Notebook Jupyter dengan kemampuan berburu Microsoft Azure Sentinel

2025-07-02
Berlaku untuk: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Notebook Jupyter menggabungkan pemrograman penuh dengan koleksi pustaka yang besar untuk pembelajaran mesin, visualisasi, dan analisis data. Atribut ini menjadikan Jupyter alat yang penting untuk investigasi dan deteksi ancaman keamanan.

Fondasi dari Microsoft Sentinel adalah penyimpanan data; penyimpanan ini menggabungkan kueri dengan performa tinggi, skema dinamis, dan penskalaan terhadap data bervolume besar. Portal Azure dan semua alat Microsoft Sentinel menggunakan API umum untuk mengakses penyimpanan data ini. API yang sama juga tersedia untuk alat eksternal seperti notebook Jupyter dan Python.

Penting

Microsoft Sentinel umumnya tersedia di portal Microsoft Defender, termasuk untuk pelanggan tanpa Microsoft Defender XDR atau lisensi E5.

Mulai Juli 2026, semua pelanggan yang menggunakan Microsoft Sentinel di portal Microsoft Azure akan dialihkan ke portal Defender dan hanya akan menggunakan Microsoft Sentinel di portal Defender. Mulai Juli 2025, banyak pelanggan baru secara otomatis onboarding dan dialihkan ke portal Defender.

Jika Anda masih menggunakan Microsoft Sentinel di portal Microsoft Azure, kami sarankan Anda mulai merencanakan transisi ke portal Defender untuk memastikan transisi yang lancar dan memanfaatkan sepenuhnya pengalaman operasi keamanan terpadu yang ditawarkan oleh Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Saatnya Pindah: Menghentikan portal Microsoft Azure Sentinel untuk keamanan yang lebih besar.

Kapan menggunakan notebook Jupyter

Meskipun banyak tugas umum yang dapat dilakukan di portal, Jupyter memperluas cakupan kemampuan Anda dengan data ini.

Misalnya, gunakan buku catatan untuk:

Melakukan analitik yang tidak disediakan secara bawaan di Microsoft Sentinel, seperti beberapa fitur pembelajaran mesin Python
Membuat visualisasi data yang tidak disediakan secara bawaan di Microsoft Sentinel, seperti garis waktu kustom dan pohon proses
Integrasikan sumber data di luar Microsoft Azure Sentinel, seperti himpunan data lokal.

Kami mengintegrasikan pengalaman Jupyter ke dalam portal Azure, memudahkan Anda membuat dan menjalankan notebook untuk menganalisis data Anda. Pustaka Kqlmagic menyediakan lem yang memungkinkan Anda mengambil kueri Kusto Query Language (KQL) dari Microsoft Sentinel dan menjalankannya langsung di dalam notebook.

Beberapa notebook, yang dikembangkan oleh beberapa analis keamanan Microsoft, dipaketkan dengan Microsoft Sentinel:

Beberapa buku catatan ini dibuat untuk skenario tertentu dan dapat digunakan apa adanya.
Notebook lainnya dimaksudkan sebagai sampel untuk mengilustrasikan teknik dan fitur yang dapat Anda salin atau adaptasikan untuk digunakan di notebook Anda sendiri.

Impor notebook lain dari repositori GitHub Microsoft Sentinel.

Cara kerja notebook Jupyter

Buku catatan memiliki dua komponen:

Antarmuka berbasis browser, tempat Anda memasukkan dan menjalankan kueri dan kode, dan tempat hasil eksekusi ditampilkan.
Kernel yang bertanggung jawab untuk mengurai dan mengeksekusi kode itu sendiri.

Kernel buku catatan Microsoft Azure Sentinel berjalan di komputer (VM) Azure. Instans VM dapat mendukung proses menjalankan banyak notebook sekaligus. Jika notebook Anda menyertakan model pembelajaran mesin yang kompleks, ada beberapa opsi lisensi untuk menggunakan mesin virtual yang lebih canggih.

