Jupyter notebookok a Microsoft Sentinel vadászati képességeivel

Cikk
04/05/2024
A következőre érvényes::

Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

A Jupyter notebookok a teljes programozhatóságot kombinálják a gépi tanuláshoz, vizualizációhoz és adatelemzéshez használható kódtárak hatalmas gyűjteményével. Ezek az attribútumok teszik a Jupytert a biztonsági vizsgálat és a vadászat lenyűgöző eszközének.

A Microsoft Sentinel alapja az adattár; Nagy teljesítményű lekérdezést, dinamikus sémát és skálázást kombinál nagy adatmennyiségekre. Az Azure Portal és az összes Microsoft Sentinel-eszköz közös API-t használ az adattár eléréséhez. Ugyanez az API olyan külső eszközökhöz is elérhető, mint a Jupyter notebookok és a Python.

Fontos

A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform nyilvános előzetes verziójának részeként érhető el a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Mikor érdemes jupyter notebookokat használni?

Bár számos gyakori feladat elvégezhető a portálon, a Jupyter kibővíti az adatokkal elvégezhető műveletek körét.

Például jegyzetfüzetek használatával:

Olyan elemzések végrehajtása, amelyek nem érhetők el a Microsoft Sentinelben, például néhány Python-gépi tanulási funkció
A Microsoft Sentinelben nem beépített adatvizualizációk létrehozása, például egyéni ütemtervek és folyamatfák
Integrálja a Microsoft Sentinelen kívüli adatforrásokat , például egy helyszíni adatkészletet.

A Jupyter-felületet integráltuk az Azure Portalra, így könnyedén hozhat létre és futtathat jegyzetfüzeteket az adatok elemzéséhez. A Kqlmagic-kódtár segítségével Kusto lekérdezésnyelv (KQL) lekérdezéseket vehet le a Microsoft Sentinelből, és közvetlenül egy jegyzetfüzetben futtathatja őket.

A Microsoft néhány biztonsági elemzője által kifejlesztett jegyzetfüzetek a Microsoft Sentinelbe vannak csomagolva:

Ezen jegyzetfüzetek némelyike egy adott forgatókönyvhöz készült, és használatban is használható.
Mások mintaként szolgálnak, hogy bemutassa azokat a technikákat és funkciókat, amelyeket saját jegyzetfüzeteihez másolhat vagy adaptálhat.

Importálja a többi jegyzetfüzetet a Microsoft Sentinel GitHub-adattárból.

A Jupyter-jegyzetfüzetek működése

A jegyzetfüzetek két összetevőből állnak:

A böngészőalapú felület, ahol lekérdezéseket és kódot ír be és futtat, valamint ahol a végrehajtás eredményei megjelennek.
A kód elemzéséért és végrehajtásáért felelős kernel .

A Microsoft Sentinel-jegyzetfüzet kernele egy Azure-beli virtuális gépen (VM-en) fut. A virtuálisgép-példány egyszerre több jegyzetfüzet futtatását is támogatja. Ha a jegyzetfüzetek összetett gépi tanulási modelleket tartalmaznak, több licencelési lehetőség is létezik a hatékonyabb virtuális gépek használatához.

Python-csomagok ismertetése

A Microsoft Sentinel-jegyzetfüzetek számos népszerű Python-kódtárat használnak, például pandas, matplotlib, bokeh és mások. Számos más Python-csomag közül választhat, amelyek az alábbi területeket fedik le:

Vizualizációk és ábrák
Adatfeldolgozás és elemzés
Statisztika és numerikus számítástechnika
Gépi tanulás és mély tanulás

Annak érdekében, hogy ne kelljen összetett és ismétlődő kódot begépelni vagy beilleszteni a jegyzetfüzetcellákba, a Legtöbb Python-jegyzetfüzet külső kódtárakra, úgynevezett csomagokra támaszkodik. Ha jegyzetfüzetben szeretne csomagot használni, telepítenie és importálnia kell a csomagot. Az Azure Machine Tanulás Compute a leggyakoribb előre telepített csomagokkal rendelkezik. Győződjön meg arról, hogy importálja a csomagot vagy a csomag megfelelő részét, például egy modult, fájlt, függvényt vagy osztályt.

