Repérer les menaces pour la sécurité à l’aide de notebooks Jupyter

• S’applique à:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Dans le cadre de vos investigations et du repérage des menaces pour la sécurité, lancez et exécutez des notebooks Jupyter afin d’analyser vos données par programmation.

Dans cet article, vous allez créer un espace de travail Azure Machine Learning, lancer un notebook de Microsoft Sentinel vers votre espace de travail Azure Machine Learning et exécuter du code dans le notebook.

Important

Microsoft Sentinel est disponible dans le cadre de la préversion publique de la plateforme d’opérations de sécurité unifiée dans le portail Microsoft Defender. Pour en savoir plus, consultez Microsoft Sentinel dans le portail Microsoft Defender.

Prérequis

Avant de suivre les étapes de cet article, nous vous recommandons de vous renseigner sur les notebooks Microsoft Sentinel. Consultez Utiliser des notebooks Jupyter afin de repérer les menaces pour la sécurité.

Pour utiliser des notebooks Microsoft Sentinel, vous devez disposer des rôles et autorisations suivants :

Type	Détails
Microsoft Sentinel	- Rôle Contributeur Microsoft Sentinel, afin d’enregistrer et de lancer des notebooks à partir de Microsoft Sentinel.
Azure Machine Learning	- Rôle de propriétaire ou de contributeur au niveau du groupe de ressources, pour créer un espace de travail Azure Machine Learning si nécessaire. - Rôle Contributeur sur l’espace de travail Azure Machine Learning dans lequel vous exécutez vos notebooks Microsoft Sentinel. Pour plus d’informations, consultez Gérer l’accès à un espace de travail Azure Machine Learning.

Créer un espace de travail Azure Machine Learning à partir de Microsoft Sentinel

Pour créer votre espace de travail, sélectionnez l’un des onglets suivants, selon que vous utilisez un point de terminaison public ou privé.

• Nous vous recommandons d’utiliser un point de terminaison public lorsque votre espace de travail Microsoft Sentinel en a un, afin d’éviter tout problème potentiel dans la communication réseau.
• Si vous souhaitez utiliser un espace de travail Azure Machine Learning dans un réseau virtuel, utilisez un point de terminaison privé.

Point de terminaison public

1. Dans Microsoft Sentinel, dans le Portail Microsoft Azure, sous Gestion du menaces, sélectionnez Notebooks.
   Pour Microsoft Sentinel dans le portail Defender, sélectionnez Microsoft Sentinel>Gestion des menaces>Notebooks.

2. Sélectionnez Configurer Azure Machine Learning>Créer un espace de travail AML.

3. Entrez les détails suivants et sélectionnez Suivant.

   Champ	Description
   Abonnement	Sélectionnez l’abonnement Azure que vous souhaitez utiliser.
   Groupe de ressources	Utilisez un groupe de ressources existant dans votre abonnement, ou entrez un nom pour créer un groupe de ressources. Un groupe de ressources contient les ressources associées d’une solution Azure.
   Nom de l’espace de travail	Entrez un nom unique qui identifie votre espace de travail. Dans le groupe de ressources, les noms doivent être uniques. Utilisez un nom dont il est facile de se rappeler et que vous pouvez facilement différencier des autres espaces de travail.
   Région	Sélectionnez l’emplacement le plus proche de vos utilisateurs et des ressources de données pour créer votre espace de travail.
   Compte de stockage	Un compte de stockage est utilisé comme magasin de données par défaut pour l’espace de travail. Vous pouvez créer une ressource de stockage Azure ou en sélectionner une existante dans votre abonnement.
   KeyVault	Un coffre de clés est utilisé pour stocker les secrets et autres informations sensibles nécessaires à l’espace de travail. Vous pouvez créer une ressource Azure Key Vault ou en sélectionner une existante dans votre abonnement.
   Application Insights	L’espace de travail utilise Azure Application Insights pour stocker des informations de surveillance sur vos modèles déployés. Vous pouvez créer une ressource Azure Application Insights ou en sélectionner une existante dans votre abonnement.
   Registre de conteneurs	Un registre de conteneurs est utilisé pour enregistrer les images du docker utilisées dans les formations et les déploiements. Pour réduire les coûts, une ressource Azure Container Registry est créée uniquement après la création de votre première image. Vous pouvez également choisir de créer la ressource maintenant ou d’en sélectionner une existante dans votre abonnement, ou de sélectionner Aucun si vous ne souhaitez pas utiliser un registre de conteneurs.