Memahami paket Python

Notebook Microsoft Sentinel menggunakan banyak pustaka Python populer seperti panda, matplotlib, bokeh, dan lainnya. Ada banyak paket Python lainnya yang dapat Anda pilih, yang mencakup area seperti:

Visualisasi dan grafik
Pemrosesan data dan analisis
Statistik dan komputasi numerik
Pembelajaran mesin dan pembelajaran mendalam

Untuk menghindari harus mengetik atau menempelkan kode yang kompleks dan berulang ke dalam sel buku catatan, sebagian besar buku catatan Python mengandalkan pustaka pihak ketiga yang disebut paket. Untuk menggunakan paket di notebook, Anda perlu menginstal dan mengimpor paket. Azure Pembelajaran Mesin Compute memiliki paket paling umum yang telah diinstal sebelumnya. Pastikan Anda mengimpor paket, atau bagian yang relevan dari paket, seperti modul, file, fungsi, atau kelas.

Notebook Microsoft Azure Sentinel menggunakan paket Python yang disebut MSTICPy, yang merupakan kumpulan alat keamanan cyber untuk pengambilan, analisis, pengayaan, dan visualisasi data.

Alat MSTICPy dirancang khusus untuk membantu membuat notebook dengan tujuan berburu dan investigasi ancaman, dan kami secara aktif mengerjakan berbagai fitur dan peningkatan baru. Untuk informasi selengkapnya, lihat:

Menemukan notebook

Di Microsoft Azure Sentinel, pilih Notebooks untuk melihat notebook yang disediakan Microsoft Azure Sentinel. Pelajari selengkapnya tentang menggunakan notebook dalam perburuan dan investigasi ancaman dengan menjelajahi templat buku catatan seperti Pemindaian Kredensial di Azure Log Analytics dan Investigasi Terpandu - Pemberitahuan Proses.

Untuk notebook lainnya yang dibangun oleh Microsoft atau dikontribusikan dari komunitas, buka repositori GitHub Microsoft Sentinel. Gunakan notebook yang dibagikan di Repositori GitHub Microsoft Sentinel sebagai alat, ilustrasi, dan sampel kode yang berguna yang dapat Anda gunakan saat mengembangkan notebook Anda sendiri.

Direktori Sample-Notebooks menyertakan sampel notebook yang disimpan dengan data yang dapat Anda gunakan untuk menampilkan output yang diinginkan.
Direktori HowTos menyertakan notebook yang menjelaskan konsep seperti menyetel versi Python default, membuat bookmark Microsoft Sentinel dari notebook, dan banyak lagi.

Mengelola akses ke notebook Microsoft Sentinel

Untuk menggunakan notebook Jupyter di Microsoft Sentinel, Anda harus terlebih dahulu memiliki izin yang sesuai, tergantung pada peran pengguna Anda.

Meskipun Anda dapat menjalankan notebook Microsoft Azure Sentinel di JupyterLab atau Jupyter klasik, di Microsoft Azure Sentinel, notebook dijalankan di platform Azure Machine Learning . Untuk menjalankan notebook di Microsoft Azure Sentinel, Anda harus memiliki akses yang sesuai ke ruang kerja Microsoft Azure Sentinel dan ruang kerja Azure Machine Learning.