A Microsoft Sentinel-jegyzetfüzetek egy MSTICPy nevű Python-csomagot használnak, amely kiberbiztonsági eszközök gyűjteménye az adatok lekéréséhez, elemzéséhez, bővítéséhez és vizualizációjához.

Az MSTICPy-eszközök kifejezetten a kereséshez és vizsgálathoz használható jegyzetfüzetek létrehozásában segítenek, és aktívan dolgozunk az új funkciókon és fejlesztéseken. További információkért lásd:

Jegyzetfüzetek keresése

A Microsoft Sentinelben válassza a Jegyzetfüzetek lehetőséget a Microsoft Sentinel által biztosított jegyzetfüzetek megtekintéséhez. További információ a jegyzetfüzetek veszélyforrás-keresésben és vizsgálatban való használatáról olyan jegyzetfüzetsablonok feltárásával, mint a hitelesítő adatok vizsgálata az Azure Log Analyticsben és irányított vizsgálat – Folyamatriasztások.

A Microsoft által készített vagy a közösségtől származó további jegyzetfüzetekért látogasson el a Microsoft Sentinel GitHub-adattárba. A Microsoft Sentinel GitHub-adattárban megosztott jegyzetfüzeteket hasznos eszközökként, ábrákként és kódmintákként használhatja, amelyeket saját jegyzetfüzetek fejlesztésekor használhat.

A Sample-Notebooks könyvtár olyan mintajegyzetfüzeteket tartalmaz, amelyek a kívánt kimenet megjelenítéséhez használható adatokkal vannak mentve.
A HowTos címtár olyan jegyzetfüzeteket tartalmaz, amelyek olyan fogalmakat írnak le, mint például az alapértelmezett Python-verzió beállítása, a Microsoft Sentinel könyvjelzők létrehozása egy jegyzetfüzetből stb.

A Microsoft Sentinel-jegyzetfüzetekhez való hozzáférés kezelése

A Jupyter-jegyzetfüzetek Microsoft Sentinelben való használatához a felhasználói szerepkörtől függően először a megfelelő engedélyekkel kell rendelkeznie.

Bár a Microsoft Sentinel-jegyzetfüzeteket a JupyterLab-ban vagy a klasszikus Jupyterben futtathatja, a Microsoft Sentinelben a jegyzetfüzetek egy Azure Machine Tanulás platformon futnak. A jegyzetfüzetek Microsoft Sentinelben való futtatásához megfelelő hozzáféréssel kell rendelkeznie a Microsoft Sentinel-munkaterülethez és egy Azure Machine Tanulás-munkaterülethez is.

Engedély	Leírás
Microsoft Sentinel-engedélyek	Más Microsoft Sentinel-erőforrásokhoz hasonlóan a Microsoft Sentinel Notebooks panelen, a Microsoft Sentinel-olvasón, a Microsoft Sentinel-válaszadón vagy a Microsoft Sentinel Közreműködői szerepkörön lévő jegyzetfüzetek eléréséhez is szükség van. További információ: Engedélyek a Microsoft Sentinelben.
Az Azure Machine Tanulás engedélyei	Az Azure Machine Learning-munkaterület egy Azure-erőforrás. A többi Azure-erőforráshoz hasonlóan egy új Azure Machine Tanulás-munkaterület létrehozásakor is alapértelmezett szerepkörökkel rendelkezik. Hozzáadhat felhasználókat a munkaterülethez, és hozzárendelheti őket az egyik beépített szerepkörhöz. További információ: Azure Machine Tanulás alapértelmezett szerepkörök és beépített Azure-szerepkörök. Fontos: A szerepkör-hozzáférés több szintre is kiterjedhet az Azure-ban. Előfordulhat például, hogy egy munkaterülethez tulajdonosi hozzáféréssel rendelkező személy nem rendelkezik tulajdonosi hozzáféréssel a munkaterületet tartalmazó erőforráscsoporthoz. További információ: Az Azure RBAC működése. Ha Ön egy Azure ML-munkaterület tulajdonosa, hozzáadhat és eltávolíthat szerepköröket a munkaterülethez, és szerepköröket rendelhet hozzá a felhasználókhoz. További információkért lásd: - Azure Portalra - PowerShell - Azure CLI - REST API - Azure Resource Manager-sablonok - Azure Machine Tanulás parancssori felület Ha a beépített szerepkörök nem elegendőek, egyéni szerepköröket is létrehozhat. Előfordulhat, hogy az egyéni szerepkörök olvasási, írási, törlési és számítási erőforrás-engedélyekkel rendelkeznek a munkaterületen. A szerepkört elérhetővé teheti egy adott munkaterület szintjén, egy adott erőforráscsoport szintjén vagy egy adott előfizetési szinten. További információ: Egyéni szerepkör létrehozása.

