Wyszukiwanie zagrożeń bezpieczeństwa za pomocą notesów Jupyter

Notesy Jupyter łączą pełną możliwość programowania z ogromną kolekcją bibliotek do uczenia maszynowego, wizualizacji i analizy danych. Te atrybuty sprawiają, że Jupyter jest atrakcyjnym narzędziem do badania zabezpieczeń i wyszukiwania zagrożeń.

Podstawą usługi Microsoft Sentinel jest magazyn danych; Łączy ona zapytania o wysoką wydajność, schemat dynamiczny i skaluje do ogromnych woluminów danych. Azure Portal i wszystkie narzędzia usługi Microsoft Sentinel używają wspólnego interfejsu API do uzyskiwania dostępu do tego magazynu danych. Ten sam interfejs API jest również dostępny dla narzędzi zewnętrznych, takich jak notesy Jupyter i język Python.

Kiedy używać notesów Jupyter

Chociaż w portalu można wykonywać wiele typowych zadań, program Jupyter rozszerza zakres zadań, które można wykonać za pomocą tych danych.

Na przykład użyj notesów, aby:

  • Wykonywanie analiz , które nie są dostępne w usłudze Microsoft Sentinel, takich jak niektóre funkcje uczenia maszynowego w języku Python
  • Tworzenie wizualizacji danych , które nie są dostarczane poza urządzeniem w usłudze Microsoft Sentinel, takie jak niestandardowe osie czasu i drzewa procesów
  • Integrowanie źródeł danych poza usługą Microsoft Sentinel, takich jak lokalny zestaw danych.

Zintegrowaliśmy środowisko Jupyter z Azure Portal, co ułatwia tworzenie i uruchamianie notesów w celu analizowania danych. Biblioteka Kqlmagic udostępnia klej, który umożliwia wykonywanie zapytań KQL z usługi Microsoft Sentinel i uruchamianie ich bezpośrednio w notesie.

Kilka notesów opracowanych przez niektórych analityków zabezpieczeń firmy Microsoft jest spakowanych za pomocą usługi Microsoft Sentinel:

  • Niektóre z tych notesów są tworzone dla określonego scenariusza i mogą być używane jako.
  • Inne są przeznaczone jako przykłady ilustrujące techniki i funkcje, które można kopiować lub dostosowywać do użycia we własnych notesach.

Inne notesy mogą być również importowane z repozytorium GitHub usługi Microsoft Sentinel.

Jak działają notesy Jupyter

Notesy mają dwa składniki:

  • Interfejs oparty na przeglądarce, w którym wprowadzasz i uruchamiasz zapytania i kod oraz gdzie są wyświetlane wyniki wykonywania.
  • Jądro odpowiedzialne za analizowanie i wykonywanie samego kodu.

Jądro notesu usługi Microsoft Sentinel działa na maszynie wirtualnej platformy Azure. Wystąpienie maszyny wirtualnej może obsługiwać uruchamianie wielu notesów jednocześnie. Jeśli notesy obejmują złożone modele uczenia maszynowego, istnieje kilka opcji licencjonowania, aby korzystać z bardziej zaawansowanych maszyn wirtualnych.

Omówienie pakietów języka Python

Notesy usługi Microsoft Sentinel używają wielu popularnych bibliotek języka Python, takich jak pandas, matplotlib, bokeh i inne. Istnieje wiele innych pakietów języka Python do wyboru, obejmujących takie obszary jak:

  • Wizualizacje i grafiki
  • Przetwarzanie i analiza danych
  • Statystyki i obliczenia liczbowe
  • Uczenie maszynowe i uczenie głębokie

Aby uniknąć konieczności wpisywania lub wklejania złożonego i powtarzalnego kodu do komórek notesu, większość notesów języka Python korzysta z bibliotek innych firm nazywanych pakietami. Aby użyć pakietu w notesie, należy zainstalować i zaimportować pakiet. Usługa Azure ML Compute ma wstępnie zainstalowane najczęściej pakiety. Upewnij się, że importujesz pakiet lub odpowiednią część pakietu, taką jak moduł, plik, funkcja lub klasa.

Notesy usługi Microsoft Sentinel używają pakietu języka Python o nazwie MSTICPy, który jest kolekcją narzędzi cyberbezpieczeństwa do pobierania, analizy, wzbogacania i wizualizacji danych.

Narzędzia MSTICPy zostały zaprojektowane specjalnie, aby ułatwić tworzenie notesów do wyszukiwania zagrożeń i badań oraz aktywnie pracujemy nad nowymi funkcjami i ulepszeniami. Aby uzyskać więcej informacji, zobacz:

Znajdowanie notesów

W Azure Portal przejdź donotesówzarządzania zagrożeniami> usługi Microsoft Sentinel, aby wyświetlić notesy udostępnione przez usługę Microsoft Sentinel>. Aby uzyskać więcej notesów utworzonych przez firmę Microsoft lub współautorów ze społeczności, przejdź do repozytorium GitHub usługi Microsoft Sentinel.

