnes.
   Région	Sélectionnez l’emplacement le plus proche de vos utilisateurs et les ressources de données pour créer votre espace de travail.
   Compte de stockage	Un compte de stockage est utilisé comme magasin de données par défaut pour l’espace de travail. Vous pouvez créer une ressource de stockage Azure ou en sélectionner une existante dans votre abonnement.
   Coffre de clés	Un coffre de clés est utilisé pour stocker des secrets et d’autres informations sensibles nécessaires à l’espace de travail. Vous pouvez créer une ressource Azure Key Vault ou en sélectionner une existante dans votre abonnement.
   Application Insights	L’espace de travail utilise Azure Application Insights pour stocker des informations de surveillance sur vos modèles déployés. Vous pouvez créer une ressource Azure Application Insights ou en sélectionner une existante dans votre abonnement.
   Registre de conteneurs	Un registre de conteneurs est utilisé pour inscrire les images Docker utilisées dans l’entraînement et les déploiements. Pour réduire les coûts, une ressource Azure Container Registry est créée uniquement après avoir créé votre première image. Vous pouvez également choisir de créer la ressource maintenant ou de sélectionner une ressource existante dans votre abonnement, ou de sélectionner Aucun si vous ne souhaitez pas utiliser de registre de conteneurs.

4. Sous l’onglet Mise en réseau , sélectionnez Activer l’accès public à partir de tous les réseaux.

   Définissez les paramètres appropriés sous les onglets Avancé ou Étiquettes , puis sélectionnez Vérifier + créer.

5. Sous l’onglet Vérifier + créer , passez en revue les informations pour vérifier qu’elles sont correctes, puis sélectionnez Créer pour commencer à déployer votre espace de travail. Par exemple :

   

   La création de votre espace de travail dans le cloud peut prendre plusieurs minutes. Pendant ce temps, la page Vue d’ensemble de l’espace de travail affiche le status de déploiement actuel et se met à jour lorsque le déploiement est terminé.

Point de terminaison privé

Les étapes de cette procédure font référence à des articles spécifiques de la documentation Azure Machine Learning, le cas échéant. Pour plus d’informations, consultez Comment créer un espace de travail Machine Learning Azure sécurisé.

1. Créez un serveur de rebond de machine virtuelle au sein d’un réseau virtuel. Étant donné que le réseau virtuel restreint l’accès à partir de l’Internet public, le serveur de rebond est utilisé comme moyen de se connecter aux ressources derrière le réseau virtuel.

2. Accédez à la zone de rebond, puis accédez à votre espace de travail Microsoft Sentinel. Nous vous recommandons d’utiliser Azure Bastion pour accéder à la machine virtuelle.

3. Pour Microsoft Sentinel dans le Portail Azure, sous Gestion des menaces, sélectionnez Notebooks.
   Pour Microsoft Sentinel dans le portail Defender, sélectionnez Microsoft Sentinel>Notebooks de gestion>.

4. Sélectionnez Configurer Azure Machine Learning>Créer un espace de travail AML.

5. Entrez les détails suivants, puis sélectionnez Suivant.

   Field	Description
   Subscription	Sélectionnez l’abonnement Azure que vous souhaitez utiliser.
   Groupe de ressources	Utilisez un groupe de ressources existant dans votre abonnement ou entrez un nom pour créer un groupe de ressources. Un groupe de ressources contient les ressources associées pour une solution Azure.
   Nom de l’espace de travail	Entrez un nom unique qui identifie votre espace de travail. Les noms doivent être uniques dans le groupe de ressources. Utilisez un nom facile à rappeler et à différencier des espaces de travail créés par d’autres personnes.
   Région	Sélectionnez l’emplacement le plus proche de vos utilisateurs et les ressources de données pour créer votre espace de travail.
   Compte de stockage	Un compte de stockage est utilisé comme magasin de données par défaut pour l’espace de travail. Vous pouvez créer une ressource de stockage Azure ou en sélectionner une existante dans votre abonnement.
   Coffre de clés	Un coffre de clés est utilisé pour stocker des secrets et d’autres informations sensibles nécessaires à l’espace de travail. Vous pouvez créer une ressource Azure Key Vault ou en sélectionner une existante dans votre abonnement.
   Application Insights	L’espace de travail utilise Azure Application Insights pour stocker des informations de surveillance sur vos modèles déployés. Vous pouvez créer une ressource Azure Application Insights ou en sélectionner une existante dans votre abonnement.
   Registre de conteneurs	Un registre de conteneurs est utilisé pour inscrire les images Docker utilisées dans l’entraînement et les déploiements. Pour réduire les coûts, une ressource Azure Container Registry est créée uniquement après avoir créé votre première image. Vous pouvez également choisir de créer la ressource maintenant ou de sélectionner une ressource existante dans votre abonnement, ou de sélectionner Aucun si vous ne souhaitez pas utiliser de registre de conteneurs.

