Biztonsági fenyegetések keresése Jupyter-jegyzetfüzetekkel

• A következőre érvényes::

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

A biztonsági vizsgálatok és a vadászat részeként indítsa el és futtassa a Jupyter-jegyzetfüzeteket az adatok programozott elemzéséhez.

Ebben a cikkben létrehoz egy Azure Machine Tanulás-munkaterületet, elindítja a jegyzetfüzetet a Microsoft Sentinelből az Azure Machine Tanulás-munkaterületre, és kódot futtat a jegyzetfüzetben.

Fontos

A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform nyilvános előzetes verziójának részeként érhető el a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Előfeltételek

Javasoljuk, hogy a cikk lépéseinek elvégzése előtt ismerkedjen meg a Microsoft Sentinel-jegyzetfüzetekkel. Lásd: A Jupyter-jegyzetfüzetek használata biztonsági fenyegetések kereséséhez.

A Microsoft Sentinel-jegyzetfüzetek használatához a következő szerepköröknek és engedélyeknek kell rendelkezniük:

Típus	Részletek
Microsoft Sentinel	– A Microsoft Sentinel közreműködői szerepköre a jegyzetfüzetek Microsoft Sentinelből való mentéséhez és elindításához
Azure Machine Learning	– Erőforráscsoportszintű tulajdonosi vagy közreműködői szerepkör, amely szükség esetén új Azure Machine-Tanulás-munkaterületet hoz létre. - Közreműködői szerepkör az Azure Machine Tanulás munkaterületen, ahol a Microsoft Sentinel-jegyzetfüzeteket futtatja. További információ: Azure Machine-Tanulás-munkaterülethez való hozzáférés kezelése.

Azure Machine Tanulás-munkaterület létrehozása a Microsoft Sentinelből

A munkaterület létrehozásához válassza az alábbi lapok egyikét attól függően, hogy nyilvános vagy privát végpontot használ-e.

• Javasoljuk, hogy nyilvános végpontot használjon, ha a Microsoft Sentinel-munkaterület rendelkezik ilyennel, hogy elkerülje a hálózati kommunikáció esetleges problémáit.
• Ha egy Azure Machine Tanulás-munkaterületet szeretne használni egy virtuális hálózaton, használjon privát végpontot.

Nyilvános végpont

1. Az Azure PortalOn a Microsoft Sentinel esetében a Fenyegetéskezelés területen válassza a Jegyzetfüzetek lehetőséget.
   Microsoft Sentinel esetén a Defender portálon válassza a Microsoft Sentinel>fenyegetéskezelési>jegyzetfüzetek lehetőséget.

2. Válassza az Azure Machine konfigurálása Tanulás> Új AML-munkaterület létrehozása lehetőséget.

3. Adja meg a következő adatokat, majd kattintson a Tovább gombra.

   Mező	Leírás
   Előfizetés	Válassza ki a használni kívánt Azure-előfizetést.
   Erőforráscsoport	Az előfizetés valamelyik meglévő erőforráscsoportját használja, vagy adjon meg egy nevet új erőforráscsoport létrehozásához. Az erőforráscsoportok egy Azure-megoldáshoz kapcsolódó erőforrásokat tárolnak.
   Munkaterület neve	Adjon meg egy egyedi nevet, amely azonosítja a munkaterületet. A neveknek egyedinek kell lenniük az erőforráscsoportban. Olyan nevet használjon, amely könnyen visszahívható, és megkülönböztethető a mások által létrehozott munkaterületektől.
   Régió	Válassza ki a felhasználókhoz legközelebb eső helyet és az adaterőforrásokat a munkaterület létrehozásához.
   Storage-fiók	A munkaterület alapértelmezett adattáraként egy tárfiókot használunk. Létrehozhat egy új Azure Storage-erőforrást, vagy kiválaszthat egy meglévőt az előfizetésében.
   KeyVault	A kulcstartó a munkaterület által igényelt titkos kulcsok és egyéb bizalmas információk tárolására szolgál. Létrehozhat egy új Azure Key Vault-erőforrást, vagy kiválaszthat egy meglévőt az előfizetésében.
   Application Insights	A munkaterület Azure-alkalmazás Elemzések használ az üzembe helyezett modellek monitorozási információinak tárolására. Létrehozhat egy új Azure-alkalmazás Elemzések erőforrást, vagy kiválaszthat egy meglévőt az előfizetésében.
   Container Registry	A tárolóregisztrációs adatbázis a betanításokban és üzembe helyezésekben használt Docker-rendszerképek regisztrálására szolgál. A költségek minimalizálása érdekében egy új Azure Container Registry-erőforrás csak az első rendszerkép létrehozása után jön létre. Másik lehetőségként dönthet úgy is, hogy most hozza létre az erőforrást, vagy válasszon ki egy meglévőt az előfizetésében, vagy válassza a Nincs lehetőséget, ha nem szeretne tárolóregisztrációs adatbázist használni.