4. Sous l’onglet Mise en réseau, sélectionnez Activer l’accès public à partir de tous les réseaux.

   Définissez les paramètres appropriés dans les onglets Avancé ou Balises, puis sélectionnez Vérifier + créer.

5. Dans l’onglet Vérifier + créer, passez en revue les informations pour vérifier qu’elles sont correctes, puis sélectionnez Créer pour démarrer le déploiement de votre espace de travail. Par exemple :

   

   La création de votre espace de travail dans le cloud peut prendre plusieurs minutes. Pendant ce temps, la page Vue d’ensemble de l’espace de travail affiche l’état actuel du déploiement et se met à jour une fois le déploiement terminé.

Point de terminaison privé

Les étapes de cette procédure font référence à des articles spécifiques dans la documentation Azure Machine Learning, le cas échéant. Pour plus d’informations, consultez Comment créer un espace de travail Azure Machine Learning sécurisé.

1. Créez un serveur intermédiaire de machine virtuelle au sein d’un réseau virtuel. Étant donné que le réseau virtuel restreint l’accès à l’Internet public, le serveur intermédiaire est utilisé comme moyen de se connecter aux ressources derrière le réseau virtuel.

2. Accédez au serveur de rebond, puis accédez à votre espace de travail Microsoft Sentinel. Nous vous recommandons d’utiliser Azure Bastion pour accéder à la machine virtuelle.

3. Dans Microsoft Sentinel, dans le Portail Microsoft Azure, sous Gestion du menaces, sélectionnez Notebooks.
   Pour Microsoft Sentinel dans le portail Defender, sélectionnez Microsoft Sentinel>Gestion des menaces>Notebooks.

4. Sélectionnez Configurer Azure Machine Learning>Créer un espace de travail AML.

5. Entrez les détails suivants et sélectionnez Suivant.

   Champ	Description
   Abonnement	Sélectionnez l’abonnement Azure que vous souhaitez utiliser.
   Groupe de ressources	Utilisez un groupe de ressources existant dans votre abonnement, ou entrez un nom pour créer un groupe de ressources. Un groupe de ressources contient les ressources associées d’une solution Azure.
   Nom de l’espace de travail	Entrez un nom unique qui identifie votre espace de travail. Dans le groupe de ressources, les noms doivent être uniques. Utilisez un nom dont il est facile de se rappeler et que vous pouvez facilement différencier des autres espaces de travail.
   Région	Sélectionnez l’emplacement le plus proche de vos utilisateurs et des ressources de données pour créer votre espace de travail.
   Compte de stockage	Un compte de stockage est utilisé comme magasin de données par défaut pour l’espace de travail. Vous pouvez créer une ressource de stockage Azure ou en sélectionner une existante dans votre abonnement.
   KeyVault	Un coffre de clés est utilisé pour stocker les secrets et autres informations sensibles nécessaires à l’espace de travail. Vous pouvez créer une ressource Azure Key Vault ou en sélectionner une existante dans votre abonnement.
   Application Insights	L’espace de travail utilise Azure Application Insights pour stocker des informations de surveillance sur vos modèles déployés. Vous pouvez créer une ressource Azure Application Insights ou en sélectionner une existante dans votre abonnement.
   Registre de conteneurs	Un registre de conteneurs est utilisé pour enregistrer les images du docker utilisées dans les formations et les déploiements. Pour réduire les coûts, une ressource Azure Container Registry est créée uniquement après la création de votre première image. Vous pouvez également choisir de créer la ressource maintenant ou d’en sélectionner une existante dans votre abonnement, ou de sélectionner Aucun si vous ne souhaitez pas utiliser un registre de conteneurs.

