Microsoft Sentinelハンティング機能を備えた Jupyter ノートブック

適用対象: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Jupyter ノートブックは、完全なプログラミングと、機械学習、視覚化、およびデータ分析のための膨大なライブラリのコレクションを組み合わせています。これらの属性により、Jupyter はセキュリティ調査とハンティングのための魅力的なツールになります。

Microsoft Sentinelの基盤はデータストアです。パフォーマンスの高いクエリ、動的スキーマ、大規模なデータボリュームへのスケールが組み合わされています。 Azure portalおよびすべてのMicrosoft Sentinel ツールでは、共通 API を使用してこのデータストアにアクセスします。同じ API は、 Jupyter ノートブックや Python などの外部ツールでも使用できます。

重要

2027 年 3 月 31 日以降、Microsoft SentinelはAzure portalでサポートされなくなり、Microsoft Defender ポータルでのみ使用できるようになります。 Azure portalでMicrosoft Sentinelを使用しているすべてのお客様は、Defender ポータルにリダイレクトされ、Defender ポータルでのみMicrosoft Sentinelを使用します。

Azure portalでMicrosoft Sentinelを引き続き使用している場合は、スムーズな移行を確保し、Microsoft Defenderによって提供される統合セキュリティ操作エクスペリエンスを最大限に活用するために、Defender ポータルへの移行の計画を開始することをお勧めします。

Jupyter ノートブックを使用する場合

ポータルでは多くの一般的なタスクを実行できますが、Jupyter は、このデータで実行できる操作の範囲を拡張します。

たとえば、ノートブックを使用して次の手順を実行します。

一部の Python 機械学習機能など、Microsoft Sentinelですぐに提供されていない分析を実行する
カスタムタイムラインやプロセスツリーなど、Microsoft Sentinelですぐに提供されないデータ視覚化を作成する
オンプレミスデータセットなど、Microsoft Sentinelの外部のデータソースを統合します。

Jupyter エクスペリエンスをAzure portalに統合し、ノートブックを簡単に作成して実行してデータを分析できるようになりました。 Kqlmagic ライブラリには、Microsoft SentinelからKusto 照会言語 (KQL) クエリを取得し、ノートブック内で直接実行できる接着剤が用意されています。

Microsoft のセキュリティアナリストによって開発されたいくつかのノートブックは、Microsoft Sentinelと共にパッケージ化されています。

これらのノートブックの一部は、特定のシナリオ用に構築されており、そのまま使用できます。
その他は、独自のノートブックで使用するためにコピーまたは適応できる手法と機能を示すサンプルとして意図されています。

Microsoft Sentinel GitHub リポジトリから他のノートブックをインポートします。

Jupyter ノートブックのしくみ

ノートブックには、次の 2 つのコンポーネントがあります。

クエリとコードを入力して実行し、実行の結果が表示されるブラウザーベースのインターフェイス。
コード自体の解析と実行を担当するカーネル。

Microsoft Sentinel ノートブックのカーネルは、Azure仮想マシン (VM) で実行されます。 VM インスタンスは、一度に多数のノートブックの実行をサポートできます。ノートブックに複雑な機械学習モデルが含まれている場合は、より強力な仮想マシンを使用するためにいくつかのライセンスオプションが存在します。

Python パッケージについて

Microsoft Sentinel ノートブックでは、pandas、matplotlib、bokeh などの多くの一般的な Python ライブラリが使用されています。次のような領域をカバーする、他にも多くの Python パッケージを選択できます。

視覚化とグラフィックス
データ処理と分析
統計と数値計算
機械学習とディープラーニング

複雑で反復的なコードをノートブックセルに入力または貼り付ける必要を避けるために、ほとんどの Python ノートブックは パッケージと呼ばれるサードパーティ製ライブラリに依存しています。ノートブックでパッケージを使用するには、パッケージをインストールしてインポートする必要があります。 Azure Machine Learning Compute には、最も一般的なパッケージが事前にインストールされています。パッケージ、またはパッケージの関連部分 (モジュール、ファイル、関数、クラスなど) をインポートしてください。

Microsoft Sentinelノートブックでは、データ取得、分析、エンリッチメント、視覚化のためのサイバーセキュリティツールのコレクションである MSTICPy という Python パッケージが使用されます。

MSTICPy ツールは、ハンティングや調査用のノートブックの作成に役立つよう特別に設計されており、新機能や機能強化に積極的に取り組んでいます。詳細については、以下を参照してください:

ノートブックを検索する

Microsoft Sentinelで、[ノートブック] を選択して、Microsoft Sentinelが提供するノートブックを表示します。脅威ハンティングと調査でノートブックを使用する方法の詳細については、Log Analytics の資格情報スキャンやガイド付き調査 - プロセスアラートなどのノートブックテンプレートAzure調べられます。

Microsoft によってビルドされたノートブックやコミュニティから投稿されたノートブックについては、GitHub リポジトリMicrosoft Sentinel参照してください。独自のノートブックを開発するときに使用できる便利なツール、イラスト、コードサンプルとして、Microsoft Sentinel GitHub リポジトリで共有されているノートブックを使用します。

Sample-Notebooks ディレクトリには、目的の出力を表示するために使用できるデータと共に保存されるサンプルノートブックが含まれています。
HowTos ディレクトリには、既定の Python バージョンの設定、ノートブックからのMicrosoft Sentinelブックマークの作成などの概念を説明するノートブックが含まれています。

Microsoft Sentinel ノートブックへのアクセスを管理する

Microsoft Sentinelで Jupyter ノートブックを使用するには、まず、ユーザーロールに応じて適切なアクセス許可が必要です。

Microsoft Sentinelノートブックは JupyterLab または Jupyter クラシックで実行できますが、Microsoft Sentinelでは、ノートブックは Azure Machine Learning プラットフォームで実行されます。 Microsoft Sentinelでノートブックを実行するには、Microsoft Sentinel ワークスペースと Azure Machine Learning ワークスペースの両方に適切なアクセス権が必要です。

アクセス許可	説明
アクセス許可のMicrosoft Sentinel	他のMicrosoft Sentinel リソースと同様に、[ノートブック] ブレードMicrosoft Sentinelノートブックにアクセスするには、Microsoft Sentinel閲覧者、Microsoft Sentinelレスポンダー、または共同作成者ロールMicrosoft Sentinelします。必須。詳細については、「Microsoft Sentinelのアクセス許可」を参照してください。
Machine Learning のアクセス許可をAzureする	Azure Machine Learning ワークスペースは、Azure リソースです。他のAzure リソースと同様に、新しい Azure Machine Learning ワークスペースが作成されると、既定のロールが付属します。ユーザーをワークスペースに追加し、これらの組み込みロールのいずれかに割り当てることができます。詳細については、「Machine Learning の既定のロールと組み込みロールAzure Azure」を参照してください。重要: ロールアクセスは、Azureで複数のレベルにスコープを設定できます。たとえば、ワークスペースへの所有者アクセス権を持つユーザーが、ワークスペースを含むリソースグループへの所有者アクセス権を持っていない可能性があります。詳細については、「RBAC のAzureのしくみ」を参照してください。 Azure ML ワークスペースの所有者である場合は、ワークスペースのロールを追加および削除し、ユーザーにロールを割り当てることができます。詳細については、以下を参照してください: - Azure portal - Powershell - AZURE CLI - REST API - Azure Resource Manager テンプレート - Machine Learning CLI のAzure 組み込みのロールが不十分な場合は、カスタムロールを作成することもできます。カスタムロールには、そのワークスペースに読み取り、書き込み、削除、コンピューティングリソースのアクセス許可がある場合があります。特定のワークスペースレベル、特定のリソースグループレベル、または特定のサブスクリプションレベルでロールを使用できるようにします。詳細については、「カスタムロールの作成」を参照してください。

アクセス許可

説明

アクセス許可のMicrosoft Sentinel

他のMicrosoft Sentinel リソースと同様に、[ノートブック] ブレードMicrosoft Sentinelノートブックにアクセスするには、Microsoft Sentinel閲覧者、Microsoft Sentinelレスポンダー、または共同作成者ロールMicrosoft Sentinelします。必須。

詳細については、「Microsoft Sentinelのアクセス許可」を参照してください。

Machine Learning のアクセス許可をAzureする

Azure Machine Learning ワークスペースは、Azure リソースです。他のAzure リソースと同様に、新しい Azure Machine Learning ワークスペースが作成されると、既定のロールが付属します。ユーザーをワークスペースに追加し、これらの組み込みロールのいずれかに割り当てることができます。詳細については、「Machine Learning の既定のロールと組み込みロールAzure Azure」を参照してください。

重要: ロールアクセスは、Azureで複数のレベルにスコープを設定できます。たとえば、ワークスペースへの所有者アクセス権を持つユーザーが、ワークスペースを含むリソースグループへの所有者アクセス権を持っていない可能性があります。詳細については、「RBAC のAzureのしくみ」を参照してください。

Azure ML ワークスペースの所有者である場合は、ワークスペースのロールを追加および削除し、ユーザーにロールを割り当てることができます。詳細については、以下を参照してください:
- Azure portal
- Powershell
- AZURE CLI
- REST API
- Azure Resource Manager テンプレート
- Machine Learning CLI のAzure

組み込みのロールが不十分な場合は、カスタムロールを作成することもできます。カスタムロールには、そのワークスペースに読み取り、書き込み、削除、コンピューティングリソースのアクセス許可がある場合があります。特定のワークスペースレベル、特定のリソースグループレベル、または特定のサブスクリプションレベルでロールを使用できるようにします。詳細については、「カスタムロールの作成」を参照してください。

ノートブックのフィードバックを送信する

フィードバック、機能の要求、バグレポート、または既存のノートブックの改善を送信します。 Microsoft Sentinel GitHub リポジトリに移動して問題を作成するか、フォークして投稿をアップロードします。

ブログ、ビデオ、その他のリソースについては、次を参照してください。

初めてのMicrosoft Sentinel ノートブックを作成する (ブログシリーズ)
チュートリアル: ノートブックのMicrosoft Sentinel - 概要 (ビデオ)
チュートリアル: Azure Machine Learning スタジオを残さずに Jupyter ノートブックを編集して実行する (ビデオ)
Azure Sentinel ノートブックを使用して資格情報リークを検出する (ビデオ)
ウェビナー: Microsoft Sentinel ノートブックの基礎 (ビデオ)
Jupyter、msticpy、Microsoft Sentinel

フィードバック

このページはお役に立ちましたか?

Last updated on 2026-04-23