Megosztás a következőn keresztül:

Jupyter notebookok a Microsoft Sentinel vadászati képességeivel

  • Cikk
  • A következőre érvényes::
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

A Jupyter notebookok a teljes programozhatóságot kombinálják a gépi tanuláshoz, vizualizációhoz és adatelemzéshez használható kódtárak hatalmas gyűjteményével. Ezek az attribútumok teszik a Jupytert a biztonsági vizsgálat és a vadászat lenyűgöző eszközének.

A Microsoft Sentinel alapja az adattár; Nagy teljesítményű lekérdezést, dinamikus sémát és skálázást kombinál nagy adatmennyiségekre. Az Azure Portal és az összes Microsoft Sentinel-eszköz közös API-t használ az adattár eléréséhez. Ugyanez az API olyan külső eszközökhöz is elérhető, mint a Jupyter notebookok és a Python.

Fontos

A Microsoft Sentinel mostantól általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Mikor érdemes jupyter notebookokat használni?

Bár számos gyakori feladat elvégezhető a portálon, a Jupyter kibővíti az adatokkal elvégezhető műveletek körét.

Például jegyzetfüzetek használatával:

  • Olyan elemzések végrehajtása, amelyek nem érhetők el a Microsoft Sentinelben, például néhány Python-gépi tanulási funkció
  • A Microsoft Sentinelben nem beépített adatvizualizációk létrehozása, például egyéni ütemtervek és folyamatfák
  • Integrálja a Microsoft Sentinelen kívüli adatforrásokat , például egy helyszíni adatkészletet.

A Jupyter-felületet integráltuk az Azure Portalra, így könnyedén hozhat létre és futtathat jegyzetfüzeteket az adatok elemzéséhez. A Kqlmagic-kódtár segítségével Kusto lekérdezésnyelv (KQL) lekérdezéseket vehet le a Microsoft Sentinelből, és közvetlenül egy jegyzetfüzetben futtathatja őket.

A Microsoft néhány biztonsági elemzője által kifejlesztett jegyzetfüzetek a Microsoft Sentinelbe vannak csomagolva:

  • Ezen jegyzetfüzetek némelyike egy adott forgatókönyvhöz készült, és használatban is használható.
  • Mások mintaként szolgálnak, hogy bemutassa azokat a technikákat és funkciókat, amelyeket saját jegyzetfüzeteihez másolhat vagy adaptálhat.

Importálja a többi jegyzetfüzetet a Microsoft Sentinel GitHub-adattárból.

A Jupyter-jegyzetfüzetek működése

A jegyzetfüzetek két összetevőből állnak:

  • A böngészőalapú felület, ahol lekérdezéseket és kódot ír be és futtat, valamint ahol a végrehajtás eredményei megjelennek.
  • A kód elemzéséért és végrehajtásáért felelős kernel .

A Microsoft Sentinel-jegyzetfüzet kernele egy Azure-beli virtuális gépen (VM-en) fut. A virtuálisgép-példány egyszerre több jegyzetfüzet futtatását is támogatja. Ha a jegyzetfüzetek összetett gépi tanulási modelleket tartalmaznak, több licencelési lehetőség is létezik a hatékonyabb virtuális gépek használatához.

Python-csomagok ismertetése

A Microsoft Sentinel-jegyzetfüzetek számos népszerű Python-kódtárat használnak, például pandas, matplotlib, bokeh és mások. Számos más Python-csomag közül választhat, amelyek az alábbi területeket fedik le:

  • Vizualizációk és ábrák
  • Adatfeldolgozás és elemzés
  • Statisztika és numerikus számítástechnika
  • Gépi tanulás és mély tanulás

Annak érdekében, hogy ne kelljen összetett és ismétlődő kódot begépelni vagy beilleszteni a jegyzetfüzetcellákba, a Legtöbb Python-jegyzetfüzet külső kódtárakra, úgynevezett csomagokra támaszkodik. Ha jegyzetfüzetben szeretne csomagot használni, telepítenie és importálnia kell a csomagot. Az Azure Machine Learning Compute a leggyakoribb előre telepített csomagokkal rendelkezik. Győződjön meg arról, hogy importálja a csomagot vagy a csomag megfelelő részét, például egy modult, fájlt, függvényt vagy osztályt.

A Microsoft Sentinel-jegyzetfüzetek egy MSTICPy nevű Python-csomagot használnak, amely kiberbiztonsági eszközök gyűjteménye az adatok lekéréséhez, elemzéséhez, bővítéséhez és vizualizációjához.

