Wyszukiwanie zagrożeń bezpieczeństwa za pomocą notesów Jupyter
Notesy Jupyter łączą pełną możliwość programowania z ogromną kolekcją bibliotek do uczenia maszynowego, wizualizacji i analizy danych. Te atrybuty sprawiają, że Jupyter jest atrakcyjnym narzędziem do badania zabezpieczeń i wyszukiwania zagrożeń.
Podstawą usługi Microsoft Sentinel jest magazyn danych; Łączy ona zapytania o wysoką wydajność, schemat dynamiczny i skaluje do ogromnych woluminów danych. Azure Portal i wszystkie narzędzia usługi Microsoft Sentinel używają wspólnego interfejsu API do uzyskiwania dostępu do tego magazynu danych. Ten sam interfejs API jest również dostępny dla narzędzi zewnętrznych, takich jak notesy Jupyter i język Python.
Kiedy używać notesów Jupyter
Chociaż w portalu można wykonywać wiele typowych zadań, program Jupyter rozszerza zakres zadań, które można wykonać za pomocą tych danych.
Na przykład użyj notesów, aby:
- Wykonywanie analiz , które nie są dostępne w usłudze Microsoft Sentinel, takich jak niektóre funkcje uczenia maszynowego w języku Python
- Tworzenie wizualizacji danych , które nie są dostarczane poza urządzeniem w usłudze Microsoft Sentinel, takie jak niestandardowe osie czasu i drzewa procesów
- Integrowanie źródeł danych poza usługą Microsoft Sentinel, takich jak lokalny zestaw danych.
Zintegrowaliśmy środowisko Jupyter z Azure Portal, co ułatwia tworzenie i uruchamianie notesów w celu analizowania danych. Biblioteka Kqlmagic udostępnia klej, który umożliwia wykonywanie zapytań KQL z usługi Microsoft Sentinel i uruchamianie ich bezpośrednio w notesie.
Kilka notesów opracowanych przez niektórych analityków zabezpieczeń firmy Microsoft jest spakowanych za pomocą usługi Microsoft Sentinel:
- Niektóre z tych notesów są tworzone dla określonego scenariusza i mogą być używane jako.
- Inne są przeznaczone jako przykłady ilustrujące techniki i funkcje, które można kopiować lub dostosowywać do użycia we własnych notesach.
Inne notesy mogą być również importowane z repozytorium GitHub usługi Microsoft Sentinel.
Jak działają notesy Jupyter
Notesy mają dwa składniki:
- Interfejs oparty na przeglądarce, w którym wprowadzasz i uruchamiasz zapytania i kod oraz gdzie są wyświetlane wyniki wykonywania.
- Jądro odpowiedzialne za analizowanie i wykonywanie samego kodu.
Jądro notesu usługi Microsoft Sentinel działa na maszynie wirtualnej platformy Azure. Wystąpienie maszyny wirtualnej może obsługiwać uruchamianie wielu notesów jednocześnie. Jeśli notesy obejmują złożone modele uczenia maszynowego, istnieje kilka opcji licencjonowania, aby korzystać z bardziej zaawansowanych maszyn wirtualnych.
Omówienie pakietów języka Python
Notesy usługi Microsoft Sentinel używają wielu popularnych bibliotek języka Python, takich jak pandas, matplotlib, bokeh i inne. Istnieje wiele innych pakietów języka Python do wyboru, obejmujących takie obszary jak:
- Wizualizacje i grafiki
- Przetwarzanie i analiza danych
- Statystyki i obliczenia liczbowe
- Uczenie maszynowe i uczenie głębokie
Aby uniknąć konieczności wpisywania lub wklejania złożonego i powtarzalnego kodu do komórek notesu, większość notesów języka Python korzysta z bibliotek innych firm nazywanych pakietami. Aby użyć pakietu w notesie, należy zainstalować i zaimportować pakiet. Usługa Azure ML Compute ma wstępnie zainstalowane najczęściej pakiety. Upewnij się, że importujesz pakiet lub odpowiednią część pakietu, taką jak moduł, plik, funkcja lub klasa.
Notesy usługi Microsoft Sentinel używają pakietu języka Python o nazwie MSTICPy, który jest kolekcją narzędzi cyberbezpieczeństwa do pobierania, analizy, wzbogacania i wizualizacji danych.
Narzędzia MSTICPy zostały zaprojektowane specjalnie, aby ułatwić tworzenie notesów do wyszukiwania zagrożeń i badań oraz aktywnie pracujemy nad nowymi funkcjami i ulepszeniami. Aby uzyskać więcej informacji, zobacz:
- Dokumentacja narzędzi MSTIC Jupyter i Python Security Tools
- Samouczek: wprowadzenie do notesów Jupyter i biblioteki MSTICPy w usłudze Microsoft Sentinel
- Zaawansowane konfiguracje notesów Jupyter i MSTICPy w usłudze Microsoft Sentinel
Znajdowanie notesów
W Azure Portal przejdź donotesówzarządzania zagrożeniami> usługi Microsoft Sentinel, aby wyświetlić notesy udostępnione przez usługę Microsoft Sentinel>. Aby uzyskać więcej notesów utworzonych przez firmę Microsoft lub współautorów ze społeczności, przejdź do repozytorium GitHub usługi Microsoft Sentinel.