4. A Hálózatkezelés lapon válassza az Összes hálózat nyilvános hozzáférésének engedélyezése lehetőséget.

   Adja meg a megfelelő beállításokat a Speciális vagy a Címkék lapon, majd válassza a Véleményezés + létrehozás lehetőséget.

5. A Véleményezés + létrehozás lapon tekintse át az információkat, és ellenőrizze, hogy helyes-e, majd válassza a Létrehozás lehetőséget a munkaterület üzembe helyezésének megkezdéséhez. Példa:

   

   A munkaterület létrehozása a felhőben több percet is igénybe vehet. Ez idő alatt a munkaterület áttekintési oldala megjeleníti az üzembe helyezés aktuális állapotát, valamint az üzembe helyezés befejezésekor megjelenő frissítéseket.

Privát végpont

Az eljárás lépései adott esetben hivatkoznak az Azure Machine Tanulás dokumentációjában szereplő konkrét cikkekre. További információ: Biztonságos Azure Machine-Tanulás-munkaterület létrehozása.

1. Virtuális gép (VM) jump box létrehozása egy virtuális hálózaton belül. Mivel a virtuális hálózat korlátozza a nyilvános internetről való hozzáférést, a jump box segítségével csatlakozhat a virtuális hálózat mögötti erőforrásokhoz.

2. Nyissa meg a jump boxot, majd lépjen a Microsoft Sentinel-munkaterületre. Javasoljuk, hogy az Azure Bastion használatával férhessen hozzá a virtuális géphez.

3. Az Azure PortalOn a Microsoft Sentinel esetében a Fenyegetéskezelés területen válassza a Jegyzetfüzetek lehetőséget.
   Microsoft Sentinel esetén a Defender portálon válassza a Microsoft Sentinel>fenyegetéskezelési>jegyzetfüzetek lehetőséget.

4. Válassza az Azure Machine konfigurálása Tanulás> Új AML-munkaterület létrehozása lehetőséget.

5. Adja meg a következő adatokat, majd kattintson a Tovább gombra.

   Mező	Leírás
   Előfizetés	Válassza ki a használni kívánt Azure-előfizetést.
   Erőforráscsoport	Az előfizetés valamelyik meglévő erőforráscsoportját használja, vagy adjon meg egy nevet új erőforráscsoport létrehozásához. Az erőforráscsoportok egy Azure-megoldáshoz kapcsolódó erőforrásokat tárolnak.
   Munkaterület neve	Adjon meg egy egyedi nevet, amely azonosítja a munkaterületet. A neveknek egyedinek kell lenniük az erőforráscsoportban. Olyan nevet használjon, amely könnyen visszahívható, és megkülönböztethető a mások által létrehozott munkaterületektől.
   Régió	Válassza ki a felhasználókhoz legközelebb eső helyet és az adaterőforrásokat a munkaterület létrehozásához.
   Storage-fiók	A munkaterület alapértelmezett adattáraként egy tárfiókot használunk. Létrehozhat egy új Azure Storage-erőforrást, vagy kiválaszthat egy meglévőt az előfizetésében.
   KeyVault	A kulcstartó a munkaterület által igényelt titkos kulcsok és egyéb bizalmas információk tárolására szolgál. Létrehozhat egy új Azure Key Vault-erőforrást, vagy kiválaszthat egy meglévőt az előfizetésében.
   Application Insights	A munkaterület Azure-alkalmazás Elemzések használ az üzembe helyezett modellek monitorozási információinak tárolására. Létrehozhat egy új Azure-alkalmazás Elemzések erőforrást, vagy kiválaszthat egy meglévőt az előfizetésében.
   Container Registry	A tárolóregisztrációs adatbázis a betanításokban és üzembe helyezésekben használt Docker-rendszerképek regisztrálására szolgál. A költségek minimalizálása érdekében egy új Azure Container Registry-erőforrás csak az első rendszerkép létrehozása után jön létre. Másik lehetőségként dönthet úgy is, hogy most hozza létre az erőforrást, vagy válasszon ki egy meglévőt az előfizetésében, vagy válassza a Nincs lehetőséget, ha nem szeretne tárolóregisztrációs adatbázist használni.

6. A Hálózatkezelés lapon válassza a Nyilvános hozzáférés letiltása és a privát végpont használata lehetőséget. Győződjön meg arról, hogy ugyanazt a virtuális hálózatot használja, mint a virtuális gép jump boxjában. Példa:

   

7. Adja meg a megfelelő beállításokat a Speciális vagy a Címkék lapon, majd válassza a Véleményezés + létrehozás lehetőséget.

8. A Véleményezés + létrehozás lapon tekintse át az információkat, és ellenőrizze, hogy helyes-e, majd válassza a Létrehozás lehetőséget a munkaterület üzembe helyezésének megkezdéséhez. Példa:

   

   A munkaterület létrehozása a felhőben több percet is igénybe vehet. Ez idő alatt a munkaterület áttekintési oldala megjeleníti az üzembe helyezés aktuális állapotát, valamint az üzembe helyezés befejezésekor megjelenő frissítéseket.

9. Az Azure Machine Tanulás Studióban, a Számítás lapon hozzon létre egy új számítást. A Speciális Gépház lapon jelölje ki ugyanazt a virtuális hálózatot, amelyet a virtuális gép jump boxjához használt. További információ: Azure Machine-Tanulás számítási példány létrehozása és kezelése.

10. Konfigurálja a hálózati forgalmat az Azure Machine Tanulás tűzfal mögötti elérésére. További információ: Bejövő és kimenő hálózati forgalom konfigurálása.

Folytassa az alábbi lépések egyikével:

• Ha csak egy privát hivatkozása van: Mostantól az alábbi módszerek bármelyikével elérheti a jegyzetfüzeteket:

  • Jegyzetfüzetek klónozása és elindítása a Microsoft Sentinelből az Azure Machine-Tanulás
  • Jegyzetfüzetek feltöltése manuálisan az Azure Machine-Tanulás
  • A Microsoft Sentinel-jegyzetfüzetek GitHub-adattárának klónozása az Azure Machine Tanulás terminálon

• Ha egy másik privát kapcsolattal rendelkezik, amely egy másik virtuális hálózatot használ, tegye a következőket:

  1. Az Azure Portalon nyissa meg az Azure Machine Tanulás-munkaterület erőforráscsoportját, majd keresse meg a privatelink.api.azureml.ms és privatelink.notebooks.azure.ms nevű saját DNS zónaerőforrásokat. Példa:

     

  2. Minden erőforráshoz , beleértve privatelink.api.azureml.ms és privatelink.notebooks.azure.ms is, adjon hozzá egy virtuális hálózati kapcsolatot.

     Válassza ki a Hozzáadás erőforrás >virtuális hálózati hivatkozásait>. További információ: A virtuális hálózat összekapcsolása.

További információkért lásd:

• Hálózati forgalom forgalom biztonságos munkaterület használata esetén
• Azure Machine Learning-munkaterületi erőforrások biztonságossá tétele virtuális hálózatok használatával

Az üzembe helyezés befejezése után térjen vissza a Microsoft Sentinel jegyzetfüzeteihez, és indítsa el a jegyzetfüzeteket az új Azure Machine Tanulás-munkaterületről.

Ha több jegyzetfüzete van, mindenképpen válasszon ki egy alapértelmezett AML-munkaterületet, amelyet a jegyzetfüzetek indításakor használni szeretne. Példa:

Jegyzetfüzet indítása az Azure Machine Tanulás-munkaterületen

Miután létrehozott egy Azure Machine Tanulás-munkaterületet, indítsa el a jegyzetfüzeteket a munkaterületen a Microsoft Sentinelből.

1. Az Azure PortalOn a Microsoft Sentinel esetében a Fenyegetéskezelés területen válassza a Jegyzetfüzetek lehetőséget.
   Microsoft Sentinel esetén a Defender portálon válassza a Microsoft Sentinel>fenyegetéskezelési>jegyzetfüzetek lehetőséget.

2. A Sablonok lapra kattintva megtekintheti a Microsoft Sentinel által biztosított jegyzetfüzeteket.

3. Válasszon ki egy jegyzetfüzetet a leírás, a szükséges adattípusok és adatforrások megtekintéséhez.

4. Amikor megtalálta a használni kívánt jegyzetfüzetet, válassza a Létrehozás sablonból lehetőséget, és a Mentés lehetőséget a saját munkaterületére való klónozásához.

5. Szükség szerint szerkessze a nevet. Ha a jegyzetfüzet már létezik a munkaterületen, írja felül a meglévő jegyzetfüzetet, vagy hozzon létre egy újat. A jegyzetfüzet alapértelmezés szerint a kijelölt AML-munkaterület /Users/<Your_User_Name>/könyvtárába lesz mentve.