6. Sous l’onglet Mise en réseau , sélectionnez Désactiver l’accès public et utiliser un point de terminaison privé. Veillez à utiliser le même réseau virtuel que dans le serveur de rebond de machine virtuelle. Par exemple :

   

7. Définissez les paramètres appropriés sous les onglets Avancé ou Étiquettes , puis sélectionnez Vérifier + créer.

8. Sous l’onglet Vérifier + créer , passez en revue les informations pour vérifier qu’elles sont correctes, puis sélectionnez Créer pour commencer à déployer votre espace de travail. Par exemple :

   

   La création de votre espace de travail dans le cloud peut prendre plusieurs minutes. Pendant ce temps, la page Vue d’ensemble de l’espace de travail affiche le status de déploiement actuel et se met à jour lorsque le déploiement est terminé.

9. Dans la Azure Machine Learning studio, dans la page Calcul, créez un calcul. Sous l’onglet Paramètres avancés , veillez à sélectionner le même réseau virtuel que celui que vous avez utilisé pour votre serveur de rebond de machine virtuelle. Pour plus d’informations, consultez Créer et gérer un instance de calcul machine learning Azure.

10. Configurez votre trafic réseau pour accéder à Azure Machine Learning derrière un pare-feu. Pour plus d’informations, consultez Configurer le trafic réseau entrant et sortant.

Poursuivez avec l’une des étapes suivantes :

• Si vous n’avez qu’une seule liaison privée : vous pouvez désormais accéder aux blocs-notes via l’une des méthodes suivantes :

  • Cloner et lancer des notebooks de Microsoft Sentinel vers Azure Machine Learning
  • Charger manuellement des notebooks dans Azure Machine Learning
  • Clonez le référentiel GitHub des notebooks Microsoft Sentinel sur le terminal machine learning Azure

• Si vous avez une autre liaison privée, qui utilise un autre réseau virtuel, procédez comme suit :

  1. Dans le Portail Azure, accédez au groupe de ressources de votre espace de travail Machine Learning Azure, puis recherchez les ressources de zone DNS privé nommées privatelink.api.azureml.ms et privatelink.notebooks.azure.ms. Par exemple :

     

  2. Pour chaque ressource, y compris privatelink.api.azureml.ms et privatelink.notebooks.azure.ms, ajoutez une liaison de réseau virtuel.

     Sélectionnez la ressource >Liens de> réseau virtuelAjouter. Pour plus d’informations, consultez Lier le réseau virtuel.

Pour plus d’informations, reportez-vous aux rubriques suivantes :

• Flux de trafic réseau lors de l’utilisation d’un espace de travail sécurisé
• Sécuriser Azure ressources d’espace de travail Machine Learning à l’aide de réseaux virtuels

Une fois votre déploiement terminé, revenez à Notebooks dans Microsoft Sentinel et lancez les notebooks à partir de votre nouvel espace de travail machine learning Azure.

Si vous avez plusieurs notebooks, veillez à sélectionner un espace de travail AML par défaut à utiliser lors du lancement de vos notebooks. Par exemple :

Lancer un notebook dans votre espace de travail Machine Learning Azure

Après avoir créé un espace de travail Machine Learning Azure, lancez votre notebook dans cet espace de travail à partir de Microsoft Sentinel. N’oubliez pas que si vous avez des points de terminaison privés ou des restrictions sur l’accès au réseau public activées dans votre compte de stockage Azure, vous ne pouvez pas lancer de notebooks dans l’espace de travail Machine Learning Azure à partir de Microsoft Sentinel. Vous devez copier le modèle de notebook à partir de Microsoft Sentinel et charger le bloc-notes dans le Azure Machine Learning studio.

Pour lancer votre notebook Microsoft Sentinel dans votre espace de travail Machine Learning Azure, procédez comme suit.

1. Pour Microsoft Sentinel dans le Portail Azure, sous Gestion des menaces, sélectionnez Notebooks.
   Pour Microsoft Sentinel dans le portail Defender, sélectionnez Microsoft Sentinel>Notebooks de gestion>.

2. Sélectionnez l’onglet Modèles pour afficher les blocs-notes que Microsoft Sentinel fournit.

3. Sélectionnez un notebook pour afficher sa description, les types de données requis et les sources de données.

4. Lorsque vous trouvez le bloc-notes que vous souhaitez utiliser, sélectionnez Créer à partir du modèle et Enregistrer pour le cloner dans votre propre espace de travail. Seuls Azure espaces de travail Machine Learning dans le même abonnement peuvent être sélectionnés.