Izin	Deskripsi
Izin Microsoft Sentinel	Seperti sumber daya Microsoft Sentinel lainnya, untuk mengakses notebook di bilah Notebooks Microsoft Sentinel, peran Pembaca Microsoft Sentinel, Penanggap Microsoft Sentinel, atau Kontributor Microsoft Sentinel diperlukan. Untuk informasi selengkapnya, lihat Izin di Microsoft Azure Sentinel.
Izin Azure Machine Learning	Ruang kerja Azure Machine Learning adalah sumber daya Azure. Seperti sumber daya Azure lainnya, ketika selesai dibuat, ruang kerja Microsoft Azure Machine Learning yang baru hadir dengan tiga peran default. Anda dapat menambahkan pengguna ke ruang kerja dan menetapkannya ke salah satu peran bawaan ini. Untuk informasi selengkapnya, lihat Peran default Azure Machine Learning dan peran bawaan Azure. Penting: Akses peran dapat dibatasi pada beberapa tingkat di Azure. Misalnya, seseorang dengan akses pemilik ke ruang kerja mungkin tidak memiliki akses pemilik ke grup sumber daya yang berisi ruang kerja. Untuk informasi selengkapnya, lihat Cara kerja Azure RBAC. Jika Anda adalah pemilik ruang kerja Azure ML, Anda dapat menambahkan dan menghapus peran untuk ruang kerja dan menetapkan peran kepada pengguna. Untuk informasi selengkapnya, lihat: - Portal Microsoft Azure - PowerShell - Azure CLI - REST API - Templat Azure Resource Manager - Azure Machine Learning CLI Jika peran bawaan tidak cukup, Anda dapat membuat peran kustom. Peran kustom mungkin memiliki izin sumber daya baca, tulis, hapus, dan komputasi di ruang kerja tersebut. Anda dapat menyediakan peran di tingkat ruang kerja tertentu, tingkat grup sumber daya tertentu, atau tingkat langganan tertentu. Untuk informasi selengkapnya, lihat Membuat peran kustom.

Izin

Deskripsi

Izin Microsoft Sentinel

Seperti sumber daya Microsoft Sentinel lainnya, untuk mengakses notebook di bilah Notebooks Microsoft Sentinel, peran Pembaca Microsoft Sentinel, Penanggap Microsoft Sentinel, atau Kontributor Microsoft Sentinel diperlukan.

Untuk informasi selengkapnya, lihat Izin di Microsoft Azure Sentinel.

Izin Azure Machine Learning

Ruang kerja Azure Machine Learning adalah sumber daya Azure. Seperti sumber daya Azure lainnya, ketika selesai dibuat, ruang kerja Microsoft Azure Machine Learning yang baru hadir dengan tiga peran default. Anda dapat menambahkan pengguna ke ruang kerja dan menetapkannya ke salah satu peran bawaan ini. Untuk informasi selengkapnya, lihat Peran default Azure Machine Learning dan peran bawaan Azure.

Penting: Akses peran dapat dibatasi pada beberapa tingkat di Azure. Misalnya, seseorang dengan akses pemilik ke ruang kerja mungkin tidak memiliki akses pemilik ke grup sumber daya yang berisi ruang kerja. Untuk informasi selengkapnya, lihat Cara kerja Azure RBAC.

Jika Anda adalah pemilik ruang kerja Azure ML, Anda dapat menambahkan dan menghapus peran untuk ruang kerja dan menetapkan peran kepada pengguna. Untuk informasi selengkapnya, lihat:
- Portal Microsoft Azure
- PowerShell
- Azure CLI
- REST API
- Templat Azure Resource Manager
- Azure Machine Learning CLI

Jika peran bawaan tidak cukup, Anda dapat membuat peran kustom. Peran kustom mungkin memiliki izin sumber daya baca, tulis, hapus, dan komputasi di ruang kerja tersebut. Anda dapat menyediakan peran di tingkat ruang kerja tertentu, tingkat grup sumber daya tertentu, atau tingkat langganan tertentu. Untuk informasi selengkapnya, lihat Membuat peran kustom.

Mengirimkan umpan balik untuk buku catatan

Kirim umpan balik, permintaan fitur, laporan bug, atau penyempurnaan pada notebook yang sudah ada. Buka repositori GitHub Microsoft Sentinel untuk membuat masalah, atau fork dan unggah kontribusi.

Untuk blog, video, dan sumber daya lainnya, lihat:

Bagikan melalui