Berburu ancaman keamanan dengan buku catatan Jupyter

• Berlaku untuk:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Sebagai salah satu bagian dari investigasi dan perburuan keamanan Anda, luncurkan dan jalankan buku catatan Jupyter untuk menganalisis data Anda secara terprogram.

Dalam artikel ini, Anda membuat ruang kerja Azure Pembelajaran Mesin, meluncurkan notebook dari Microsoft Sentinel ke ruang kerja Azure Pembelajaran Mesin Anda, dan menjalankan kode di buku catatan.

Penting

Microsoft Azure Sentinel tersedia sebagai bagian dari pratinjau publik untuk platform operasi keamanan terpadu di portal Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.

Prasyarat

Kami menyarankan agar Anda mempelajari tentang notebook Microsoft Azure Sentinel sebelum menyelesaikan langkah-langkah dalam artikel ini. Lihat Menggunakan buku catatan Jupyter untuk berburu ancaman keamanan.

Untuk menggunakan buku catatan Microsoft Sentinel, Anda harus memiliki peran dan izin berikut:

Jenis	Detail
Microsoft Sentinel	- Peran Kontributor Microsoft Azure Sentinel, untuk menyimpan dan meluncurkan buku catatan dari Microsoft Azure Sentinel
Pembelajaran Mesin Azure	- Peran Pemilik atau Kontributor tingkat grup sumber daya, untuk membuat ruang kerja Pembelajaran Mesin Azure baru jika diperlukan. - Peran Kontributor di ruang kerja Azure Machine Learning tempat Anda menjalankan buku catatan Microsoft Azure Sentinel. Untuk informasi selengkapnya, lihat Mengelola akses ke ruang kerja Azure Machine Learning.

Membuat ruang kerja Azure Pembelajaran Mesin dari Microsoft Azure Sentinel

Untuk membuat ruang kerja Anda, pilih salah satu tab berikut, bergantung pada apakah Anda menggunakan titik akhir publik atau privat.

• Kami menyarankan agar Anda menggunakan titik akhir publik saat ruang kerja Microsoft Azure Sentinel Anda memilikinya, untuk menghindari potensi masalah dalam komunikasi jaringan.
• Jika Anda ingin menggunakan ruang kerja Azure Pembelajaran Mesin di jaringan virtual, gunakan titik akhir privat.

Titik akhir publik

1. Untuk Microsoft Azure Sentinel di portal Azure, di bawah Manajemen ancaman, pilih Buku Catatan.
   Untuk Microsoft Azure Sentinel di portal Defender, pilih Notebook manajemen>Ancaman Microsoft Sentinel>.

2. Pilih Konfigurasikan Azure Pembelajaran Mesin> Buat ruang kerja AML baru.

3. Masukkan nilai berikut, lalu pilih Berikutnya.

   Bidang	Deskripsi
   Langganan	Pilih langganan Azure yang ingin Anda gunakan.
   Grup sumber daya	Gunakan grup sumber daya yang sudah ada di langganan Anda atau masukkan nama untuk membuat grup sumber daya baru. Grup sumber daya menyimpan sumber daya terkait untuk solusi Azure.
   Nama ruang kerja	Masukkan nama unik yang mengidentifikasi ruang kerja Anda. Tidak boleh ada ruang kerja dengan nama yang sama di seluruh grup sumber daya. Gunakan nama yang mudah ingat dan berbeda dengan ruang kerja yang dibuat oleh orang lain.
   Wilayah	Pilih lokasi yang paling dekat dengan pengguna dan sumber daya data untuk membuat ruang kerja Anda.
   Akun penyimpanan	Akun penyimpanan digunakan sebagai penyimpanan data default untuk ruang kerja. Anda dapat membuat sumber daya Azure Storage baru atau memilih sumber daya yang sudah ada di langganan Anda.
   KeyVault	Vault kunci digunakan untuk menyimpan rahasia dan informasi sensitif lainnya yang dibutuhkan oleh ruang kerja. Anda dapat membuat sumber daya Azure Key Vault baru atau memilih sumber daya yang sudah ada di langganan Anda.
   Application Insights	Ruang kerja menggunakan Azure Application Insights untuk menyimpan informasi pemantauan tentang model yang terapkan. Anda dapat membuat sumber daya Azure Application Insights baru atau memilih sumber daya yang sudah ada di langganan Anda.
   Registri kontainer	Registri kontainer digunakan untuk mendaftarkan gambar docker yang digunakan dalam pelatihan dan penerapan. Untuk meminimalkan biaya, sumber daya Azure Container Registry baru dibuat hanya setelah Anda membangun gambar pertama Anda. Atau, Anda dapat memilih untuk membuat sumber daya sekarang atau memilih sumber daya yang sudah ada di langganan Anda, atau memilih Tidak Ada jika Anda tidak ingin menggunakan registri kontainer apa pun.