Zarządzanie dostępem do notesów usługi Microsoft Sentinel
Aby korzystać z notesów Jupyter w usłudze Microsoft Sentinel, musisz najpierw mieć odpowiednie uprawnienia, w zależności od roli użytkownika.
Notesy usługi Microsoft Sentinel można uruchamiać w klasycznej wersji JupyterLab lub Jupyter, w usłudze Microsoft Sentinel notesy są uruchamiane na platformie Azure Machine Learning (Azure ML). Aby uruchamiać notesy w usłudze Microsoft Sentinel, musisz mieć odpowiedni dostęp zarówno do obszaru roboczego usługi Microsoft Sentinel, jak i obszaru roboczego usługi Azure ML.
Uprawnienie | Opis |
---|---|
Uprawnienia usługi Microsoft Sentinel | Podobnie jak w przypadku innych zasobów usługi Microsoft Sentinel, aby uzyskać dostęp do notesów w bloku Notesy usługi Microsoft Sentinel, wymagany jest czytelnik usługi Microsoft Sentinel, osoba odpowiadająca w usłudze Microsoft Sentinel lub rola współautora usługi Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Uprawnienia w usłudze Microsoft Sentinel. |
Uprawnienia usługi Azure Machine Learning | Obszar roboczy usługi Azure Machine Learning to zasób platformy Azure. Podobnie jak w przypadku innych zasobów platformy Azure, po utworzeniu nowego obszaru roboczego usługi Azure Machine Learning jest on dostarczany z rolami domyślnymi. Możesz dodać użytkowników do obszaru roboczego i przypisać je do jednej z tych wbudowanych ról. Aby uzyskać więcej informacji, zobacz Role domyślne usługi Azure Machine Learning i role wbudowane platformy Azure. Ważne: dostęp do ról można ograniczyć do wielu poziomów na platformie Azure. Na przykład osoba z dostępem właściciela do obszaru roboczego może nie mieć dostępu właściciela do grupy zasobów zawierającej obszar roboczy. Aby uzyskać więcej informacji, zobacz Jak działa kontrola dostępu oparta na rolach platformy Azure. Jeśli jesteś właścicielem obszaru roboczego usługi Azure ML, możesz dodawać i usuwać role dla obszaru roboczego oraz przypisywać role do użytkowników. Aby uzyskać więcej informacji, zobacz: - Azure Portal - PowerShell - Interfejs wiersza polecenia platformy Azure - REST API - Szablony usługi Azure Resource Manager - Interfejs wiersza polecenia usługi Azure Machine Learning Jeśli wbudowane role są niewystarczające, możesz również utworzyć role niestandardowe. Role niestandardowe mogą mieć uprawnienia do odczytu, zapisu, usuwania i zasobów obliczeniowych w tym obszarze roboczym. Rolę można udostępnić na określonym poziomie obszaru roboczego, określonym poziomie grupy zasobów lub określonym poziomie subskrypcji. Aby uzyskać więcej informacji, zobacz Tworzenie roli niestandardowej. |
Następne kroki
- Wyszukiwanie zagrożeń bezpieczeństwa za pomocą notesów Jupyter
- Samouczek: wprowadzenie do notesów Jupyter i biblioteki MSTICPy w usłudze Microsoft Sentinel
- Integrowanie notesów z Azure Synapse (publiczna wersja zapoznawcza)
Inne zasoby:
Użyj notesów udostępnionych w repozytorium GitHub usługi Microsoft Sentinel jako przydatnych narzędzi, ilustracji i przykładów kodu, których można użyć podczas tworzenia własnych notesów.
Prześlij opinię, sugestie, żądania dotyczące funkcji, notesy współautorów, raporty o błędach lub ulepszenia i dodatki do istniejących notesów. Przejdź do repozytorium GitHub usługi Microsoft Sentinel , aby utworzyć problem lub rozwidlenie i przekazać wkład.
Dowiedz się więcej na temat używania notesów w poszukiwaniu zagrożeń i badania, eksplorując niektóre szablony notesów, takie jak Skanowanie poświadczeń w usłudze Azure Log Analytics i Badanie z przewodnikiem — alerty procesu.
Więcej szablonów notesów można znaleźć na karcie Szablony notesów> usługi Microsoft Sentinel.>
Znajdź więcej notesów w repozytorium GitHub usługi Microsoft Sentinel:
Katalog
Sample-Notebooks
zawiera przykładowe notesy, które są zapisywane przy użyciu danych, których można użyć do pokazywania zamierzonych danych wyjściowych.Katalog
HowTos
zawiera notesy opisujące pojęcia, takie jak ustawianie domyślnej wersji języka Python, tworzenie zakładek usługi Microsoft Sentinel na podstawie notesu i nie tylko.
Aby uzyskać więcej informacji, zobacz:
Tworzenie pierwszego notesu usługi Microsoft Sentinel (seria blogów)
Samouczek: notesy usługi Microsoft Sentinel — wprowadzenie (wideo)
Samouczek: edytowanie i uruchamianie notesów Jupyter bez opuszczania programu Azure ML Studio (wideo)
Seminarium internetowe: podstawy notesów usługi Microsoft Sentinel
Zapisywanie interesujących informacji podczas wyszukiwania zagrożeń przy użyciu zakładek