Engedély

Leírás

Microsoft Sentinel-engedélyek

Más Microsoft Sentinel-erőforrásokhoz hasonlóan a Microsoft Sentinel Notebooks panelen, a Microsoft Sentinel-olvasón, a Microsoft Sentinel-válaszadón vagy a Microsoft Sentinel Közreműködői szerepkörön lévő jegyzetfüzetek eléréséhez is szükség van.

További információ: Engedélyek a Microsoft Sentinelben.

Az Azure Machine Tanulás engedélyei

Az Azure Machine Learning-munkaterület egy Azure-erőforrás. A többi Azure-erőforráshoz hasonlóan egy új Azure Machine Tanulás-munkaterület létrehozásakor is alapértelmezett szerepkörökkel rendelkezik. Hozzáadhat felhasználókat a munkaterülethez, és hozzárendelheti őket az egyik beépített szerepkörhöz. További információ: Azure Machine Tanulás alapértelmezett szerepkörök és beépített Azure-szerepkörök.

Fontos: A szerepkör-hozzáférés több szintre is kiterjedhet az Azure-ban. Előfordulhat például, hogy egy munkaterülethez tulajdonosi hozzáféréssel rendelkező személy nem rendelkezik tulajdonosi hozzáféréssel a munkaterületet tartalmazó erőforráscsoporthoz. További információ: Az Azure RBAC működése.

Ha Ön egy Azure ML-munkaterület tulajdonosa, hozzáadhat és eltávolíthat szerepköröket a munkaterülethez, és szerepköröket rendelhet hozzá a felhasználókhoz. További információkért lásd:
- Azure Portalra
- PowerShell
- Azure CLI
- REST API
- Azure Resource Manager-sablonok
- Azure Machine Tanulás parancssori felület

Ha a beépített szerepkörök nem elegendőek, egyéni szerepköröket is létrehozhat. Előfordulhat, hogy az egyéni szerepkörök olvasási, írási, törlési és számítási erőforrás-engedélyekkel rendelkeznek a munkaterületen. A szerepkört elérhetővé teheti egy adott munkaterület szintjén, egy adott erőforráscsoport szintjén vagy egy adott előfizetési szinten. További információ: Egyéni szerepkör létrehozása.

Visszajelzés küldése jegyzetfüzethez

Visszajelzés, szolgáltatásokra, hibajelentésekre vagy a meglévő jegyzetfüzetek fejlesztéseire vonatkozó kérések küldése. Lépjen a Microsoft Sentinel GitHub-adattárba egy probléma létrehozásához, vagy a hozzájárulás elágaztatásához és feltöltéséhez.

Blogok, videók és egyéb források:

Az első Microsoft Sentinel-jegyzetfüzet létrehozása (blogsorozat)
Oktatóanyag: Microsoft Sentinel-jegyzetfüzetek – Első lépések (videó)
Oktatóanyag: Jupyter-jegyzetfüzetek szerkesztése és futtatása az Azure Machine Tanulás Studio elhagyása nélkül (videó)
Hitelesítő adatok szivárgásának észlelése az Azure Sentinel-jegyzetfüzetek használatával (videó)
Webinárium: A Microsoft Sentinel notebookok alapjai (videó)
Jupyter, msticpy és Microsoft Sentinel