5. Modifiez le nom en fonction des besoins. Si le bloc-notes existe déjà dans votre espace de travail, remplacez-le ou créez-en un. Par défaut, votre notebook est enregistré dans le répertoire /Users/<Your_User_Name>/ de l’espace de travail AML sélectionné.

   

6. Une fois le bloc-notes enregistré, le bouton Enregistrer le bloc-notes devient Lancer le bloc-notes. Sélectionnez Lancer le notebook pour l’ouvrir dans votre espace de travail AML.

   Par exemple :

   

7. En haut de la page, sélectionnez un instance de calcul à utiliser pour votre serveur de notebooks.

   Si vous n’avez pas de instance de calcul, créez-en un. Si votre instance de calcul est arrêté, veillez à le démarrer. Pour plus d’informations, consultez Exécuter un notebook dans le Azure Machine Learning studio.

   Vous seul pouvez voir et utiliser les instances de calcul que vous créez. Vos fichiers utilisateur sont stockés séparément de la machine virtuelle et sont partagés entre toutes les instances de calcul de l’espace de travail.

   Si vous créez un instance de calcul afin de tester vos notebooks, créez votre instance de calcul avec la catégorie usage général.

   Le noyau s’affiche également en haut à droite de votre fenêtre machine learning Azure. Si le noyau dont vous avez besoin n’est pas sélectionné, sélectionnez une autre version dans la liste déroulante.

8. Une fois votre serveur de notebooks créé et démarré, exécutez les cellules de votre bloc-notes. Dans chaque cellule, sélectionnez l’icône Exécuter pour exécuter le code de votre bloc-notes.

   Pour plus d’informations, consultez Raccourcis en mode commande.

9. Si votre bloc-notes se bloque ou si vous souhaitez recommencer, vous pouvez redémarrer le noyau et réexécuter les cellules du bloc-notes à partir du début. Si vous redémarrez le noyau, les variables et les autres états sont supprimés. Réexécutez toutes les cellules d’initialisation et d’authentification après le redémarrage.

   Pour recommencer, sélectionnez Opérations> dunoyau Redémarrer le noyau. Par exemple :

   

Exécuter du code dans votre notebook

Exécutez toujours les cellules de code du notebook dans l’ordre. Le fait d’ignorer les cellules peut entraîner des erreurs.

Dans un notebook :

• Les cellules Markdown contiennent du texte, y compris des images HTML et statiques.
• Les cellules de code contiennent du code. Après avoir sélectionné une cellule de code, exécutez le code dans la cellule en sélectionnant l’icône Lecture à gauche de la cellule, ou en appuyant sur Maj+Entrée.

Par exemple, exécutez la cellule de code suivante dans votre notebook :

# This is your first code cell. This cell contains basic Python code.

# You can run a code cell by selecting it and then selecting
# the Play button to the left of the cell, or by pressing SHIFT+ENTER.
# Code output displays below the code.

print("Congratulations, you just ran this code cell")

y = 2 + 2

print("2 + 2 =", y)

L’exemple de code produit cette sortie :

Congratulations, you just ran this code cell

2 + 2 = 4

Les variables définies dans une cellule de code de notebook sont conservées entre les cellules, ce qui vous permet de chaîner des cellules. Par exemple, la cellule de code suivante utilise la valeur de y de la cellule précédente :

# Note that output from the last line of a cell is automatically
# sent to the output cell, without needing the print() function.

y + 2

La sortie est la suivante :

6

Télécharger tous les notebooks Microsoft Sentinel

Cette section explique comment utiliser Git pour télécharger tous les notebooks disponibles dans le référentiel GitHub Microsoft Sentinel, à partir d’un notebook Microsoft Sentinel, directement dans votre espace de travail machine learning Azure.

Le stockage des notebooks Microsoft Sentinel dans votre espace de travail Machine Learning Azure vous permet de les mettre à jour facilement.

1. À partir d’un notebook Microsoft Sentinel, entrez le code suivant dans une cellule vide, puis exécutez la cellule :

   !git clone https://github.com/Azure/Azure-Sentinel-Notebooks.git azure-sentinel-nb
   

   Une copie du contenu du dépôt GitHub est créée dans le répertoire azure-Sentinel-nb de votre dossier utilisateur dans votre espace de travail Machine Learning Azure.

2. Copiez les blocs-notes souhaités à partir de ce dossier vers votre répertoire de travail.

3. Pour mettre à jour vos notebooks avec les modifications récentes de GitHub, exécutez :

   !cd azure-sentinel-nb && git pull
   

Contenu connexe

• Notebooks Jupyter avec fonctionnalités de chasse Microsoft Sentinel
• Bien démarrer avec les notebooks Jupyter et MSTICPy dans Microsoft Sentinel