6. Sous l’onglet Mise en réseau, sélectionnez Désactiver l’accès public et utiliser un point de terminaison privé. Veillez à utiliser le même réseau virtuel que celui que vous avez dans le serveur intermédiaire de la machine virtuelle. Par exemple :

   

7. Définissez les paramètres appropriés dans les onglets Avancé ou Balises, puis sélectionnez Vérifier + créer.

8. Dans l’onglet Vérifier + créer, passez en revue les informations pour vérifier qu’elles sont correctes, puis sélectionnez Créer pour démarrer le déploiement de votre espace de travail. Par exemple :

   

   La création de votre espace de travail dans le cloud peut prendre plusieurs minutes. Pendant ce temps, la page Vue d’ensemble de l’espace de travail affiche l’état actuel du déploiement et se met à jour une fois le déploiement terminé.

9. Dans le studio Azure Machine Learning, sur la page Compute, créez un nouveau calcul. Sous l’onglet Paramètres avancés, veillez à sélectionner le même réseau virtuel que celui utilisé pour le serveur intermédiaire de votre machine virtuelle. Pour plus d’informations, consultez Créer et gérer une instance de calcul Azure Machine Learning.

10. Configurez votre trafic réseau pour accéder à Azure Machine Learning depuis l’arrière d’un pare-feu. Pour plus d’informations, consultez Configurer le trafic du réseau entrant et sortant.

Poursuivez avec l’un des ensembles d’étapes suivants :

• Si vous n’avez qu’un seul lien privé : vous pouvez maintenant accéder aux blocs-notes via l’une des méthodes suivantes :

  • Cloner et lancer des blocs-notes Microsoft Sentinel vers Azure Machine Learning
  • Télécharger manuellement les blocs-notes dans Azure Machine Learning
  • Cloner le Référentiel GitHub de notebooks Microsoft Azure Sentinel sur le terminal Azure Machine Learning

• Si vous avez un autre lien privé, qui utilise un autre réseau virtuel, procédez comme suit :

  1. dans le Portail Azure, accédez au groupe de ressources de votre espace de travail Azure Machine Learning, puis recherchez les ressources de zone DNS privée nommées privatelink.api.azureml.ms et privatelink.notebooks.azure.ms. Par exemple :

     

  2. Pour chaque ressource, y compris privatelink.api.azureml.ms et privatelink.notebooks.azure.ms, ajoutez une liaison de réseau virtuel.

     Sélectionner la ressource >Liens de réseau virtuel>Ajouter. Pour plus d’informations, consultez Lier le réseau virtuel.

Pour plus d'informations, consultez les pages suivantes :

• Flux de trafic réseau lors de l’utilisation d’un espace de travail sécurisé
• Sécuriser les ressources d’espace de travail Azure Machine Learning à l’aide de réseaux virtuels

Une fois votre déploiement terminé, revenez à Notebooks dans Microsoft Sentinel et lancez des notebooks à partir de votre nouvel espace de travail Azure Machine Learning.

Si vous disposez de plusieurs notebooks, veillez à sélectionner un espace de travail AML par défaut à utiliser lors du lancement de vos notebooks. Par exemple :

Lancer un notebook dans votre espace de travail Azure Machine Learning

Après avoir créé un espace de travail Azure Machine Learning, lancez vos notebooks dans cet espace de travail à partir de Microsoft Sentinel.

1. Dans Microsoft Sentinel, dans le Portail Microsoft Azure, sous Gestion du menaces, sélectionnez Notebooks.
   Pour Microsoft Sentinel dans le portail Defender, sélectionnez Microsoft Sentinel>Gestion des menaces>Notebooks.

2. Sélectionnez l’onglet Modèles pour afficher les notebooks que Microsoft Sentinel fournit.

3. Sélectionnez un notebook pour afficher sa description, les types de données requis et les sources de données.

4. Une fois que vous avez trouvé le notebook souhaité, sélectionnez Créer à partir d’un modèle et Enregistrer pour le cloner dans votre propre espace de travail.

5. Changez le nom selon les besoins. Si le notebook existe déjà dans votre espace de travail, remplacez-le ou créer en un nouveau. Par défaut, votre notebook est enregistré dans le répertoire /Users/<Your_User_Name>/ de l’espace de travail AML sélectionné.

   

6. Une fois le notebook enregistré, le bouton Enregistrer le notebook est remplacé par le bouton Lancer le notebook. Sélectionnez Lancer le notebook pour l’ouvrir dans votre espace de travail AML.