   

6. A jegyzetfüzet mentése után a Jegyzetfüzet mentése gomb a Jegyzetfüzet indítása gombra változik. Válassza a Jegyzetfüzet indítása lehetőséget az AML-munkaterületen való megnyitásához.

   Példa:

   

7. A lap tetején válassza ki a jegyzetfüzet-kiszolgálóhoz használni kívánt számítási példányt.

   Ha nincs számítási példánya, hozzon létre egy újat. Ha a számítási példány le van állítva, mindenképpen indítsa el. További információ: Jegyzetfüzet futtatása az Azure Machine Tanulás Studióban.

   Csak Ön láthatja és használhatja a létrehozott számítási példányokat. A felhasználói fájlok tárolása a virtuális géptől külön történik, és a munkaterület összes számítási példánya között meg vannak osztva.

   Ha új számítási példányt hoz létre a jegyzetfüzetek teszteléséhez, hozza létre a számítási példányt az Általános célú kategóriával.

   A kernel az Azure Machine Tanulás ablakának jobb felső sarkában is megjelenik. Ha a szükséges kernel nincs kiválasztva, válasszon egy másik verziót a legördülő listából.

8. A jegyzetfüzet-kiszolgáló létrehozása és elindítása után futtassa a jegyzetfüzetcellát. Minden cellában válassza a Futtatás ikont a jegyzetfüzet kódjának futtatásához.

   További információ: Parancsmód billentyűparancsai.

9. Ha a jegyzetfüzet lefagy, vagy újra szeretné kezdeni, újraindíthatja a kernelt, és az elejétől kezdve újrafuttathatja a jegyzetfüzet celláit. Ha újraindítja a kernelt, a rendszer törli a változókat és más állapotokat. Az újraindítás után futtassa újra az inicializálási és hitelesítési cellákat.

   Az újrakezdéshez válassza a Kernelműveletek>újraindítása kernel lehetőséget. Példa:

   

Kód futtatása a jegyzetfüzetben

Mindig futtassa a jegyzetfüzet kódcelláinak sorrendjét. A cellák kihagyása hibákhoz vezethet.

Jegyzetfüzetben:

• A Markdown-cellák szövegeket tartalmaznak, beleértve a HTML-t és a statikus képeket is.
• A kódcellák kódot tartalmaznak. Miután kijelölt egy kódcellát, futtassa a kódot a cellában a cella bal oldalán található Lejátszás ikonra kattintva vagy a SHIFT+ENTER billentyűkombinációval.

Futtassa például a következő kódcellát a jegyzetfüzetben:

# This is your first code cell. This cell contains basic Python code.

# You can run a code cell by selecting it and then selecting
# the Play button to the left of the cell, or by pressing SHIFT+ENTER.
# Code output displays below the code.

print("Congratulations, you just ran this code cell")

y = 2 + 2

print("2 + 2 =", y)

A mintakód a következő kimenetet hozza létre:

Congratulations, you just ran this code cell

2 + 2 = 4

A jegyzetfüzet kódcellájában beállított változók megmaradnak a cellák között, így egymáshoz láncolják a cellákat. Az alábbi kódcella például az előző cella értékét y használja:

# Note that output from the last line of a cell is automatically
# sent to the output cell, without needing the print() function.

y + 2

A kimenet a következő:

6

Az összes Microsoft Sentinel-jegyzetfüzet letöltése

Ez a szakasz azt ismerteti, hogyan töltheti le a Gitet a Microsoft Sentinel GitHub-adattárban elérhető összes jegyzetfüzet letöltésére egy Microsoft Sentinel-jegyzetfüzetből közvetlenül az Azure Machine Tanulás-munkaterületre.

A Microsoft Sentinel-jegyzetfüzetek Azure Machine-Tanulás-munkaterületen való tárolásával egyszerűen frissítheti őket.

1. Egy Microsoft Sentinel-jegyzetfüzetben írja be a következő kódot egy üres cellába, majd futtassa a cellát:

   !git clone https://github.com/Azure/Azure-Sentinel-Notebooks.git azure-sentinel-nb
   

   A GitHub-adattár tartalmának másolata az Azure Machine Tanulás-munkaterület felhasználói mappájának azure-Sentinel-nb könyvtárában jön létre.

2. Másolja a kívánt jegyzetfüzeteket ebből a mappából a munkakönyvtárba.

3. Ha frissíteni szeretné a jegyzetfüzeteket a GitHub legutóbbi módosításaival, futtassa a következőt:

   !cd azure-sentinel-nb && git pull
   

Kapcsolódó tartalom

• Jupyter notebookok a Microsoft Sentinel vadászati képességeivel
• A Jupyter notebookok és az MSTICPy használatának első lépései a Microsoft Sentinelben