4. Pada tab Jaringan, pilih Aktifkan akses publik dari semua jaringan.

   Tentukan pengaturan yang relevan di tab Tingkat Lanjut atau Tag, lalu pilih Tinjau + buat.

5. Pada tab Tinjau + buat, tinjau informasi untuk memverifikasi kebenarannya, lalu pilih Buat untuk mulai menerapkan ruang kerja Anda. Contohnya:

   

   Diperlukan beberapa menit untuk membuat ruang kerja Anda di cloud. Selama ruang kerja dibuat, laman Ringkasan ruang kerja menampilkan status penerapan saat ini, dan diperbarui saat penerapan selesai.

Titik akhir privat

Langkah-langkah dalam prosedur ini merujuk pada artikel tertentu dalam dokumentasi Azure Machine Learning jika relevan. Untuk informasi selengkapnya, lihat Cara membuat ruang kerja Azure Pembelajaran Mesin yang aman.

1. Buat jump box komputer virtual (VM) dalam jaringan virtual. Karena jaringan virtual membatasi akses dari internet publik, jump box digunakan sebagai cara untuk terhubung ke sumber daya di belakang jaringan virtual.

2. Akses kotak lompat, lalu buka ruang kerja Microsoft Sentinel Anda. Sebaiknya gunakan Azure Bastion untuk mengakses VM.

3. Untuk Microsoft Azure Sentinel di portal Azure, di bawah Manajemen ancaman, pilih Buku Catatan.
   Untuk Microsoft Azure Sentinel di portal Defender, pilih Notebook manajemen>Ancaman Microsoft Sentinel>.

4. Pilih Konfigurasikan Azure Pembelajaran Mesin> Buat ruang kerja AML baru.

5. Masukkan nilai berikut, lalu pilih Berikutnya.

   Bidang	Deskripsi
   Langganan	Pilih langganan Azure yang ingin Anda gunakan.
   Grup sumber daya	Gunakan grup sumber daya yang sudah ada di langganan Anda atau masukkan nama untuk membuat grup sumber daya baru. Grup sumber daya menyimpan sumber daya terkait untuk solusi Azure.
   Nama ruang kerja	Masukkan nama unik yang mengidentifikasi ruang kerja Anda. Tidak boleh ada ruang kerja dengan nama yang sama di seluruh grup sumber daya. Gunakan nama yang mudah ingat dan berbeda dengan ruang kerja yang dibuat oleh orang lain.
   Wilayah	Pilih lokasi yang paling dekat dengan pengguna dan sumber daya data untuk membuat ruang kerja Anda.
   Akun penyimpanan	Akun penyimpanan digunakan sebagai penyimpanan data default untuk ruang kerja. Anda dapat membuat sumber daya Azure Storage baru atau memilih sumber daya yang sudah ada di langganan Anda.
   KeyVault	Vault kunci digunakan untuk menyimpan rahasia dan informasi sensitif lainnya yang dibutuhkan oleh ruang kerja. Anda dapat membuat sumber daya Azure Key Vault baru atau memilih sumber daya yang sudah ada di langganan Anda.
   Application Insights	Ruang kerja menggunakan Azure Application Insights untuk menyimpan informasi pemantauan tentang model yang terapkan. Anda dapat membuat sumber daya Azure Application Insights baru atau memilih sumber daya yang sudah ada di langganan Anda.
   Registri kontainer	Registri kontainer digunakan untuk mendaftarkan gambar docker yang digunakan dalam pelatihan dan penerapan. Untuk meminimalkan biaya, sumber daya Azure Container Registry baru dibuat hanya setelah Anda membangun gambar pertama Anda. Atau, Anda dapat memilih untuk membuat sumber daya sekarang atau memilih sumber daya yang sudah ada di langganan Anda, atau memilih Tidak Ada jika Anda tidak ingin menggunakan registri kontainer apa pun.