Zarządzanie dostępem do notesów usługi Microsoft Sentinel

Aby korzystać z notesów Jupyter w usłudze Microsoft Sentinel, musisz najpierw mieć odpowiednie uprawnienia, w zależności od roli użytkownika.

Notesy usługi Microsoft Sentinel można uruchamiać w klasycznej wersji JupyterLab lub Jupyter, w usłudze Microsoft Sentinel notesy są uruchamiane na platformie Azure Machine Learning (Azure ML). Aby uruchamiać notesy w usłudze Microsoft Sentinel, musisz mieć odpowiedni dostęp zarówno do obszaru roboczego usługi Microsoft Sentinel, jak i obszaru roboczego usługi Azure ML.

Uprawnienie Opis
Uprawnienia usługi Microsoft Sentinel Podobnie jak w przypadku innych zasobów usługi Microsoft Sentinel, aby uzyskać dostęp do notesów w bloku Notesy usługi Microsoft Sentinel, wymagany jest czytelnik usługi Microsoft Sentinel, osoba odpowiadająca w usłudze Microsoft Sentinel lub rola współautora usługi Microsoft Sentinel.

Aby uzyskać więcej informacji, zobacz Uprawnienia w usłudze Microsoft Sentinel.
Uprawnienia usługi Azure Machine Learning Obszar roboczy usługi Azure Machine Learning to zasób platformy Azure. Podobnie jak w przypadku innych zasobów platformy Azure, po utworzeniu nowego obszaru roboczego usługi Azure Machine Learning jest on dostarczany z rolami domyślnymi. Możesz dodać użytkowników do obszaru roboczego i przypisać je do jednej z tych wbudowanych ról. Aby uzyskać więcej informacji, zobacz Role domyślne usługi Azure Machine Learning i role wbudowane platformy Azure.

Ważne: dostęp do ról można ograniczyć do wielu poziomów na platformie Azure. Na przykład osoba z dostępem właściciela do obszaru roboczego może nie mieć dostępu właściciela do grupy zasobów zawierającej obszar roboczy. Aby uzyskać więcej informacji, zobacz Jak działa kontrola dostępu oparta na rolach platformy Azure.

Jeśli jesteś właścicielem obszaru roboczego usługi Azure ML, możesz dodawać i usuwać role dla obszaru roboczego oraz przypisywać role do użytkowników. Aby uzyskać więcej informacji, zobacz:
- Azure Portal
- PowerShell
- Interfejs wiersza polecenia platformy Azure
- REST API
- Szablony usługi Azure Resource Manager
- Interfejs wiersza polecenia usługi Azure Machine Learning

Jeśli wbudowane role są niewystarczające, możesz również utworzyć role niestandardowe. Role niestandardowe mogą mieć uprawnienia do odczytu, zapisu, usuwania i zasobów obliczeniowych w tym obszarze roboczym. Rolę można udostępnić na określonym poziomie obszaru roboczego, określonym poziomie grupy zasobów lub określonym poziomie subskrypcji. Aby uzyskać więcej informacji, zobacz Tworzenie roli niestandardowej.

Następne kroki

Inne zasoby:

  • Użyj notesów udostępnionych w repozytorium GitHub usługi Microsoft Sentinel jako przydatnych narzędzi, ilustracji i przykładów kodu, których można użyć podczas tworzenia własnych notesów.

  • Prześlij opinię, sugestie, żądania dotyczące funkcji, notesy współautorów, raporty o błędach lub ulepszenia i dodatki do istniejących notesów. Przejdź do repozytorium GitHub usługi Microsoft Sentinel , aby utworzyć problem lub rozwidlenie i przekazać wkład.

  • Dowiedz się więcej na temat używania notesów w poszukiwaniu zagrożeń i badania, eksplorując niektóre szablony notesów, takie jak Skanowanie poświadczeń w usłudze Azure Log Analytics i Badanie z przewodnikiem — alerty procesu.

    Więcej szablonów notesów można znaleźć na karcie Szablony notesów> usługi Microsoft Sentinel.>

  • Znajdź więcej notesów w repozytorium GitHub usługi Microsoft Sentinel:

    • Katalog Sample-Notebooks zawiera przykładowe notesy, które są zapisywane przy użyciu danych, których można użyć do pokazywania zamierzonych danych wyjściowych.

    • Katalog HowTos zawiera notesy opisujące pojęcia, takie jak ustawianie domyślnej wersji języka Python, tworzenie zakładek usługi Microsoft Sentinel na podstawie notesu i nie tylko.

Aby uzyskać więcej informacji, zobacz: