Beveiligingsrisico's opsporen met Jupyter-notebooks
Als onderdeel van uw beveiligingsonderzoeken en opsporing kunt u Jupyter-notebooks starten en uitvoeren om uw gegevens programmatisch te analyseren.
In dit artikel maakt u een Azure Machine Learning-werkruimte, start u een notebook van Microsoft Sentinel naar uw Azure Machine Learning-werkruimte en voert u code uit in het notebook.
Belangrijk
Microsoft Sentinel is nu algemeen beschikbaar in het geïntegreerde Microsoft Security Operations-platform in de Microsoft Defender-portal. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.
Vereisten
U wordt aangeraden meer te weten te komen over Microsoft Sentinel-notitieblokken voordat u de stappen in dit artikel uitvoert. Zie Jupyter-notebooks gebruiken om te zoeken naar beveiligingsrisico's.
Als u Microsoft Sentinel-notebooks wilt gebruiken, moet u over de volgende rollen en machtigingen beschikken:
Type | DETAILS |
---|---|
Microsoft Sentinel | - De rol Microsoft Sentinel-inzender om notitieblokken op te slaan en te starten vanuit Microsoft Sentinel |
Azure Machine Learning | - Een rol Eigenaar of Inzender op resourcegroepniveau om zo nodig een nieuwe Azure Machine Learning-werkruimte te maken. - Een rol inzender in de Azure Machine Learning-werkruimte waar u uw Microsoft Sentinel-notebooks uitvoert. Zie Toegang tot een Azure Machine Learning-werkruimte beheren voor meer informatie. |
Een Azure Machine Learning-werkruimte maken vanuit Microsoft Sentinel
Als u uw werkruimte wilt maken, selecteert u een van de volgende tabbladen, afhankelijk van of u een openbaar of privé-eindpunt gebruikt.
- U wordt aangeraden een openbaar eindpunt te gebruiken wanneer uw Microsoft Sentinel-werkruimte er een heeft, om potentiële problemen in de netwerkcommunicatie te voorkomen.
- Als u een Azure Machine Learning-werkruimte in een virtueel netwerk wilt gebruiken, gebruikt u een privé-eindpunt.
Voor Microsoft Sentinel in Azure Portal selecteert u Notebooks onder Bedreigingsbeheer.
Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel>Threat Management>Notebooks.Selecteer Azure Machine Learning>Een nieuwe AML-werkruimte maken.
Voer de volgende gegevens in en selecteer Volgende.
Veld Beschrijving Abonnement Selecteer het Azure-abonnement dat u wilt gebruiken. Resourcegroep Gebruik een bestaande resourcegroep in uw abonnement of voer een naam in om een nieuwe resourcegroep te maken. Een resourcegroep bevat gerelateerde resources voor een Azure-oplossing. Werkruimtenaam Voer een unieke naam in die uw werkruimte aanduidt. Namen moeten uniek zijn binnen de resourcegroep. Gebruik een naam die gemakkelijk te onthouden is en te onderscheiden is van door anderen gemaakte werkruimten. Regio Selecteer de locatie die zich het dichtst bij uw gebruikers en de gegevensresources bevindt om uw werkruimte te maken. Opslagaccount Een opslagaccount wordt gebruikt als het standaardgegevensarchief voor de werkruimte. U kunt een nieuwe Azure Storage-resource maken of een bestaande resource in uw abonnement selecteren. KeyVault Een sleutelkluis wordt gebruikt voor het opslaan van geheimen en andere gevoelige informatie die nodig is voor de werkruimte. U kunt een nieuwe Azure Key Vault-resource maken of een bestaande resource in uw abonnement selecteren. Application insights De werkruimte maakt gebruik van Azure-toepassing Insights om bewakingsgegevens over uw geïmplementeerde modellen op te slaan. U kunt een nieuwe Azure-toepassing Insights-resource maken of een bestaande resource in uw abonnement selecteren. Containerregister Een containerregister wordt gebruikt voor het registreren van Docker-installatiekopieën die worden gebruikt in trainingen en implementaties. Als u de kosten wilt minimaliseren, wordt er pas een nieuwe Azure Container Registry-resource gemaakt nadat u uw eerste installatiekopieën hebt gemaakt. U kunt er ook voor kiezen om de resource nu te maken of een bestaande resource in uw abonnement te selecteren of Geen te selecteren als u geen containerregister wilt gebruiken. Selecteer op het tabblad Netwerken openbare toegang inschakelen vanuit alle netwerken.
Definieer alle relevante instellingen op de tabbladen Geavanceerd of Tags en selecteer Vervolgens Beoordelen en maken.
Controleer op het tabblad Controleren en maken de informatie om te controleren of deze juist is en selecteer Vervolgens Maken om te beginnen met het implementeren van uw werkruimte. Voorbeeld:
Het kan enkele minuten duren om uw werkruimte in de cloud te maken. Gedurende deze tijd toont de pagina Overzicht van de werkruimte de huidige implementatiestatus en updates wanneer de implementatie is voltooid.
Nadat uw implementatie is voltooid, gaat u terug naar Notebooks in Microsoft Sentinel en start u notebooks vanuit uw nieuwe Azure Machine Learning-werkruimte.
Als u meerdere notebooks hebt, moet u een standaard-AML-werkruimte selecteren die moet worden gebruikt bij het starten van uw notebooks. Voorbeeld:
Een notebook starten in uw Azure Machine Learning-werkruimte
Nadat u een Azure Machine Learning-werkruimte hebt gemaakt, start u uw notebook in die werkruimte vanuit Microsoft Sentinel. Houd er rekening mee dat als u privé-eindpunten hebt ingeschakeld in uw Azure-opslagaccount, u geen notebooks kunt starten in de Azure Machine Learning-werkruimte van Microsoft Sentinel. U moet de notitiebloksjabloon van Microsoft Sentinel kopiëren en het notitieblok uploaden naar de Azure Machine Learning-studio.