6. Pada tab Jaringan , pilih Nonaktifkan akses publik dan gunakan titik akhir privat. Pastikan untuk menggunakan jaringan virtual yang sama seperti yang Anda miliki di jump box VM. Contohnya:

   

7. Tentukan pengaturan yang relevan di tab Tingkat Lanjut atau Tag, lalu pilih Tinjau + buat.

8. Pada tab Tinjau + buat, tinjau informasi untuk memverifikasi kebenarannya, lalu pilih Buat untuk mulai menerapkan ruang kerja Anda. Contohnya:

   

   Diperlukan beberapa menit untuk membuat ruang kerja Anda di cloud. Selama ruang kerja dibuat, laman Ringkasan ruang kerja menampilkan status penerapan saat ini, dan diperbarui saat penerapan selesai.

9. Di studio Azure Machine Learning, di halaman Azure Compute, buat komputasi baru. Pada tab Pengaturan Tingkat Lanjut, pastikan untuk memilih jaringan virtual yang sama dengan yang akan Anda gunakan untuk jump box VM Anda. Untuk informasi selengkapnya, lihat Membuat dan mengelola instans komputasi Azure Machine Learning.

10. Konfigurasikan lalu lintas jaringan Anda untuk mengakses Azure Pembelajaran Mesin dari belakang firewall. Untuk informasi selengkapnya, lihat Mengonfigurasi lalu lintas masuk dan keluar.

Lanjutkan dengan salah satu kumpulan langkah berikut:

• Jika Anda hanya memiliki satu link privat: Anda sekarang dapat mengakses buku catatan melalui salah satu metode berikut:

  • Mengkloning dan meluncurkan buku catatan dari Microsoft Sentinel ke Azure Machine Learning
  • Mengunggah buku catatan ke Azure Machine Learning secara manual
  • Mengkloning repositori GitHub notebook Microsoft Sentinel di terminal Azure Pembelajaran Mesin

• Jika Anda memiliki link privat lain, yang menggunakan VNET yang berbeda, lakukan hal berikut:

  1. Di portal Azure, buka grup sumber daya ruang kerja Azure Machine Learning, lalu cari sumber daya Zona DNS privat bernama privatelink.api.azureml.ms dan privatelink.notebooks.azure.ms. Contohnya:

     

  2. Untuk setiap sumber daya, termasuk privatelink.api.azureml.ms dan privatelink.notebooks.azure.ms, tambahkan link jaringan virtual.

     Pilih sumber daya >Link jaringan virtual>Tambahkan. Untuk informasi selengkapnya, lihat Menautkan jaringan virtual.

Untuk informasi selengkapnya, lihat:

• Arus lalu lintas jaringan saat menggunakan ruang kerja aman
• Sumber daya ruang kerja Azure Machine Learning yang aman menggunakan jaringan virtual (VNets)

Setelah penyebaran Selesai, kembali ke Notebooks di Microsoft Sentinel dan luncurkan notebook dari ruang kerja Azure Pembelajaran Mesin baru Anda.

Jika Anda memiliki beberapa notebook, pastikan untuk memilih ruang kerja AML default untuk digunakan saat meluncurkan notebook Anda. Contohnya:

Meluncurkan buku catatan di ruang kerja Azure Pembelajaran Mesin Anda

Setelah Anda membuat ruang kerja Azure Pembelajaran Mesin, luncurkan buku catatan Anda di ruang kerja tersebut dari Microsoft Azure Sentinel.

1. Untuk Microsoft Azure Sentinel di portal Azure, di bawah Manajemen ancaman, pilih Buku Catatan.
   Untuk Microsoft Azure Sentinel di portal Defender, pilih Notebook manajemen>Ancaman Microsoft Sentinel>.

2. Pilih tab Templat untuk melihat buku catatan yang disediakan Microsoft Azure Sentinel.

3. Pilih notebook untuk melihat deskripsi, tipe data yang diperlukan, dan sumber data.

4. Saat Anda menemukan buku catatan yang ingin Anda gunakan, pilih Buat dari templat dan Simpan untuk mengkloningnya ke ruang kerja Anda sendiri.

5. Edit nama sesuai kebutuhan. Jika buku catatan sudah ada di ruang kerja Anda, timpa buku catatan yang sudah ada atau buat buku catatan baru. Secara default, notebook Anda disimpan di direktori /Users/<Your_User_Name>/ ruang kerja AML yang dipilih.

   

6. Setelah notebook disimpan, tombol Simpan notebook berubah menjadi Luncurkan notebook. Pilih Luncurkan notebook untuk membukanya di ruang kerja AML Anda.

