Jupyter-notebooks met opsporingsmogelijkheden van Microsoft Sentinel
Jupyter-notebooks combineren volledige programmeerbaarheid met een enorme verzameling bibliotheken voor machine learning, visualisatie en gegevensanalyse. Deze kenmerken maken Jupyter een overtuigend hulpmiddel voor beveiligingsonderzoek en opsporing.
De basis van Microsoft Sentinel is het gegevensarchief; het combineert krachtige query's, dynamisch schema en schaalt naar enorme gegevensvolumes. De Azure-portal en alle Microsoft Sentinel-hulpprogramma's gebruiken een algemene API voor toegang tot dit gegevensarchief. Dezelfde API is ook beschikbaar voor externe hulpprogramma's, zoals Jupyter-notebooks en Python.
Belangrijk
Microsoft Sentinel is algemeen beschikbaar binnen het geïntegreerde beveiligingsbewerkingsplatform van Microsoft in de Microsoft Defender-portal. Voor preview is Microsoft Sentinel beschikbaar in de Defender-portal zonder Microsoft Defender XDR of een E5-licentie. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.
Hoewel veel algemene taken kunnen worden uitgevoerd in de portal, breidt Jupyter het bereik uit van wat u met deze gegevens kunt doen.
Gebruik bijvoorbeeld notebooks om het volgende te doen:
- Analyses uitvoeren die niet standaard worden geleverd in Microsoft Sentinel, zoals sommige Python-functies voor machine learning
- Gegevensvisualisaties maken die niet standaard worden geleverd in Microsoft Sentinel, zoals aangepaste tijdlijnen en processtructuren
- Integreer gegevensbronnen buiten Microsoft Sentinel, zoals een on-premises gegevensset.
We hebben de Jupyter-ervaring geïntegreerd in Azure Portal, zodat u eenvoudig notebooks kunt maken en uitvoeren om uw gegevens te analyseren. De Kqlmagic-bibliotheek biedt de lijm waarmee u Kusto-querytaal (KQL)-query's van Microsoft Sentinel kunt uitvoeren en deze rechtstreeks in een notebook kunt uitvoeren.
Verschillende notebooks, ontwikkeld door een aantal beveiligingsanalisten van Microsoft, zijn verpakt met Microsoft Sentinel:
- Sommige van deze notebooks zijn gebouwd voor een specifiek scenario en kunnen als zodanig worden gebruikt.
- Anderen zijn bedoeld als voorbeelden om technieken en functies te illustreren die u kunt kopiëren of aanpassen voor gebruik in uw eigen notebooks.
Importeer andere notebooks uit de GitHub-opslagplaats van Microsoft Sentinel.
Notebooks hebben twee onderdelen:
- De browserinterface, waar u query's en code invoert en uitvoert, en waar de resultaten van de uitvoering worden weergegeven.
- Een kernel die verantwoordelijk is voor het parseren en uitvoeren van de code zelf.
De kernel van het Microsoft Sentinel-notebook wordt uitgevoerd op een virtuele Azure-machine (VM). Het VM-exemplaar kan ondersteuning bieden voor het uitvoeren van veel notebooks tegelijk. Als uw notebooks complexe machine learning-modellen bevatten, zijn er verschillende licentieopties beschikbaar om krachtigere virtuele machines te gebruiken.
De Microsoft Sentinel-notebooks maken gebruik van veel populaire Python-bibliotheken, zoals pandas, matplotlib,sturingselementen en andere. Er zijn veel andere Python-pakketten waaruit u kunt kiezen, met betrekking tot gebieden zoals:
- Visualisaties en afbeeldingen
- Gegevensverwerking en -analyse
- Statistieken en numerieke computing
- Machine learning en deep learning
Om te voorkomen dat u complexe en terugkerende code in notebookcellen moet typen of plakken, zijn de meeste Python-notebooks afhankelijk van bibliotheken van derden die pakketten worden genoemd. Als u een pakket in een notebook wilt gebruiken, moet u het pakket installeren en importeren. Azure Machine Learning Compute heeft de meest voorkomende pakketten die vooraf zijn geïnstalleerd. Zorg ervoor dat u het pakket importeert of het relevante deel van het pakket, zoals een module, bestand, functie of klasse.
Microsoft Sentinel-notebooks maken gebruik van een Python-pakket met de naam MSTICPy, een verzameling cyberbeveiligingsprogramma's voor het ophalen, analyseren, verrijken en visualiseren van gegevens.
MSTICPy-hulpprogramma's zijn speciaal ontworpen om notebooks te maken voor opsporing en onderzoek en we werken actief aan nieuwe functies en verbeteringen. Zie voor meer informatie:
- Documentatie voor MSTIC Jupyter en Python Security Tools
- Aan de slag met Jupyter-notebooks en MSTICPy in Microsoft Sentinel
- Geavanceerde configuraties voor Jupyter-notebooks en MSTICPy in Microsoft Sentinel
Selecteer notitieblokken in Microsoft Sentinel om notitieblokken te zien die Microsoft Sentinel biedt. Meer informatie over het gebruik van notebooks bij het opsporen en onderzoeken van bedreigingen door notebooksjablonen zoals Referentiescan in Azure Log Analytics en Begeleid onderzoek - Proceswaarschuwingen te verkennen.
Ga naar de GitHub-opslagplaats van Microsoft Sentinel voor meer notebooks die zijn gebouwd door Microsoft of die zijn bijgedragen vanuit de community. Gebruik notebooks die zijn gedeeld in de GitHub-opslagplaats van Microsoft Sentinel als handige hulpprogramma's, illustraties en codevoorbeelden die u kunt gebruiken bij het ontwikkelen van uw eigen notebooks.
De
Sample-Notebooks
map bevat voorbeeldnotebooks die worden opgeslagen met gegevens die u kunt gebruiken om de beoogde uitvoer weer te geven.De
HowTos
map bevat notebooks waarin concepten worden beschreven, zoals het instellen van uw standaardversie van Python, het maken van Microsoft Sentinel-bladwijzers vanuit een notebook en meer.
Als u Jupyter-notebooks in Microsoft Sentinel wilt gebruiken, moet u eerst over de juiste machtigingen beschikken, afhankelijk van uw gebruikersrol.
Hoewel u Microsoft Sentinel-notebooks kunt uitvoeren in JupyterLab of jupyter classic, worden notebooks in Microsoft Sentinel uitgevoerd op een Azure Machine Learning-platform . Als u notebooks wilt uitvoeren in Microsoft Sentinel, moet u de juiste toegang hebben tot zowel de Microsoft Sentinel-werkruimte als een Azure Machine Learning-werkruimte.
Machtiging | Beschrijving |
---|---|
Microsoft Sentinel-machtigingen | Net als andere Microsoft Sentinel-resources is de rol Microsoft Sentinel Responder of Microsoft Sentinel-inzender vereist voor toegang tot notitieblokken op de blade Microsoft Sentinel-notitieblokken. Zie Machtigingen in Microsoft Sentinel voor meer informatie. |
Azure Machine Learning-machtigingen | Een Azure Machine Learning-werkruimte is een Azure-resource. Net als bij andere Azure-resources wordt een nieuwe Azure Machine Learning-werkruimte gemaakt, wordt deze geleverd met standaardrollen. U kunt gebruikers toevoegen aan de werkruimte en deze toewijzen aan een van deze ingebouwde rollen. Zie standaardrollen voor Azure Machine Learning en ingebouwde Azure-rollen voor meer informatie. Belangrijk: Roltoegang kan worden beperkt tot meerdere niveaus in Azure. Iemand met eigenaarstoegang tot een werkruimte heeft bijvoorbeeld mogelijk geen eigenaarstoegang tot de resourcegroep die de werkruimte bevat. Zie Hoe Azure RBAC werkt voor meer informatie. Als u eigenaar bent van een Azure ML-werkruimte, kunt u rollen voor de werkruimte toevoegen en verwijderen en rollen toewijzen aan gebruikers. Zie voor meer informatie: - Azure-portal - PowerShell - Azure-CLI - REST API - Azure Resource Manager-sjablonen - Azure Machine Learning CLI Als de ingebouwde rollen onvoldoende zijn, kunt u ook aangepaste rollen maken. Aangepaste rollen hebben mogelijk lees-, schrijf-, verwijder- en rekenresourcemachtigingen in die werkruimte. U kunt de rol beschikbaar maken op een specifiek werkruimteniveau, een specifiek resourcegroepniveau of een specifiek abonnementsniveau. Zie Aangepaste rol maken voor meer informatie. |
Dien feedback, aanvragen voor functies, foutrapporten of verbeteringen in bestaande notitieblokken in. Ga naar de GitHub-opslagplaats van Microsoft Sentinel om een probleem te maken, of fork en upload een bijdrage.
- Beveiligingsrisico's opsporen met Jupyter-notebooks
- Aan de slag met Jupyter-notebooks en MSTICPy in Microsoft Sentinel
- Proactief zoeken naar bedreigingen
- Gegevens bijhouden tijdens het opsporen met Microsoft Sentinel
Zie voor blogs, video's en andere bronnen:
- Uw eerste Microsoft Sentinel-notitieblok maken (blogreeks)
- Zelfstudie: Microsoft Sentinel-notebooks - Aan de slag (video)
- Zelfstudie: Jupyter-notebooks bewerken en uitvoeren zonder Azure Machine Learning-studio (video) te verlaten
- Referentielekken detecteren met behulp van Azure Sentinel Notebooks (video)
- Webinar: Basisprincipes van Microsoft Sentinel-notebooks (video)
- Jupyter, msticpy en Microsoft Sentinel