Microsoft Sentinel 헌팅 기능이 있는 Jupyter Notebook

적용 대상: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Jupyter Notebook은 전체 프로그래밍 기능을 기계 학습, 시각화 및 데이터 분석을 위한 방대한 라이브러리 컬렉션과 결합합니다. 이러한 특성을 통해 Jupyter는 보안 조사 및 헌팅을 위한 강력한 도구가 됩니다.

Microsoft Sentinel 기반은 데이터 저장소입니다. 고성능 쿼리, 동적 스키마 및 스케일링을 대규모 데이터 볼륨으로 결합합니다. Azure Portal 및 모든 Microsoft Sentinel 도구는 공통 API를 사용하여 이 데이터 저장소에 액세스합니다. Jupyter Notebook 및 Python과 같은 외부 도구에도 동일한 API를 사용할 수 있습니다.

중요

2027년 3월 31일 이후에는 Microsoft Sentinel 더 이상 Azure Portal 지원되지 않으며 Microsoft Defender 포털에서만 사용할 수 있습니다. Azure Portal Microsoft Sentinel 사용하는 모든 고객은 Defender 포털로 리디렉션되고 Defender 포털에서만 Microsoft Sentinel 사용합니다.

Azure Portal Microsoft Sentinel 계속 사용하는 경우 원활한 전환을 보장하고 Microsoft Defender 제공하는 통합 보안 운영 환경을 최대한 활용하기 위해 Defender 포털로의 전환 계획을 시작하는 것이 좋습니다.

Jupyter Notebook을 사용하는 경우

포털에서 많은 일반적인 작업을 수행할 수 있지만 Jupyter는 이 데이터로 수행할 수 있는 작업의 scope 확장합니다.

예를 들어 Notebook을 사용하여 다음을 수행합니다.

일부 Python 기계 학습 기능과 같이 Microsoft Sentinel 기본 제공되지 않는 분석 수행
사용자 지정 타임라인 및 프로세스 트리와 같이 Microsoft Sentinel 기본 제공되지 않는 데이터 시각화 만들기
온-프레미스 데이터 세트와 같이 Microsoft Sentinel 외부의 데이터 원본을 통합합니다.

Jupyter 환경을 Azure Portal 통합하여 Notebook을 쉽게 만들고 실행하여 데이터를 분석할 수 있도록 했습니다. Kqlmagic 라이브러리는 Microsoft Sentinel Kusto 쿼리 언어(KQL) 쿼리를 가져와 Notebook 내에서 직접 실행할 수 있는 접착제를 제공합니다.

Microsoft의 보안 분석가 중 일부가 개발한 여러 Notebook은 Microsoft Sentinel 함께 패키지됩니다.

이러한 Notebook 중 일부는 특정 시나리오를 위해 빌드되며 있는 그대로 사용할 수 있습니다.
다른 도구는 사용자 고유의 Notebook에서 사용할 수 있도록 복사하거나 조정할 수 있는 기술과 기능을 보여 주는 샘플로 사용됩니다.

Microsoft Sentinel GitHub 리포지토리에서 다른 Notebook을 가져옵니다.

Jupyter Notebook 작동 방식

Notebook에는 다음 두 가지 구성 요소가 있습니다.

쿼리 및 코드를 입력하고 실행하는 브라우저 기반 인터페이스와 실행 결과가 표시되는 위치입니다.
코드 자체를 구문 분석하고 실행하는 커널입니다.

Microsoft Sentinel Notebook의 커널은 Azure VM(가상 머신)에서 실행됩니다. VM instance 한 번에 많은 Notebook 실행을 지원할 수 있습니다. Notebook에 복잡한 기계 학습 모델이 포함된 경우 더 강력한 가상 머신을 사용하기 위한 몇 가지 라이선스 옵션이 있습니다.

Python 패키지 이해

Microsoft Sentinel Notebook은 pandas, matplotlib, bokeh 등과 같은 많은 인기 있는 Python 라이브러리를 사용합니다. 다음과 같은 영역을 다루는 다른 많은 Python 패키지 중에서 선택할 수 있습니다.

시각화 및 그래픽
데이터 처리 및 분석
통계 및 숫자 컴퓨팅
기계 학습 및 딥 러닝

복잡하고 반복적인 코드를 전자 필기장 셀에 입력하거나 붙여넣을 필요가 없도록 대부분의 Python Notebook은 패키지라는 타사 라이브러리를 사용합니다. Notebook에서 패키지를 사용하려면 패키지를 설치하고 가져와야 합니다. Azure Machine Learning Compute에는 가장 일반적인 패키지가 미리 설치되어 있습니다. 패키지 또는 패키지의 관련 부분(예: 모듈, 파일, 함수 또는 클래스)을 가져와야 합니다.

Microsoft Sentinel Notebook은 데이터 검색, 분석, 보강 및 시각화를 위한 사이버 보안 도구 컬렉션인 MSTICPy라는 Python 패키지를 사용합니다.

MSTICPy 도구는 헌팅 및 조사를 위한 Notebook을 만드는 데 도움이 되도록 특별히 설계되었으며 새로운 기능 및 개선 사항에 적극적으로 노력하고 있습니다. 자세한 내용은 다음 항목을 참조하세요.

Notebook 찾기

Microsoft Sentinel 전자 필기장을 선택하여 Microsoft Sentinel 제공하는 전자 필기장을 확인합니다. Azure Log Analytics의 자격 증명 검사 및 단계별 조사 - 경고 처리와 같은 Notebook 템플릿을 탐색하여 위협 헌팅 및 조사에 Notebook을 사용하는 방법에 대해 자세히 알아봅니다.

Microsoft에서 빌드하거나 커뮤니티에서 제공하는 더 많은 전자 필기장을 보려면 Microsoft Sentinel GitHub 리포지토리로 이동하세요. Microsoft Sentinel GitHub 리포지토리에서 공유되는 Notebook을 고유한 Notebook을 개발할 때 사용할 수 있는 유용한 도구, 일러스트레이션 및 코드 샘플로 사용합니다.

디렉터리에는 Sample-Notebooks 의도한 출력을 표시하는 데 사용할 수 있는 데이터로 저장된 샘플 Notebook이 포함되어 있습니다.
디렉터리에는 HowTos 기본 Python 버전 설정, Notebook에서 Microsoft Sentinel 책갈피 만들기 등의 개념을 설명하는 Notebook이 포함되어 있습니다.

Microsoft Sentinel Notebook에 대한 액세스 관리

Microsoft Sentinel Jupyter Notebook을 사용하려면 먼저 사용자 역할에 따라 올바른 권한이 있어야 합니다.

JupyterLab 또는 Jupyter 클래식에서 Microsoft Sentinel Notebook을 실행할 수 있지만 Microsoft Sentinel Notebook은 Azure Machine Learning 플랫폼에서 실행됩니다. Microsoft Sentinel Notebook을 실행하려면 Microsoft Sentinel 작업 영역과 Azure Machine Learning 작업 영역에 대한 적절한 액세스 권한이 있어야 합니다.

사용 권한	설명
Microsoft Sentinel 권한	다른 Microsoft Sentinel 리소스와 마찬가지로 Microsoft Sentinel Notebook 블레이드에서 Notebook에 액세스하려면 Microsoft Sentinel 읽기 권한자, Microsoft Sentinel 응답자 또는 Microsoft Sentinel 기여자 역할은 다음과 같습니다. 필수. 자세한 내용은 Microsoft Sentinel 사용 권한을 참조하세요.
Machine Learning 권한 Azure	Azure Machine Learning 작업 영역은 Azure 리소스입니다. 다른 Azure 리소스와 마찬가지로 새 Azure Machine Learning 작업 영역이 만들어지면 기본 역할이 함께 제공됩니다. 작업 영역에 사용자를 추가하고 이러한 기본 제공 역할 중 하나에 할당할 수 있습니다. 자세한 내용은 Azure Machine Learning 기본 역할 및 Azure 기본 제공 역할을 참조하세요. 중요: 역할 액세스는 Azure 여러 수준으로 범위를 지정할 수 있습니다. 예를 들어 작업 영역에 대한 소유자 액세스 권한이 있는 사용자는 작업 영역이 포함된 리소스 그룹에 대한 소유자 액세스 권한이 없을 수 있습니다. 자세한 내용은 AZURE RBAC 작동 방식을 참조하세요. Azure ML 작업 영역의 소유자인 경우 작업 영역에 대한 역할을 추가 및 제거하고 사용자에게 역할을 할당할 수 있습니다. 자세한 내용은 다음 항목을 참조하세요. - Azure Portal - Powershell - AZURE CLI - REST API - Azure Resource Manager 템플릿 - Machine Learning CLI Azure 기본 제공 역할이 부족한 경우 사용자 지정 역할을 만들 수도 있습니다. 사용자 지정 역할에는 해당 작업 영역의 리소스 읽기, 쓰기, 삭제 및 컴퓨팅 권한이 있을 수 있습니다. 특정 작업 영역 수준, 특정 리소스 그룹 수준 또는 특정 구독 수준에서 역할을 사용할 수 있도록 설정할 수 있습니다. 자세한 내용은 사용자 지정 역할 만들기를 참조하세요.

사용 권한

설명

Microsoft Sentinel 권한

다른 Microsoft Sentinel 리소스와 마찬가지로 Microsoft Sentinel Notebook 블레이드에서 Notebook에 액세스하려면 Microsoft Sentinel 읽기 권한자, Microsoft Sentinel 응답자 또는 Microsoft Sentinel 기여자 역할은 다음과 같습니다. 필수.

자세한 내용은 Microsoft Sentinel 사용 권한을 참조하세요.

Machine Learning 권한 Azure

Azure Machine Learning 작업 영역은 Azure 리소스입니다. 다른 Azure 리소스와 마찬가지로 새 Azure Machine Learning 작업 영역이 만들어지면 기본 역할이 함께 제공됩니다. 작업 영역에 사용자를 추가하고 이러한 기본 제공 역할 중 하나에 할당할 수 있습니다. 자세한 내용은 Azure Machine Learning 기본 역할 및 Azure 기본 제공 역할을 참조하세요.

중요: 역할 액세스는 Azure 여러 수준으로 범위를 지정할 수 있습니다. 예를 들어 작업 영역에 대한 소유자 액세스 권한이 있는 사용자는 작업 영역이 포함된 리소스 그룹에 대한 소유자 액세스 권한이 없을 수 있습니다. 자세한 내용은 AZURE RBAC 작동 방식을 참조하세요.

Azure ML 작업 영역의 소유자인 경우 작업 영역에 대한 역할을 추가 및 제거하고 사용자에게 역할을 할당할 수 있습니다. 자세한 내용은 다음 항목을 참조하세요.
- Azure Portal
- Powershell
- AZURE CLI
- REST API
- Azure Resource Manager 템플릿
- Machine Learning CLI Azure

기본 제공 역할이 부족한 경우 사용자 지정 역할을 만들 수도 있습니다. 사용자 지정 역할에는 해당 작업 영역의 리소스 읽기, 쓰기, 삭제 및 컴퓨팅 권한이 있을 수 있습니다. 특정 작업 영역 수준, 특정 리소스 그룹 수준 또는 특정 구독 수준에서 역할을 사용할 수 있도록 설정할 수 있습니다. 자세한 내용은 사용자 지정 역할 만들기를 참조하세요.

전자 필기장 피드백 제출

피드백, 기능 요청, 버그 보고서 또는 기존 Notebook 개선 사항을 제출합니다. Microsoft Sentinel GitHub 리포지토리로 이동하여 문제를 만들거나 기여를 포크하고 업로드합니다.

블로그, 비디오 및 기타 리소스는 다음을 참조하세요.

첫 번째 Microsoft Sentinel 전자 필기장 만들기(블로그 시리즈)
자습서: Microsoft Sentinel Notebook - 시작(비디오)
자습서: Azure Machine Learning 스튜디오 남기지 않고 Jupyter Notebook 편집 및 실행(비디오)
Azure Sentinel Notebook을 사용하여 자격 증명 누수 감지(비디오)
웨비나: Microsoft Sentinel Notebook 기본 사항(비디오)
Jupyter, msticpy 및 Microsoft Sentinel

피드백

이 페이지가 도움이 되었나요?

Last updated on 2026-04-23