Jupyter-notebooks gebruiken om te zoeken naar beveiligingsrisico's

Jupyter-notebooks combineren volledige programmeerbaarheid met een enorme verzameling bibliotheken voor machine learning, visualisatie en gegevensanalyse. Deze kenmerken maken Jupyter een overtuigend hulpmiddel voor beveiligingsonderzoek en opsporing.

De basis van Microsoft Sentinel is het gegevensarchief; het combineert hoogwaardige query's, dynamische schema's en schalen naar enorme gegevensvolumes. De Azure Portal en alle Microsoft Sentinel-hulpprogramma's gebruiken een gemeenschappelijke API voor toegang tot dit gegevensarchief. Dezelfde API is ook beschikbaar voor externe hulpprogramma's, zoals Jupyter-notebooks en Python.

Wanneer gebruikt u Jupyter-notebooks?

Hoewel veel algemene taken kunnen worden uitgevoerd in de portal, breidt Jupyter het bereik uit van wat u met deze gegevens kunt doen.

Gebruik bijvoorbeeld notebooks voor het volgende:

  • Analyses uitvoeren die niet out-of-the-box worden geleverd in Microsoft Sentinel, zoals enkele python-machine learning-functies
  • Gegevensvisualisaties maken die niet out-of-the-box worden geleverd in Microsoft Sentinel, zoals aangepaste tijdlijnen en processtructuren
  • Integreer gegevensbronnen buiten Microsoft Sentinel, zoals een on-premises gegevensset.

We hebben de Jupyter-ervaring geïntegreerd in de Azure Portal, zodat u eenvoudig notebooks kunt maken en uitvoeren om uw gegevens te analyseren. De Kqlmagic-bibliotheek biedt de lijm waarmee u KQL-query's van Microsoft Sentinel rechtstreeks in een notebook kunt uitvoeren.

Verschillende notebooks, ontwikkeld door een aantal beveiligingsanalisten van Microsoft, zijn verpakt met Microsoft Sentinel:

  • Sommige van deze notebooks zijn gebouwd voor een specifiek scenario en kunnen als zodanig worden gebruikt.
  • Andere zijn bedoeld als voorbeelden om technieken en functies te illustreren die u kunt kopiëren of aanpassen voor gebruik in uw eigen notitieblokken.

Andere notebooks kunnen ook worden geïmporteerd uit de Microsoft Sentinel GitHub-opslagplaats.

Hoe Jupyter-notebooks werken

Notebooks hebben twee onderdelen:

  • De browserinterface, waar u query's en code invoert en uitvoert, en waar de resultaten van de uitvoering worden weergegeven.
  • Een kernel die verantwoordelijk is voor het parseren en uitvoeren van de code zelf.

De Microsoft de kernel van het Sentinel-notebook wordt uitgevoerd op een virtuele Azure-machine (VM). Het VM-exemplaar kan ondersteuning bieden voor het uitvoeren van veel notebooks tegelijk. Als uw notebooks complexe machine learning-modellen bevatten, zijn er verschillende licentieopties voor het gebruik van krachtigere virtuele machines.

Python-pakketten begrijpen

De Microsoft Sentinel-notebooks gebruiken veel populaire Python-bibliotheken, zoals pandas, matplotlib, bokeh en andere. Er zijn een groot aantal andere Python-pakketten waaruit u kunt kiezen, met betrekking tot gebieden zoals:

  • Visualisaties en afbeeldingen
  • Gegevensverwerking en -analyse
  • Statistieken en numerieke computing
  • Machine learning en deep learning

Om te voorkomen dat u complexe en terugkerende code in notebookcellen moet typen of plakken, zijn de meeste Python-notebooks afhankelijk van bibliotheken van derden, pakketten genoemd. Als u een pakket in een notebook wilt gebruiken, moet u het pakket zowel installeren als importeren. Azure ML Compute heeft de meest voorkomende pakketten vooraf geïnstalleerd. Zorg ervoor dat u het pakket of het relevante deel van het pakket importeert, zoals een module, bestand, functie of klasse.

Microsoft Sentinel-notebooks gebruiken een Python-pakket met de naam MSTICPy. Dit is een verzameling cyberbeveiligingshulpprogramma's voor het ophalen, analyseren, verrijken en visualiseren van gegevens.

MSTICPy-hulpprogramma's zijn speciaal ontworpen om te helpen bij het maken van notebooks voor opsporing en onderzoek en we werken actief aan nieuwe functies en verbeteringen. Zie voor meer informatie:

Notitieblokken zoeken

Ga in de Azure Portal naar Microsoft Sentinel>Threat Management>Notebooks om notebooks te zien die Microsoft Sentinel biedt. Ga naar Microsoft Sentinel GitHub-opslagplaats voor meer notebooks die zijn gebouwd door Microsoft of die zijn bijgedragen vanuit de community.

Toegang tot Microsoft Sentinel-notebooks beheren

Als u Jupyter-notebooks wilt gebruiken in Microsoft Sentinel, moet u eerst over de juiste machtigingen beschikken, afhankelijk van uw gebruikersrol.

Hoewel u Microsoft Sentinel-notebooks kunt uitvoeren in JupyterLab of jupyter classic, worden notebooks in Microsoft Sentinel uitgevoerd op een Azure Machine Learning-platform (Azure ML). Als u notebooks wilt uitvoeren in Microsoft Sentinel, moet u de juiste toegang hebben tot zowel Microsoft Sentinel-werkruimte als een Azure ML-werkruimte.

Machtiging Beschrijving
Microsoft Sentinel-machtigingen Net als andere Microsoft Sentinel-resources is voor toegang tot notitieblokken op Microsoft blade Sentinel-notitieblokken een Microsoft Sentinel-lezer, Microsoft Sentinel Responder of Microsoft rol Sentinel-inzender vereist.

Zie Machtigingen in Microsoft Sentinel voor meer informatie.
Azure Machine Learning-machtigingen Een Azure Machine Learning-werkruimte is een Azure-resource. Net als bij andere Azure-resources wordt een nieuwe Azure Machine Learning-werkruimte gemaakt met standaardrollen. U kunt gebruikers toevoegen aan de werkruimte en deze toewijzen aan een van deze ingebouwde rollen. Zie Standaardrollen voor Azure Machine Learning en Ingebouwde Azure-rollen voor meer informatie.

Belangrijk: Roltoegang kan worden beperkt tot meerdere niveaus in Azure. Iemand met eigenaarstoegang tot een werkruimte heeft bijvoorbeeld mogelijk geen eigenaarstoegang tot de resourcegroep die de werkruimte bevat. Zie Hoe Azure RBAC werkt voor meer informatie.

Als u een eigenaar van een Azure ML-werkruimte bent, kunt u rollen voor de werkruimte toevoegen en verwijderen en rollen toewijzen aan gebruikers. Zie voor meer informatie:
- Azure Portal
- PowerShell
- Azure CLI
- REST API
- Azure Resource Manager-sjablonen
- Azure Machine Learning CLI

Als de ingebouwde rollen onvoldoende zijn, kunt u ook aangepaste rollen maken. Aangepaste rollen hebben mogelijk machtigingen voor lezen, schrijven, verwijderen en berekenen van resources in die werkruimte. U kunt de rol beschikbaar maken op een specifiek werkruimteniveau, een specifiek resourcegroepniveau of een specifiek abonnementsniveau. Zie Aangepaste rol maken voor meer informatie.

Volgende stappen

Andere bronnen:

  • Gebruik notebooks die worden gedeeld in de GitHub-opslagplaats Microsoft Sentinel als handige hulpprogramma's, illustraties en codevoorbeelden die u kunt gebruiken bij het ontwikkelen van uw eigen notebooks.

  • Dien feedback, suggesties, aanvragen voor functies, bijgedragen notebooks, bugrapporten of verbeteringen en toevoegingen aan bestaande notebooks in. Ga naar de Microsoft Sentinel GitHub-opslagplaats om een probleem of fork te maken en een bijdrage te uploaden.

  • Meer informatie over het gebruik van notebooks bij het opsporen en onderzoeken van bedreigingen door enkele notebooksjablonen te verkennen, zoals Referentiescan in Azure Log Analytics en Begeleide onderzoek - proceswaarschuwingen.

    Zoek meer notitiebloksjablonen op de Microsoft tabbladSjablonen voor Sentinel-notitieblokken>>.

  • Zoek meer notebooks in de GitHub-opslagplaats Microsoft Sentinel:

    • De Sample-Notebooks map bevat voorbeeldnotebooks die worden opgeslagen met gegevens die u kunt gebruiken om de beoogde uitvoer weer te geven.

    • De HowTos map bevat notebooks waarin concepten worden beschreven, zoals het instellen van uw standaard Python-versie, het maken van Microsoft Sentinel-bladwijzers op basis van een notebook en meer.

Zie voor meer informatie: