Jupyter-notebooks met opsporingsmogelijkheden van Microsoft Sentinel

  • Artikel
  • Van toepassing op:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Jupyter-notebooks combineren volledige programmeerbaarheid met een enorme verzameling bibliotheken voor machine learning, visualisatie en gegevensanalyse. Deze kenmerken maken Jupyter een overtuigend hulpmiddel voor beveiligingsonderzoek en opsporing.

De basis van Microsoft Sentinel is het gegevensarchief; het combineert krachtige query's, dynamisch schema en schaalt naar enorme gegevensvolumes. De Azure-portal en alle Microsoft Sentinel-hulpprogramma's gebruiken een algemene API voor toegang tot dit gegevensarchief. Dezelfde API is ook beschikbaar voor externe hulpprogramma's, zoals Jupyter-notebooks en Python.

Belangrijk

Microsoft Sentinel is beschikbaar als onderdeel van de openbare preview voor het geïntegreerde platform voor beveiligingsbewerkingen in de Microsoft Defender-portal. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.

Wanneer jupyter-notebooks gebruiken

Hoewel veel algemene taken kunnen worden uitgevoerd in de portal, breidt Jupyter het bereik uit van wat u met deze gegevens kunt doen.

Gebruik bijvoorbeeld notebooks om het volgende te doen:

  • Analyses uitvoeren die niet standaard worden geleverd in Microsoft Sentinel, zoals sommige Python-functies voor machine learning
  • Gegevensvisualisaties maken die niet standaard worden geleverd in Microsoft Sentinel, zoals aangepaste tijdlijnen en processtructuren
  • Integreer gegevensbronnen buiten Microsoft Sentinel, zoals een on-premises gegevensset.

We hebben de Jupyter-ervaring geïntegreerd in Azure Portal, zodat u eenvoudig notebooks kunt maken en uitvoeren om uw gegevens te analyseren. De Kqlmagic-bibliotheek biedt de lijm waarmee u Kusto-querytaal (KQL)-query's van Microsoft Sentinel kunt uitvoeren en deze rechtstreeks in een notebook kunt uitvoeren.

Verschillende notebooks, ontwikkeld door een aantal beveiligingsanalisten van Microsoft, zijn verpakt met Microsoft Sentinel:

  • Sommige van deze notebooks zijn gebouwd voor een specifiek scenario en kunnen als zodanig worden gebruikt.
  • Anderen zijn bedoeld als voorbeelden om technieken en functies te illustreren die u kunt kopiëren of aanpassen voor gebruik in uw eigen notebooks.

Importeer andere notebooks uit de GitHub-opslagplaats van Microsoft Sentinel.

Hoe Jupyter-notebooks werken

Notebooks hebben twee onderdelen:

  • De browserinterface, waar u query's en code invoert en uitvoert, en waar de resultaten van de uitvoering worden weergegeven.
  • Een kernel die verantwoordelijk is voor het parseren en uitvoeren van de code zelf.

De kernel van het Microsoft Sentinel-notebook wordt uitgevoerd op een virtuele Azure-machine (VM). Het VM-exemplaar kan ondersteuning bieden voor het uitvoeren van veel notebooks tegelijk. Als uw notebooks complexe machine learning-modellen bevatten, zijn er verschillende licentieopties beschikbaar om krachtigere virtuele machines te gebruiken.

Python-pakketten begrijpen

De Microsoft Sentinel-notebooks maken gebruik van veel populaire Python-bibliotheken, zoals pandas, matplotlib,sturingselementen en andere. Er zijn veel andere Python-pakketten waaruit u kunt kiezen, met betrekking tot gebieden zoals:

  • Visualisaties en afbeeldingen
  • Gegevensverwerking en -analyse
  • Statistieken en numerieke computing
  • Machine learning en deep learning

Om te voorkomen dat u complexe en terugkerende code in notebookcellen moet typen of plakken, zijn de meeste Python-notebooks afhankelijk van bibliotheken van derden die pakketten worden genoemd. Als u een pakket in een notebook wilt gebruiken, moet u het pakket installeren en importeren. Azure Machine Learning Compute heeft de meest voorkomende pakketten die vooraf zijn geïnstalleerd. Zorg ervoor dat u het pakket importeert of het relevante deel van het pakket, zoals een module, bestand, functie of klasse.

Microsoft Sentinel-notebooks maken gebruik van een Python-pakket met de naam MSTICPy, een verzameling cyberbeveiligingsprogramma's voor het ophalen, analyseren, verrijken en visualiseren van gegevens.

MSTICPy-hulpprogramma's zijn speciaal ontworpen om notebooks te maken voor opsporing en onderzoek en we werken actief aan nieuwe functies en verbeteringen. Zie voor meer informatie:

Notitieblokken zoeken

Selecteer notitieblokken in Microsoft Sentinel om notitieblokken te zien die Microsoft Sentinel biedt. Meer informatie over het gebruik van notebooks bij het opsporen en onderzoeken van bedreigingen door notebooksjablonen zoals Referentiescan in Azure Log Analytics en Begeleid onderzoek - Proceswaarschuwingen te verkennen.

Ga naar de GitHub-opslagplaats van Microsoft Sentinel voor meer notebooks die zijn gebouwd door Microsoft of die zijn bijgedragen vanuit de community. Gebruik notebooks die zijn gedeeld in de GitHub-opslagplaats van Microsoft Sentinel als handige hulpprogramma's, illustraties en codevoorbeelden die u kunt gebruiken bij het ontwikkelen van uw eigen notebooks.

  • De Sample-Notebooks map bevat voorbeeldnotebooks die worden opgeslagen met gegevens die u kunt gebruiken om de beoogde uitvoer weer te geven.

  • De HowTos map bevat notebooks waarin concepten worden beschreven, zoals het instellen van uw standaardversie van Python, het maken van Microsoft Sentinel-bladwijzers vanuit een notebook en meer.

Toegang tot Microsoft Sentinel-notitieblokken beheren

Als u Jupyter-notebooks in Microsoft Sentinel wilt gebruiken, moet u eerst over de juiste machtigingen beschikken, afhankelijk van uw gebruikersrol.

Hoewel u Microsoft Sentinel-notebooks kunt uitvoeren in JupyterLab of jupyter classic, worden notebooks in Microsoft Sentinel uitgevoerd op een Azure Machine Learning-platform . Als u notebooks wilt uitvoeren in Microsoft Sentinel, moet u de juiste toegang hebben tot zowel de Microsoft Sentinel-werkruimte als een Azure Machine Learning-werkruimte.

Machtiging Beschrijving
Microsoft Sentinel-machtigingen Net als andere Microsoft Sentinel-resources is een rol Microsoft Sentinel Reader, Microsoft Sentinel Responder of Microsoft Sentinel-inzender vereist voor toegang tot notitieblokken in Microsoft Sentinel.

Zie Machtigingen in Microsoft Sentinel voor meer informatie.
Azure Machine Learning-machtigingen Een Azure Machine Learning-werkruimte is een Azure-resource. Net als bij andere Azure-resources wordt een nieuwe Azure Machine Learning-werkruimte gemaakt, wordt deze geleverd met standaardrollen. U kunt gebruikers toevoegen aan de werkruimte en deze toewijzen aan een van deze ingebouwde rollen. Zie standaardrollen voor Azure Machine Learning en ingebouwde Azure-rollen voor meer informatie.

Belangrijk: Roltoegang kan worden beperkt tot meerdere niveaus in Azure. Iemand met eigenaarstoegang tot een werkruimte heeft bijvoorbeeld mogelijk geen eigenaarstoegang tot de resourcegroep die de werkruimte bevat. Zie Hoe Azure RBAC werkt voor meer informatie.

Als u eigenaar bent van een Azure Machine Learning-werkruimte, kunt u rollen voor de werkruimte toevoegen en verwijderen en rollen toewijzen aan gebruikers. Zie voor meer informatie:
- Azure-portal
- PowerShell
- Azure-CLI
- REST API
- Azure Resource Manager-sjablonen
- Azure Machine Learning CLI

Als de ingebouwde rollen onvoldoende zijn, kunt u ook aangepaste rollen maken. Aangepaste rollen hebben mogelijk lees-, schrijf-, verwijder- en rekenresourcemachtigingen in die werkruimte. U kunt de rol beschikbaar maken op een specifiek werkruimteniveau, een specifiek resourcegroepniveau of een specifiek abonnementsniveau. Zie Aangepaste rol maken voor meer informatie.

Feedback verzenden voor een notitieblok

Dien feedback, aanvragen voor functies, foutrapporten of verbeteringen in bestaande notitieblokken in. Ga naar de GitHub-opslagplaats van Microsoft Sentinel om een probleem te maken, of fork en upload een bijdrage.

Gerelateerde inhoud

Zie voor blogs, video's en andere bronnen: