Jupyter-notatblokker med Microsoft Sentinel jaktfunksjoner

  • Gjelder for: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Jupyter-notatblokker kombinerer full programmerbarhet med en stor samling biblioteker for maskinlæring, visualisering og dataanalyse. Disse attributtene gjør Jupyter til et overbevisende verktøy for sikkerhetsundersøkelse og jakt.

Grunnlaget for Microsoft Sentinel er datalageret. Det kombinerer spørring med høy ytelse, dynamisk skjema og skalering til store datavolumer. De Azure Portal og alle Microsoft Sentinel verktøyene bruker en felles API for å få tilgang til dette datalageret. Den samme API-en er også tilgjengelig for eksterne verktøy som Jupyter-notatblokker og Python.

Viktig

Etter 31. mars 2027 vil Microsoft Sentinel ikke lenger støttes i Azure Portal og vil bare være tilgjengelig i Microsoft Defender-portalen. Alle kunder som bruker Microsoft Sentinel i Azure Portal, blir omdirigert til Defender-portalen og vil bare bruke Microsoft Sentinel i Defender-portalen.

Hvis du fortsatt bruker Microsoft Sentinel i Azure Portal, anbefaler vi at du begynner å planlegge overgangen til Defender-portalen for å sikre en jevn overgang og dra full nytte av opplevelsen av enhetlige sikkerhetsoperasjoner som tilbys av Microsoft Defender.

Når du skal bruke Jupyter-notatblokker

Mens mange vanlige oppgaver kan utføres i portalen, utvider Jupyter omfanget av hva du kan gjøre med disse dataene.

Bruk for eksempel notatblokker til å:

  • Utfør analyser som ikke er tilgjengelige i Microsoft Sentinel, for eksempel enkelte Python-maskinlæringsfunksjoner
  • Opprett datavisualiseringer som ikke er tilgjengelige i Microsoft Sentinel, for eksempel egendefinerte tidslinjer og prosesstrær
  • Integrer datakilder utenfor Microsoft Sentinel, for eksempel et lokalt datasett.

Vi integrerte Jupyter-opplevelsen i Azure Portal, noe som gjør det enkelt for deg å opprette og kjøre notatblokker for å analysere dataene dine. Kqlmagic-biblioteket inneholder limet som lar deg ta KQL-spørringer (Kusto Query Language) fra Microsoft Sentinel og kjøre dem direkte i en notatblokk.

Flere notatblokker, utviklet av noen av Microsofts sikkerhetsanalytikere, er pakket med Microsoft Sentinel:

  • Noen av disse notatblokkene er bygd for et bestemt scenario og kan brukes som de er.
  • Andre er ment som eksempler for å illustrere teknikker og funksjoner som du kan kopiere eller tilpasse for bruk i dine egne notatblokker.

Importer andre notatblokker fra Microsoft Sentinel GitHub-repositoriet.

Slik fungerer Jupyter-notatblokker

Notatblokker har to komponenter:

  • Det nettleserbaserte grensesnittet, der du angir og kjører spørringer og kode, og hvor resultatene av kjøringen vises.
  • En kjerne som er ansvarlig for å analysere og utføre selve koden.

Kjernen i Microsoft Sentinel notatblokken kjører på en virtuell Azure maskin (VM). VM-forekomsten kan støtte kjøring av mange notatblokker samtidig. Hvis notatblokkene inkluderer komplekse maskinlæringsmodeller, finnes det flere lisensieringsalternativer for å bruke kraftigere virtuelle maskiner.

Forstå Python-pakker

De Microsoft Sentinel notatblokkene bruker mange populære Python-biblioteker som pandaer, matplotlib, bokeh og andre. Det finnes mange andre Python-pakker du kan velge mellom, som dekker områder som:

  • Visualiseringer og grafikk
  • Databehandling og -analyse
  • Statistikk og numerisk databehandling
  • Maskinlæring og dyp læring

For å unngå å måtte skrive eller lime inn kompleks og repeterende kode i notatblokkceller, er de fleste Python-notatblokker avhengige av tredjeparts biblioteker kalt pakker. Hvis du vil bruke en pakke i en notatblokk, må du både installere og importere pakken. Azure Machine Learning Compute har de fleste vanlige pakker forhåndsinstallert. Kontroller at du importerer pakken, eller den relevante delen av pakken, for eksempel en modul, fil, funksjon eller klasse.

Microsoft Sentinel notatblokker bruker en Python-pakke kalt MSTICPy, som er en samling av cybersikkerhetsverktøy for datahenting, analyse, berikelse og visualisering.

MSTICPy-verktøy er utformet spesielt for å hjelpe deg med å opprette notatblokker for jakt og undersøkelser, og vi arbeider aktivt med nye funksjoner og forbedringer. Hvis du vil ha mer informasjon, kan du se:

Finne notatblokker

I Microsoft Sentinel velger du Notatblokker for å se notatblokker som Microsoft Sentinel inneholder. Mer informasjon om å bruke notatblokker i trusseljakt og -undersøkelser ved å utforske notatblokkmaler som Legitimasjonsskanning på Azure Log Analytics og Veiledet undersøkelse – Prosessvarsler.

Hvis du vil ha flere notatblokker som er bygd av Microsoft eller bidratt fra fellesskapet, kan du gå til Microsoft Sentinel GitHub-repositorium. Bruk notatblokker som er delt i Microsoft Sentinel GitHub-repositorium, som nyttige verktøy, illustrasjoner og kodeeksempler som du kan bruke når du utvikler dine egne notatblokker.

  • Katalogen Sample-Notebooks inneholder eksempelnotatblokker som er lagret med data som du kan bruke til å vise tiltenkte utdata.

  • Katalogen HowTos inneholder notatblokker som beskriver begreper som å angi din standard Python-versjon, opprette Microsoft Sentinel bokmerker fra en notatblokk og mer.

Administrere tilgang til Microsoft Sentinel notatblokker

Hvis du vil bruke Jupyter-notatblokker i Microsoft Sentinel, må du først ha de riktige tillatelsene, avhengig av brukerrollen din.

Selv om du kan kjøre Microsoft Sentinel notatblokker i JupyterLab eller Jupyter classic, kjøres notatblokker i Microsoft Sentinel på en Azure Machine Learning-plattform. Hvis du vil kjøre notatblokker i Microsoft Sentinel, må du ha riktig tilgang til både Microsoft Sentinel arbeidsområde og et Azure Machine Learning-arbeidsområde.

Tillatelse Beskrivelse
Microsoft Sentinel tillatelser I likhet med andre Microsoft Sentinel ressurser, er det å få tilgang til notatblokker på Microsoft Sentinel Notatblokker-bladet, en Microsoft Sentinel Reader-, Microsoft Sentinel Responder- eller Microsoft Sentinel Contributor-rolle Nødvendig.

Hvis du vil ha mer informasjon, kan du se Tillatelser i Microsoft Sentinel.
Azure Machine Learning-tillatelser Et Azure Machine Learning-arbeidsområde er en Azure ressurs. I likhet med andre Azure ressurser, kommer det med standardroller når et nytt Azure Machine Learning-arbeidsområde opprettes. Du kan legge til brukere i arbeidsområdet og tilordne dem til en av disse innebygde rollene. Hvis du vil ha mer informasjon, kan du se Azure Standardroller for Maskinlæring og Azure innebygde roller.

Viktig! Rolletilgang kan begrenses til flere nivåer i Azure. Det kan for eksempel hende at noen med eiertilgang til et arbeidsområde ikke har eiertilgang til ressursgruppen som inneholder arbeidsområdet. Hvis du vil ha mer informasjon, kan du se Hvordan Azure RBAC fungerer.

Hvis du er eier av et Azure ML-arbeidsområde, kan du legge til og fjerne roller for arbeidsområdet og tilordne roller til brukere. Hvis du vil ha mer informasjon, kan du se:
- Azure Portal
- Powershell
- Azure CLI
- REST-API
- Azure Resource Manager maler
- Azure Machine Learning CLI

Hvis de innebygde rollene ikke er tilstrekkelige, kan du også opprette egendefinerte roller. Egendefinerte roller kan ha lese-, skrive-, slette- og databehandlingsressurstillatelser i arbeidsområdet. Du kan gjøre rollen tilgjengelig på et bestemt arbeidsområdenivå, et bestemt ressursgruppenivå eller et bestemt abonnementsnivå. Hvis du vil ha mer informasjon, kan du se Opprette egendefinert rolle.

Sende inn tilbakemelding for en notatblokk

Send inn tilbakemeldinger, forespørsler om funksjoner, feilrapporter eller forbedringer i eksisterende notatblokker. Gå til Microsoft Sentinel GitHub-repositorium for å opprette et problem, eller forgrening og last opp et bidrag.

Beslektet innhold

Hvis du vil se blogger, videoer og andre ressurser, kan du se:

  • Last updated on