Voer de volgende stappen uit om uw Microsoft Sentinel-notebook te starten in uw Azure Machine Learning-werkruimte.
Voor Microsoft Sentinel in Azure Portal selecteert u Notebooks onder Bedreigingsbeheer.
Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel>Threat Management>Notebooks.Selecteer het tabblad Sjablonen om de notitieblokken te zien die Microsoft Sentinel biedt.
Selecteer een notebook om de beschrijving, vereiste gegevenstypen en gegevensbronnen weer te geven.
Wanneer u het notitieblok vindt dat u wilt gebruiken, selecteert u Maken op basis van sjabloon en Opslaan om het te klonen in uw eigen werkruimte.
Bewerk de naam indien nodig. Als het notitieblok al bestaat in uw werkruimte, overschrijft u het bestaande notitieblok of maakt u een nieuw notitieblok. Standaard wordt uw notitieblok opgeslagen in de map /Users/<Your_User_Name>/ van de geselecteerde AML-werkruimte.
Nadat het notitieblok is opgeslagen, verandert de knop Notitieblok opslaan in Notitieblok starten. Selecteer Notebook starten om het te openen in uw AML-werkruimte.
Voorbeeld:
Selecteer boven aan de pagina een rekenproces dat u wilt gebruiken voor uw notebookserver.
Als u geen rekenproces hebt, maakt u een nieuw exemplaar. Als uw rekenproces is gestopt, moet u dit starten. Zie Een notebook uitvoeren in de Azure Machine Learning-studio voor meer informatie.
Alleen u kunt de rekeninstanties zien en gebruiken die u maakt. Uw gebruikersbestanden worden afzonderlijk van de VIRTUELE machine opgeslagen en worden gedeeld tussen alle rekenprocessen in de werkruimte.
Als u een nieuw rekenproces maakt om uw notebooks te testen, maakt u uw rekenproces met de categorie Algemeen gebruik .
De kernel wordt ook rechtsboven in uw Azure Machine Learning-venster weergegeven. Als de gewenste kernel niet is geselecteerd, selecteert u een andere versie in de vervolgkeuzelijst.
Nadat de notebookserver is gemaakt en gestart, voert u de notebookcellen uit. Selecteer in elke cel het pictogram Uitvoeren om uw notebookcode uit te voeren.
Als uw notitieblok vastloopt of als u opnieuw wilt beginnen, kunt u de kernel opnieuw starten en de notebookcellen vanaf het begin opnieuw uitvoeren. Als u de kernel opnieuw start, worden variabelen en andere status verwijderd. Voer alle initialisatie- en verificatiecellen opnieuw uit nadat u opnieuw hebt opgestart.
Als u opnieuw wilt beginnen, selecteert u kernel opnieuw opstarten van kernelbewerkingen>. Voorbeeld:
Code uitvoeren in uw notebook
Voer altijd notebookcodecellen op volgorde uit. Het overslaan van cellen kan leiden tot fouten.
In een notitieblok:
- Markdown-cellen bevatten tekst, waaronder HTML en statische afbeeldingen.
- Codecellen bevatten code. Nadat u een codecel hebt geselecteerd, voert u de code in de cel uit door het pictogram Afspelen links van de cel te selecteren of door op Shift+Enter te drukken.
Voer bijvoorbeeld de volgende codecel uit in uw notebook:
# This is your first code cell. This cell contains basic Python code.
# You can run a code cell by selecting it and then selecting
# the Play button to the left of the cell, or by pressing SHIFT+ENTER.
# Code output displays below the code.
print("Congratulations, you just ran this code cell")
y = 2 + 2
print("2 + 2 =", y)
De voorbeeldcode produceert deze uitvoer:
Congratulations, you just ran this code cell
2 + 2 = 4
Variabelen die zijn ingesteld in een notebookcodecel, blijven behouden tussen cellen, zodat u cellen aan elkaar kunt koppelen. In de volgende codecel wordt bijvoorbeeld de waarde van y
de vorige cel gebruikt:
# Note that output from the last line of a cell is automatically
# sent to the output cell, without needing the print() function.
y + 2
De uitvoer is:
6
Alle Microsoft Sentinel-notebooks downloaden
In deze sectie wordt beschreven hoe u Git gebruikt om alle notebooks te downloaden die beschikbaar zijn in de GitHub-opslagplaats van Microsoft Sentinel, vanuit een Microsoft Sentinel-notebook, rechtstreeks naar uw Azure Machine Learning-werkruimte.
Door de Microsoft Sentinel-notebooks op te slaan in uw Azure Machine Learning-werkruimte, kunt u ze eenvoudig up-to-date houden.
Voer vanuit een Microsoft Sentinel-notebook de volgende code in een lege cel in en voer de cel uit:
!git clone https://github.com/Azure/Azure-Sentinel-Notebooks.git azure-sentinel-nb
Er wordt een kopie van de inhoud van de GitHub-opslagplaats gemaakt in de map azure-Sentinel-nb in uw gebruikersmap in uw Azure Machine Learning-werkruimte.
Kopieer de gewenste notitieblokken uit deze map naar uw werkmap.
Als u uw notebooks wilt bijwerken met recente wijzigingen vanuit GitHub, voert u het volgende uit:
!cd azure-sentinel-nb && git pull