Beveiligingsrisico's opsporen met Jupyter-notebooks

Als onderdeel van uw beveiligingsonderzoeken en opsporing kunt u Jupyter-notebooks starten en uitvoeren om uw gegevens programmatisch te analyseren.

In dit artikel maakt u een Azure Machine Learning-werkruimte, start u een notebook van Microsoft Sentinel naar uw Azure Machine Learning-werkruimte en voert u code uit in het notebook.

Belangrijk

Microsoft Sentinel is algemeen beschikbaar in de Microsoft Defender-portal, waaronder voor klanten zonder Microsoft Defender XDR of een E5-licentie.

Vanaf juli 2026 worden alle klanten die Microsoft Sentinel in Azure Portal gebruiken, omgeleid naar de Defender-portal en gebruiken ze alleen Microsoft Sentinel in de Defender-portal. Vanaf juli 2025 worden veel nieuwe klanten automatisch onboarden en omgeleid naar de Defender portal.

Als u Nog steeds Microsoft Sentinel gebruikt in Azure Portal, raden we u aan om te beginnen met het plannen van uw overgang naar de Defender-portal om een soepele overgang te garanderen en optimaal te profiteren van de geïntegreerde beveiligingsbewerkingen die door Microsoft Defender worden aangeboden. Zie Het is tijd om te verplaatsen voor meer informatie: De Azure-portal van Microsoft Sentinel buiten gebruik stellen voor betere beveiliging.

Vereisten

U wordt aangeraden meer te weten te komen over Microsoft Sentinel-notitieblokken voordat u de stappen in dit artikel uitvoert. Zie Jupyter-notebooks gebruiken om te zoeken naar beveiligingsrisico's.

Als u Microsoft Sentinel-notebooks wilt gebruiken, moet u over de volgende rollen en machtigingen beschikken:

Soort	Bijzonderheden
Microsoft Sentinel	- De rol Microsoft Sentinel-bijdrager voor het opslaan en starten van notitieblokken vanuit Microsoft Sentinel.
Azure Machine Learning	- Een rol Eigenaar of Inzender op resourcegroepniveau om zo nodig een nieuwe Azure Machine Learning-werkruimte te maken. - Een bijdragerrol in de Azure Machine Learning-werkruimte waar u uw Microsoft Sentinel-notebooks uitvoert. Zie Toegang tot een Azure Machine Learning-werkruimte beheren voor meer informatie.

Een Azure Machine Learning-werkruimte maken vanuit Microsoft Sentinel

Als u uw werkruimte wilt maken, selecteert u een van de volgende tabbladen, afhankelijk van of u een openbaar of privé-eindpunt gebruikt.

• U wordt aangeraden een openbaar eindpunt te gebruiken wanneer uw Microsoft Sentinel-werkruimte er een heeft, om potentiële problemen in de netwerkcommunicatie te voorkomen.
• Als u een Azure Machine Learning-werkruimte in een virtueel netwerk wilt gebruiken, gebruikt u een privé-eindpunt.

Openbaar eindpunt

1. Voor Microsoft Sentinel in Azure Portal selecteert u Notebooks onder Bedreigingsbeheer.
   Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel>Threat Management>Notebooks.

2. Selecteer Azure Machine Learning>Een nieuwe AML-werkruimte maken.

3. Voer de volgende gegevens in en selecteer Volgende.

   Veld	Beschrijving
   Abonnement	Selecteer het Azure-abonnement dat u wilt gebruiken.
   Resourcegroep	Gebruik een bestaande resourcegroep in uw abonnement of voer een naam in om een nieuwe resourcegroep te maken. Een resourcegroep bevat gerelateerde resources voor een Azure-oplossing.
   Werkruimtenaam	Voer een unieke naam in die uw werkruimte aanduidt. Namen moeten uniek zijn binnen de resourcegroep. Gebruik een naam die gemakkelijk te onthouden is en te onderscheiden is van door anderen gemaakte werkruimten.
   Regio	Selecteer de locatie die zich het dichtst bij uw gebruikers en de gegevensresources bevindt om uw werkruimte te maken.
   Opslagaccount	Een opslagaccount wordt gebruikt als het standaardgegevensarchief voor de werkruimte. U kunt een nieuwe Azure Storage-resource maken of een bestaande resource in uw abonnement selecteren.
   KeyVault	Een sleutelkluis wordt gebruikt voor het opslaan van geheimen en andere gevoelige informatie die nodig is voor de werkruimte. U kunt een nieuwe Azure Key Vault-resource maken of een bestaande resource in uw abonnement selecteren.
   Application Insights	De werkruimte maakt gebruik van Azure-toepassing Insights om bewakingsgegevens over uw geïmplementeerde modellen op te slaan. U kunt een nieuwe Azure-toepassing Insights-resource maken of een bestaande resource in uw abonnement selecteren.
   Containerregister	Een containerregister wordt gebruikt voor het registreren van Docker-installatiekopieën die worden gebruikt in trainingen en implementaties. Als u de kosten wilt minimaliseren, wordt er pas een nieuwe Azure Container Registry-resource gemaakt nadat u uw eerste installatiekopieën hebt gemaakt. U kunt er ook voor kiezen om de resource nu te maken of een bestaande resource in uw abonnement te selecteren of Geen te selecteren als u geen containerregister wilt gebruiken.

4. Selecteer op het tabblad Netwerkenopenbare toegang inschakelen vanuit alle netwerken.

   Definieer alle relevante instellingen op de tabbladen Geavanceerd of Tags en selecteer Vervolgens Beoordelen en maken.

5. Controleer op het tabblad Controleren en maken de informatie om te controleren of deze juist is en selecteer Maken om te beginnen met de implementatie van uw werkruimte. Voorbeeld:

   

   Het kan enkele minuten duren om uw werkruimte in de cloud te maken. Gedurende deze tijd toont de pagina Overzicht van de werkruimte de huidige implementatiestatus en updates wanneer de implementatie is voltooid.

Privé-eindpunt

De stappen in deze procedure verwijzen naar specifieke artikelen in de Documentatie voor Azure Machine Learning, indien relevant. Zie Een beveiligde Azure Machine Learning-werkruimte maken voor meer informatie.

1. Maak een jumpbox voor een virtuele machine (VM) binnen een virtueel netwerk. Omdat het virtuele netwerk de toegang vanaf het openbare internet beperkt, wordt de jumpbox gebruikt als een manier om verbinding te maken met resources achter het virtuele netwerk.

2. Open de jumpbox en ga vervolgens naar uw Microsoft Sentinel-werkruimte. U wordt aangeraden Azure Bastion te gebruiken voor toegang tot de virtuele machine.

3. Voor Microsoft Sentinel in Azure Portal selecteert u Notebooks onder Bedreigingsbeheer.
   Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel>Threat Management>Notebooks.

4. Selecteer Azure Machine Learning>Een nieuwe AML-werkruimte maken.

5. Voer de volgende gegevens in en selecteer Volgende.

   Veld	Beschrijving
   Abonnement	Selecteer het Azure-abonnement dat u wilt gebruiken.
   Resourcegroep	Gebruik een bestaande resourcegroep in uw abonnement of voer een naam in om een nieuwe resourcegroep te maken. Een resourcegroep bevat gerelateerde resources voor een Azure-oplossing.
   Werkruimtenaam	Voer een unieke naam in die uw werkruimte aanduidt. Namen moeten uniek zijn binnen de resourcegroep. Gebruik een naam die gemakkelijk te onthouden is en te onderscheiden is van door anderen gemaakte werkruimten.
   Regio	Selecteer de locatie die zich het dichtst bij uw gebruikers en de gegevensresources bevindt om uw werkruimte te maken.
   Opslagaccount	Een opslagaccount wordt gebruikt als het standaardgegevensarchief voor de werkruimte. U kunt een nieuwe Azure Storage-resource maken of een bestaande resource in uw abonnement selecteren.
   KeyVault	Een sleutelkluis wordt gebruikt voor het opslaan van geheimen en andere gevoelige informatie die nodig is voor de werkruimte. U kunt een nieuwe Azure Key Vault-resource maken of een bestaande resource in uw abonnement selecteren.
   Application Insights	De werkruimte maakt gebruik van Azure-toepassing Insights om bewakingsgegevens over uw geïmplementeerde modellen op te slaan. U kunt een nieuwe Azure-toepassing Insights-resource maken of een bestaande resource in uw abonnement selecteren.
   Containerregister	Een containerregister wordt gebruikt voor het registreren van Docker-installatiekopieën die worden gebruikt in trainingen en implementaties. Als u de kosten wilt minimaliseren, wordt er pas een nieuwe Azure Container Registry-resource gemaakt nadat u uw eerste installatiekopieën hebt gemaakt. U kunt er ook voor kiezen om de resource nu te maken of een bestaande resource in uw abonnement te selecteren of Geen te selecteren als u geen containerregister wilt gebruiken.

6. Selecteer Op het tabblad Netwerkende optie Openbare toegang uitschakelen en privé-eindpunt gebruiken. Zorg ervoor dat u hetzelfde virtuele netwerk gebruikt als in de jumpbox van de VM. Voorbeeld:

   

7. Definieer alle relevante instellingen op de tabbladen Geavanceerd of Tags en selecteer Vervolgens Beoordelen en maken.

8. Controleer op het tabblad Controleren en maken de informatie om te controleren of deze juist is en selecteer Maken om te beginnen met de implementatie van uw werkruimte. Voorbeeld:

   

   Het kan enkele minuten duren om uw werkruimte in de cloud te maken. Gedurende deze tijd toont de pagina Overzicht van de werkruimte de huidige implementatiestatus en updates wanneer de implementatie is voltooid.

9. Maak in Azure Machine Learning Studio op de pagina Compute een nieuwe berekening. Zorg ervoor dat u op het tabblad Geavanceerde instellingen hetzelfde virtuele netwerk selecteert dat u hebt gebruikt voor uw VM-jumpbox. Zie Een Azure Machine Learning-rekenproces maken en beheren voor meer informatie.

10. Configureer uw netwerkverkeer voor toegang tot Azure Machine Learning vanaf een firewall. Zie Inkomend en uitgaand netwerkverkeer configureren voor meer informatie.

Ga door met een van de volgende sets stappen:

• Als u slechts één privékoppeling hebt: U hebt nu toegang tot de notitieblokken via een van de volgende methoden:

  • Notebooks klonen en starten van Microsoft Sentinel naar Azure Machine Learning
  • Notebooks handmatig uploaden naar Azure Machine Learning
  • De GitHub-opslagplaats voor Microsoft Sentinel-notebooks klonen in de Azure Machine Learning-terminal

• Als u een andere privékoppeling hebt, die gebruikmaakt van een ander VNET, gaat u als volgt te werk:

  1. Ga in Azure Portal naar de resourcegroep van uw Azure Machine Learning-werkruimte en zoek vervolgens naar de privé-DNS-zoneresources met de naam privatelink.api.azureml.ms en privatelink.notebooks.azure.ms. Voorbeeld:

     

  2. Voeg voor elke resource, inclusief zowel privatelink.api.azureml.ms alsprivatelink.notebooks.azure.ms, een koppeling voor een virtueel netwerk toe.

     Selecteer de resource >Virtuele netwerk koppelingen>Toevoegen. Zie Het virtuele netwerk koppelen voor meer informatie.

Zie voor meer informatie:

• Netwerkverkeersstroom bij het gebruik van een beveiligde werkruimte
• Azure Machine Learning-werkruimtebronnen beveiligen met behulp van virtuele netwerken (VNets)

Nadat uw implementatie is voltooid, gaat u terug naar Notebooks in Microsoft Sentinel en start u notebooks vanuit uw nieuwe Azure Machine Learning-werkruimte.

Als u meerdere notebooks hebt, moet u een standaard-AML-werkruimte selecteren die moet worden gebruikt bij het starten van uw notebooks. Voorbeeld:

Een notebook starten in uw Azure Machine Learning-werkruimte

Nadat u een Azure Machine Learning-werkruimte hebt gemaakt, start u uw notebook in die werkruimte vanuit Microsoft Sentinel. Houd er rekening mee dat als u privé-eindpunten of beperkingen hebt voor de toegang tot het openbare netwerk die is ingeschakeld in uw Azure-opslagaccount, u geen notebooks kunt starten in de Azure Machine Learning-werkruimte vanuit Microsoft Sentinel. U moet de notitiebloksjabloon van Microsoft Sentinel kopiëren en het notitieblok uploaden naar de Azure Machine Learning-studio.

Voer de volgende stappen uit om uw Microsoft Sentinel-notebook te starten in uw Azure Machine Learning-werkruimte.

1. Voor Microsoft Sentinel in Azure Portal selecteert u Notebooks onder Bedreigingsbeheer.
   Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel>Threat Management>Notebooks.

2. Selecteer het tabblad Sjablonen om de notitieblokken te zien die Microsoft Sentinel biedt.

3. Selecteer een notebook om de beschrijving, vereiste gegevenstypen en gegevensbronnen weer te geven.

4. Wanneer u het notitieblok vindt dat u wilt gebruiken, selecteert u Maken op basis van sjabloon en Opslaan om het te klonen in uw eigen werkruimte. Alleen Azure Machine Learning-werkruimten in hetzelfde abonnement kunnen worden geselecteerd.

5. Bewerk de naam indien nodig. Als het notitieblok al bestaat in uw werkruimte, overschrijft u het bestaande notitieblok of maakt u een nieuw notitieblok. Standaard wordt uw notitieblok opgeslagen in de map /Users/<Your_User_Name>/ van de geselecteerde AML-werkruimte.

   

6. Nadat het notitieblok is opgeslagen, verandert de knop Notitieblok opslaan in Notitieblok starten. Selecteer Notebook starten om het te openen in uw AML-werkruimte.

   Voorbeeld:

   

7. Selecteer boven aan de pagina een rekenproces dat u wilt gebruiken voor uw notebookserver.

   Als u geen compute-instantie hebt, maakt u een nieuwe instantie. Als uw rekenproces is gestopt, moet u dit starten. Zie Een notebook uitvoeren in Azure Machine Learning Studio voor meer informatie.

   Alleen u kunt de rekeninstanties zien en gebruiken die u maakt. Uw gebruikersbestanden worden afzonderlijk van de VIRTUELE machine opgeslagen en worden gedeeld tussen alle rekenprocessen in de werkruimte.

   Als u een nieuw rekenproces maakt om uw notebooks te testen, maakt u uw rekenproces met de categorie Algemeen gebruik .

   De kernel wordt ook rechtsboven in uw Azure Machine Learning-venster weergegeven. Als de gewenste kernel niet is geselecteerd, selecteert u een andere versie in de vervolgkeuzelijst.

8. Zodra de notebookserver is aangemaakt en gestart, kunt u de notebookcellen uitvoeren. Selecteer in elke cel het pictogram Uitvoeren om uw notebookcode uit te voeren.

   Zie Sneltoetsen voor de opdrachtmodus voor meer informatie.

9. Als uw notitieblok vastloopt of als u opnieuw wilt beginnen, kunt u de kernel opnieuw starten en de notebookcellen vanaf het begin opnieuw uitvoeren. Als u de kernel opnieuw start, worden variabelen en andere status verwijderd. Voer alle initialisatie- en verificatiecellen opnieuw uit nadat u opnieuw hebt opgestart.

   Als u opnieuw wilt beginnen, selecteert u Kernelbewerkingen>Kernel opnieuw opstarten. Voorbeeld:

   

Code uitvoeren in uw notebook

Voer altijd de notebookcode cellen op volgorde uit. Het overslaan van cellen kan leiden tot fouten.

In een notitieblok:

• Markdown-cellen bevatten tekst, waaronder HTML en statische afbeeldingen.
• Codecellen bevatten code. Nadat u een codecel hebt geselecteerd, voert u de code in de cel uit door het pictogram Afspelen links van de cel te selecteren of door op Shift+Enter te drukken.

Voer bijvoorbeeld de volgende codecel uit in uw notebook:

# This is your first code cell. This cell contains basic Python code.

# You can run a code cell by selecting it and then selecting
# the Play button to the left of the cell, or by pressing SHIFT+ENTER.
# Code output displays below the code.

print("Congratulations, you just ran this code cell")

y = 2 + 2

print("2 + 2 =", y)

De voorbeeldcode produceert deze uitvoer:

Congratulations, you just ran this code cell

2 + 2 = 4

Variabelen die zijn ingesteld in een notebookcodecel, blijven behouden tussen cellen, zodat u cellen aan elkaar kunt koppelen. In de volgende codecel wordt bijvoorbeeld de waarde van y de vorige cel gebruikt:

# Note that output from the last line of a cell is automatically
# sent to the output cell, without needing the print() function.

y + 2

De uitvoer is:

6

Alle Microsoft Sentinel-notebooks downloaden

In deze sectie wordt beschreven hoe u Git gebruikt om alle notebooks te downloaden die beschikbaar zijn in de GitHub-opslagplaats van Microsoft Sentinel, vanuit een Microsoft Sentinel-notebook, rechtstreeks naar uw Azure Machine Learning-werkruimte.

Door de Microsoft Sentinel-notebooks op te slaan in uw Azure Machine Learning-werkruimte, kunt u ze eenvoudig up-to-date houden.

1. Voer vanuit een Microsoft Sentinel-notebook de volgende code in een lege cel in en voer de cel uit:

   !git clone https://github.com/Azure/Azure-Sentinel-Notebooks.git azure-sentinel-nb
   

   Er wordt een kopie van de inhoud van de GitHub-opslagplaats gemaakt in de map azure-Sentinel-nb in uw gebruikersmap in uw Azure Machine Learning-werkruimte.

2. Kopieer de gewenste notitieblokken uit deze map naar uw werkmap.

3. Als u uw notebooks wilt bijwerken met recente wijzigingen vanuit GitHub, voert u het volgende uit:

   !cd azure-sentinel-nb && git pull
   

Gerelateerde inhoud

• Jupyter-notebooks met opsporingsmogelijkheden van Microsoft Sentinel
• Aan de slag met Jupyter-notebooks en MSTICPy in Microsoft Sentinel