Notebook Jupyter dengan kemampuan berburu Microsoft Azure Sentinel

Artikel
04/05/2024
Berlaku untuk:

Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Notebook Jupyter menggabungkan pemrograman penuh dengan koleksi pustaka yang besar untuk pembelajaran mesin, visualisasi, dan analisis data. Atribut ini menjadikan Jupyter alat yang penting untuk investigasi dan deteksi ancaman keamanan.

Fondasi dari Microsoft Sentinel adalah penyimpanan data; penyimpanan ini menggabungkan kueri dengan performa tinggi, skema dinamis, dan penskalaan terhadap data bervolume besar. Portal Azure dan semua alat Microsoft Sentinel menggunakan API umum untuk mengakses penyimpanan data ini. API yang sama juga tersedia untuk alat eksternal seperti notebook Jupyter dan Python.

Penting

Microsoft Azure Sentinel tersedia sebagai bagian dari pratinjau publik untuk platform operasi keamanan terpadu di portal Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.

Kapan menggunakan notebook Jupyter

Meskipun banyak tugas umum yang dapat dilakukan di portal, Jupyter memperluas cakupan kemampuan Anda dengan data ini.

Misalnya, gunakan buku catatan untuk:

Melakukan analitik yang tidak disediakan di luar kotak di Microsoft Azure Sentinel, seperti beberapa fitur pembelajaran mesin Python
Membuat visualisasi data yang tidak disediakan di luar kotak di Microsoft Azure Sentinel, seperti garis waktu kustom dan pohon proses
Mengintegrasikan sumber data di luar Microsoft Sentinel, seperti himpunan data lokal.

Kami mengintegrasikan pengalaman Jupyter ke dalam portal Azure, memudahkan Anda membuat dan menjalankan notebook untuk menganalisis data Anda. Pustaka Kqlmagic menyediakan lem yang memungkinkan Anda mengambil kueri Bahasa Kueri Kusto (KQL) dari Microsoft Sentinel dan menjalankannya langsung di dalam notebook.

Beberapa notebook, yang dikembangkan oleh beberapa analis keamanan Microsoft, dipaketkan dengan Microsoft Sentinel:

Beberapa buku catatan ini dibuat untuk skenario tertentu dan dapat digunakan apa adanya.
Notebook lainnya dimaksudkan sebagai sampel untuk mengilustrasikan teknik dan fitur yang dapat Anda salin atau adaptasikan untuk digunakan di notebook Anda sendiri.

Impor notebook lain dari repositori GitHub Microsoft Sentinel.

Cara kerja notebook Jupyter

Buku catatan memiliki dua komponen:

Antarmuka berbasis browser, tempat Anda memasukkan dan menjalankan kueri dan kode, dan tempat hasil eksekusi ditampilkan.
Sebuah kernel yang bertanggung jawab untuk menguraikan dan mengeksekusi kode itu sendiri.

Kernel buku catatan Microsoft Azure Sentinel berjalan di komputer (VM) Azure. Instans VM dapat mendukung proses menjalankan banyak notebook sekaligus. Jika notebook Anda menyertakan model pembelajaran mesin yang kompleks, ada beberapa opsi lisensi untuk menggunakan mesin virtual yang lebih canggih.

Memahami paket Python

Notebook Microsoft Sentinel menggunakan banyak pustaka Python populer seperti pandas, matplotlib, bokeh, dan lainnya. Ada banyak paket Python lainnya yang dapat Anda pilih, yang mencakup area seperti:

Visualisasi dan grafik
Pemrosesan data dan analisis
Statistik dan komputasi numerik
Pembelajaran mesin dan pembelajaran mendalam

Untuk menghindari harus mengetik atau menempelkan kode yang kompleks dan berulang ke dalam sel notebook, sebagian besar notebook Python bergantung pada pustaka pihak ketiga yang disebut paket. Untuk menggunakan paket di notebook, Anda perlu menginstal dan mengimpor paket. Azure Pembelajaran Mesin Compute memiliki paket paling umum yang telah diinstal sebelumnya. Pastikan Anda mengimpor paket, atau bagian yang relevan dari paket, seperti modul, file, fungsi, atau kelas.

Notebook Microsoft Sentinel menggunakan paket Python yang disebut MSTICPy, yang merupakan kumpulan alat keamanan cyber untuk pengambilan, analisis, pengayaan, dan visualisasi data.

Alat MSTICPy dirancang khusus untuk membantu membuat notebook dengan tujuan berburu dan investigasi ancaman, dan kami secara aktif mengerjakan berbagai fitur dan peningkatan baru. Untuk informasi selengkapnya, lihat:

Menemukan notebook

Di Microsoft Azure Sentinel, pilih Notebooks untuk melihat notebook yang disediakan Microsoft Azure Sentinel. Pelajari selengkapnya tentang menggunakan notebook dalam perburuan dan investigasi ancaman dengan menjelajahi templat buku catatan seperti Pemindaian Kredensial di Azure Log Analytics dan Investigasi Terpandu - Pemberitahuan Proses.

Untuk notebook lainnya yang dibuat oleh Microsoft atau dikontribusikan dari komunitas, buka repositori GitHub Microsoft Sentinel. Gunakan notebook yang dibagikan di Repositori GitHub Microsoft Sentinel sebagai alat, ilustrasi, dan sampel kode yang berguna yang dapat Anda gunakan saat mengembangkan notebook Anda sendiri.

Direktori Sample-Notebooks menyertakan sampel notebook yang disimpan dengan data yang dapat Anda gunakan untuk menampilkan output yang diinginkan.
Direktori HowTos menyertakan notebook yang menjelaskan konsep seperti menyetel versi Python default, membuat bookmark Microsoft Sentinel dari notebook, dan banyak lagi.

Mengelola akses ke notebook Microsoft Sentinel

Untuk menggunakan notebook Jupyter di Microsoft Sentinel, Anda harus terlebih dahulu memiliki izin yang sesuai, tergantung pada peran pengguna Anda.

Meskipun Anda dapat menjalankan notebook Microsoft Azure Sentinel di JupyterLab atau Jupyter klasik, di Microsoft Sentinel, notebook dijalankan di platform Azure Pembelajaran Mesin. Untuk menjalankan notebook di Microsoft Azure Sentinel, Anda harus memiliki akses yang sesuai ke ruang kerja Microsoft Azure Sentinel dan ruang kerja Azure Pembelajaran Mesin.

Izin	Deskripsi
Izin Microsoft Sentinel	Seperti sumber daya Microsoft Sentinel lainnya, untuk mengakses notebook di bilah Notebooks Microsoft Sentinel, peran Pembaca Microsoft Sentinel, Penanggap Microsoft Sentinel, atau Kontributor Microsoft Sentinel diperlukan. Untuk informasi selengkapnya, lihat Izin di Microsoft Azure Sentinel.
Izin Azure Machine Learning	Ruang kerja Azure Machine Learning adalah sumber daya Azure. Seperti sumber daya Azure lainnya, ketika selesai dibuat, ruang kerja Microsoft Azure Machine Learning yang baru hadir dengan tiga peran default. Anda dapat menambahkan pengguna ke ruang kerja dan menetapkannya ke salah satu peran bawaan ini. Untuk informasi selengkapnya, lihat peran default Azure Machine Learning dan peran bawaan Azure. Penting: Akses peran dapat dicakupkan ke beberapa level di Azure. Misalnya, seseorang dengan akses pemilik ke ruang kerja mungkin tidak memiliki akses pemilik ke grup sumber daya yang berisi ruang kerja. Untuk informasi selengkapnya, lihat Cara kerja Azure RBAC. Jika Anda adalah pemilik ruang kerja Azure ML, Anda dapat menambahkan dan menghapus peran untuk ruang kerja dan menetapkan peran kepada pengguna. Untuk informasi selengkapnya, lihat: - Portal Azure - PowerShell - Azure CLI - REST API - Templat Azure Resource Manager - Azure Machine Learning CLI Jika peran bawaan tidak cukup, Anda dapat membuat peran kustom. Peran kustom mungkin memiliki izin sumber daya baca, tulis, hapus, dan komputasi di ruang kerja tersebut. Anda dapat menyediakan peran di tingkat ruang kerja tertentu, tingkat grup sumber daya tertentu, atau tingkat langganan tertentu. Untuk informasi selengkapnya, lihat Membuat peran kustom.

Izin

Deskripsi

Izin Microsoft Sentinel

Seperti sumber daya Microsoft Sentinel lainnya, untuk mengakses notebook di bilah Notebooks Microsoft Sentinel, peran Pembaca Microsoft Sentinel, Penanggap Microsoft Sentinel, atau Kontributor Microsoft Sentinel diperlukan.

Untuk informasi selengkapnya, lihat Izin di Microsoft Azure Sentinel.

Izin Azure Machine Learning

Ruang kerja Azure Machine Learning adalah sumber daya Azure. Seperti sumber daya Azure lainnya, ketika selesai dibuat, ruang kerja Microsoft Azure Machine Learning yang baru hadir dengan tiga peran default. Anda dapat menambahkan pengguna ke ruang kerja dan menetapkannya ke salah satu peran bawaan ini. Untuk informasi selengkapnya, lihat peran default Azure Machine Learning dan peran bawaan Azure.

Penting: Akses peran dapat dicakupkan ke beberapa level di Azure. Misalnya, seseorang dengan akses pemilik ke ruang kerja mungkin tidak memiliki akses pemilik ke grup sumber daya yang berisi ruang kerja. Untuk informasi selengkapnya, lihat Cara kerja Azure RBAC.

Jika Anda adalah pemilik ruang kerja Azure ML, Anda dapat menambahkan dan menghapus peran untuk ruang kerja dan menetapkan peran kepada pengguna. Untuk informasi selengkapnya, lihat:
- Portal Azure
- PowerShell
- Azure CLI
- REST API
- Templat Azure Resource Manager
- Azure Machine Learning CLI

Jika peran bawaan tidak cukup, Anda dapat membuat peran kustom. Peran kustom mungkin memiliki izin sumber daya baca, tulis, hapus, dan komputasi di ruang kerja tersebut. Anda dapat menyediakan peran di tingkat ruang kerja tertentu, tingkat grup sumber daya tertentu, atau tingkat langganan tertentu. Untuk informasi selengkapnya, lihat Membuat peran kustom.

Mengirimkan umpan balik untuk buku catatan

Kirim umpan balik, permintaan fitur, laporan bug, atau penyempurnaan pada notebook yang sudah ada. Buka repositori GitHub Microsoft Sentinel untuk membuat masalah, atau fork dan unggah kontribusi.

Untuk blog, video, dan sumber daya lainnya, lihat:

Membuat notebook Microsoft Sentinel pertama Anda (Seri blog)
Tutorial: Notebook Microsoft Sentinel - Memulai (Video)
Tutorial: Mengedit dan menjalankan notebook Jupyter tanpa meninggalkan azure Pembelajaran Mesin studio (Video)
Mendeteksi Kebocoran Kredensial menggunakan Notebook Azure Sentinel (Video)
Webinar: Dasar-dasar notebook Microsoft Azure Sentinel (Video)
Jupyter, msticpy, dan Microsoft Sentinel