   Par exemple :

   

7. En haut de la page, sélectionnez une instance de calcul à utiliser pour votre serveur de notebook.

   Si vous n’avez pas d’instance de calcul, créez-en une. Si votre instance de calcul est arrêtée, assurez-vous de la démarrer. Pour plus d’informations, consultez Exécuter un notebook dans Azure Machine Learning Studio.

   Vous seul pouvez voir et utiliser les instances de calcul que vous créez. Vos fichiers utilisateur sont stockés séparément de la machine virtuelle, et partagés entre toutes les instances de calcul dans l’espace de travail.

   Si vous créez une nouvelle instance de calcul afin de tester vos notebooks, créez votre instance de calcul avec la catégorie Usage général.

   Le noyau s’affiche également en haut à droite de votre fenêtre Azure Machine Learning. Si le noyau dont vous avez besoin n’est pas sélectionné, choisissez une autre version dans la liste déroulante.

8. Une fois votre serveur de notebooks créé et démarré, exécutez vos cellules de notebooks. Dans chaque cellule, sélectionnez l’icône Exécuter pour exécuter le code de votre notebook.

   Pour plus d’informations, consultez Raccourcis du mode de commande.

9. Si votre notebook se bloque ou si vous voulez recommencer, vous pouvez redémarrer le noyau et réexécuter les cellules du notebook depuis le début. Si vous redémarrez le noyau, les variables et autres états sont supprimés. Après le redémarrage, réexécutez les cellules d’initialisation et d’authentification.

   Pour redémarrer, sélectionnez Noyau>Redémarrer le noyau. Par exemple :

   

Exécuter du code dans votre notebook

Exécutez toujours les cellules de code du notebook dans l’ordre. Ignorer des cellules peut entraîner des erreurs.

Dans un notebook :

• Les cellules Markdown contiennent du texte, y compris du code HTML, et des images statiques.
• Les cellules de code contiennent du code. Après avoir sélectionné une cellule de code, exécutez le code dans la cellule en sélectionnant l’icône Lecture à gauche de la cellule, ou en appuyant sur MAJ + ENTRÉE.

Par exemple, exécutez la cellule de code suivante dans votre notebook :

# This is your first code cell. This cell contains basic Python code.

# You can run a code cell by selecting it and then selecting
# the Play button to the left of the cell, or by pressing SHIFT+ENTER.
# Code output displays below the code.

print("Congratulations, you just ran this code cell")

y = 2 + 2

print("2 + 2 =", y)

L’exemple de code produit cette sortie :

Congratulations, you just ran this code cell

2 + 2 = 4

Les variables définies dans une cellule de code du notebook persistent entre les cellules, de sorte que vous pouvez lier des cellules. Par exemple, la cellule de code suivante utilise la valeur y de la cellule précédente :

# Note that output from the last line of a cell is automatically
# sent to the output cell, without needing the print() function.

y + 2

La sortie est la suivante :

6

Télécharger tous les notebooks Microsoft Sentinel

Cette section décrit comment utiliser Git pour télécharger tous les notebooks disponibles dans le référentiel GitHub de Microsoft Sentinel, de l’intérieur d’un notebook Microsoft Sentinel, directement dans votre espace de travail Azure Machine Learning.

Le stockage des notebooks Microsoft Sentinel dans votre espace de travail Azure Machine Learning vous permet de les mettre à jour facilement.

1. À partir d’un notebook Microsoft Sentinel, entrez le code suivant dans une cellule vide, puis exécutez la cellule :

   !git clone https://github.com/Azure/Azure-Sentinel-Notebooks.git azure-sentinel-nb
   

   Une copie des contenus du référentiel GitHub est créée dans le répertoire azure-Sentinel-nb sur votre dossier utilisateur dans votre espace de travail Azure Machine Learning.

2. Dans ce dossier, copiez les notebooks que vous voulez vers votre répertoire de travail.

3. Pour mettre à jour vos notebooks avec toutes les modifications récentes à partir de GitHub, exécutez :

   !cd azure-sentinel-nb && git pull
   

Contenu connexe

• Notebooks Jupyter avec fonctionnalités de repérage Microsoft Sentinel
• Prendre en main les notebooks Jupyter et MSTICPy dans Microsoft Sentinel