   Contohnya:

   

7. Di bagian atas laman, pilih instans Komputasi yang akan digunakan untuk server notebook Anda.

   Jika Anda tidak memiliki instans komputasi, buat yang baru. Jika instans komputasi Anda dihentikan, pastikan untuk memulainya. Untuk informasi selengkapnya, lihat Menjalankan notebook di studio Azure Machine Learning.

   Hanya Anda yang dapat melihat dan menggunakan instans komputasi yang Anda buat. File pengguna Anda disimpan secara terpisah dari VM dan dibagikan di antara semua instans komputasi di ruang kerja.

   Jika Anda membuat instans komputasi baru untuk menguji notebook, buat instans komputasi Anda dengan kategori Tujuan Umum.

   Kernel juga ditampilkan di kanan atas jendela Azure Pembelajaran Mesin Anda. Jika kernel yang Anda butuhkan tidak dipilih, pilih versi yang berbeda dari daftar turun bawah.

8. Setelah server buku catatan Anda dibuat dan dimulai, jalankan sel buku catatan Anda. Di setiap sel, pilih ikon Jalankan untuk menjalankan kode notebook Anda.

   Untuk informasi selengkapnya, lihat Pintasan mode perintah.

9. Jika notebook Anda macet atau Anda ingin memulai dari awal, Anda dapat memulai ulang kernel dan menjalankan kembali sel notebook dari awal. Jika Anda menghidupkan ulang kernel, variabel dan status lainnya akan dihapus. Jalankan kembali setiap sel inisialisasi dan autentikasi setelah menghidupkan ulang.

   Untuk memulai ulang, pilih Operasi kernel>Hidupkan ulang kernel. Contohnya:

   

Menjalankan kode di notebook Anda

Selalu jalankan sel kode notebook secara berurutan. Melewatkan sel dapat menyebabkan kesalahan.

Di notebook:

• Sel Markdown memiliki teks, termasuk HTML, dan gambar statis.
• Sel kode berisi kode. Setelah Anda memilih sel kode, jalankan kode dalam sel dengan memilih ikon Putar di sebelah kiri sel, atau dengan menekan SHIFT+ENTER.

Misalnya, jalankan sel kode berikut di notebookAnda:

# This is your first code cell. This cell contains basic Python code.

# You can run a code cell by selecting it and then selecting
# the Play button to the left of the cell, or by pressing SHIFT+ENTER.
# Code output displays below the code.

print("Congratulations, you just ran this code cell")

y = 2 + 2

print("2 + 2 =", y)

Kode sampel menghasilkan output ini:

Congratulations, you just ran this code cell

2 + 2 = 4

Variabel yang diatur dalam sel kode notebook bertahan di antara sel, sehingga Anda dapat merantai sel bersama-sama. Misalnya, sel kode berikut menggunakan nilai y dari sel sebelumnya:

# Note that output from the last line of a cell is automatically
# sent to the output cell, without needing the print() function.

y + 2

Outputnya adalah:

6

Mengunduh semua buku catatan Microsoft Sentinel

Bagian ini menjelaskan cara menggunakan Git untuk mengunduh semua buku catatan yang tersedia di repositori GitHub Microsoft Sentinel, dari dalam buku catatan Microsoft Azure Sentinel, langsung ke ruang kerja Azure Pembelajaran Mesin Anda.

Menyimpan notebook Microsoft Azure Sentinel di ruang kerja Azure Pembelajaran Mesin memungkinkan Anda memperbaruinya dengan mudah.

1. Dari notebook Microsoft Sentinel, masukkan kode berikut ke dalam sel kosong, lalu jalankan sel:

   !git clone https://github.com/Azure/Azure-Sentinel-Notebooks.git azure-sentinel-nb
   

   Salinan konten repositori GitHub dibuat di direktori azure-Sentinel-nb di folder pengguna Anda di ruang kerja Azure Pembelajaran Mesin Anda.

2. Salin notebook yang Anda inginkan dari folder ini ke direktori kerja Anda.

3. Untuk memperbarui notebook Anda dengan perubahan terbaru dari GitHub, jalankan:

   !cd azure-sentinel-nb && git pull
   

Konten terkait

• Notebook Jupyter dengan kemampuan berburu Microsoft Azure Sentinel
• Mulai menggunakan notebook Jupyter dan MSTICPy di Microsoft Sentinel