Az MSTICPy-eszközök kifejezetten a kereséshez és vizsgálathoz használható jegyzetfüzetek létrehozásában segítenek, és aktívan dolgozunk az új funkciókon és fejlesztéseken. További információk:

Jegyzetfüzetek keresése

A Microsoft Sentinelben válassza a Jegyzetfüzetek lehetőséget a Microsoft Sentinel által biztosított jegyzetfüzetek megtekintéséhez. További információ a jegyzetfüzetek veszélyforrás-keresésben és vizsgálatban való használatáról olyan jegyzetfüzetsablonok feltárásával, mint a hitelesítő adatok vizsgálata az Azure Log Analyticsben és irányított vizsgálat – Folyamatriasztások.

A Microsoft által készített vagy a közösségtől származó további jegyzetfüzetekért látogasson el a Microsoft Sentinel GitHub-adattárba. A Microsoft Sentinel GitHub-adattárban megosztott jegyzetfüzeteket hasznos eszközökként, ábrákként és kódmintákként használhatja, amelyeket saját jegyzetfüzetek fejlesztésekor használhat.

  • A Sample-Notebooks könyvtár olyan mintajegyzetfüzeteket tartalmaz, amelyek a kívánt kimenet megjelenítéséhez használható adatokkal vannak mentve.

  • A HowTos címtár olyan jegyzetfüzeteket tartalmaz, amelyek olyan fogalmakat írnak le, mint például az alapértelmezett Python-verzió beállítása, a Microsoft Sentinel könyvjelzők létrehozása egy jegyzetfüzetből stb.

A Microsoft Sentinel-jegyzetfüzetekhez való hozzáférés kezelése

A Jupyter-jegyzetfüzetek Microsoft Sentinelben való használatához a felhasználói szerepkörtől függően először a megfelelő engedélyekkel kell rendelkeznie.

Bár a Microsoft Sentinel-jegyzetfüzeteket a JupyterLab-ban vagy a klasszikus Jupyterben futtathatja, a Microsoft Sentinelben a jegyzetfüzetek egy Azure Machine Learning-platformon futnak. A jegyzetfüzetek Microsoft Sentinelben való futtatásához megfelelő hozzáféréssel kell rendelkeznie a Microsoft Sentinel-munkaterülethez és egy Azure Machine Learning-munkaterülethez is.

Engedély Leírás
Microsoft Sentinel-engedélyek Más Microsoft Sentinel-erőforrásokhoz hasonlóan a Microsoft Sentinel Notebooks panelen, a Microsoft Sentinel-olvasón, a Microsoft Sentinel-válaszadón vagy a Microsoft Sentinel Közreműködői szerepkörön lévő jegyzetfüzetek eléréséhez is szükség van.

További információ: Engedélyek a Microsoft Sentinelben.
Azure Machine Learning-engedélyek Az Azure Machine Learning-munkaterület egy Azure-erőforrás. Más Azure-erőforrásokhoz hasonlóan egy új Azure Machine Learning-munkaterület létrehozásakor is alapértelmezett szerepkörökkel rendelkezik. Hozzáadhat felhasználókat a munkaterülethez, és hozzárendelheti őket az egyik beépített szerepkörhöz. További információt az Azure Machine Learning alapértelmezett szerepkörei és az Azure beépített szerepkörei című témakörben talál.

Fontos: A szerepkör-hozzáférés több szintre is kiterjedhet az Azure-ban. Előfordulhat például, hogy egy munkaterülethez tulajdonosi hozzáféréssel rendelkező személy nem rendelkezik tulajdonosi hozzáféréssel a munkaterületet tartalmazó erőforráscsoporthoz. További információ: Az Azure RBAC működése.

Ha Ön egy Azure ML-munkaterület tulajdonosa, hozzáadhat és eltávolíthat szerepköröket a munkaterülethez, és szerepköröket rendelhet hozzá a felhasználókhoz. További információk:
- Azure Portalra
- PowerShell
- Azure CLI
- REST API
- Azure Resource Manager-sablonok
- Azure Machine Learning CLI

Ha a beépített szerepkörök nem elegendőek, egyéni szerepköröket is létrehozhat. Előfordulhat, hogy az egyéni szerepkörök olvasási, írási, törlési és számítási erőforrás-engedélyekkel rendelkeznek a munkaterületen. A szerepkört elérhetővé teheti egy adott munkaterület szintjén, egy adott erőforráscsoport szintjén vagy egy adott előfizetési szinten. További információ: Egyéni szerepkör létrehozása.

Visszajelzés küldése jegyzetfüzethez

Visszajelzés, szolgáltatásokra, hibajelentésekre vagy a meglévő jegyzetfüzetek fejlesztéseire vonatkozó kérések küldése. Lépjen a Microsoft Sentinel GitHub-adattárba egy probléma létrehozásához, vagy a hozzájárulás elágaztatásához és feltöltéséhez.

Kapcsolódó tartalom

Blogok, videók és egyéb források: