Wyszukiwanie zagrożeń bezpieczeństwa za pomocą notesów Jupyter

• Dotyczy:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

W ramach badań zabezpieczeń i wyszukiwania zagrożeń uruchom i uruchom notesy Jupyter w celu programowego analizowania danych.

W tym artykule utworzysz obszar roboczy usługi Azure Machine Edukacja, uruchom notes z usługi Microsoft Sentinel do obszaru roboczego usługi Azure Machine Edukacja i uruchomisz kod w notesie.

Ważne

Usługa Microsoft Sentinel jest dostępna w publicznej wersji zapoznawczej dla ujednoliconej platformy operacji zabezpieczeń w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Wymagania wstępne

Zalecamy zapoznanie się z notesami usługi Microsoft Sentinel przed wykonaniem kroków opisanych w tym artykule. Zobacz Wyszukiwanie zagrożeń bezpieczeństwa za pomocą notesów Jupyter.

Aby korzystać z notesów usługi Microsoft Sentinel, musisz mieć następujące role i uprawnienia:

Typ	Szczegóły
Microsoft Sentinel	— Rola współautora usługi Microsoft Sentinel w celu zapisania i uruchomienia notesów z usługi Microsoft Sentinel
Azure Machine Learning	— Rola właściciela lub współautora na poziomie grupy zasobów, aby w razie potrzeby utworzyć nowy obszar roboczy usługi Azure Machine Edukacja. — Rola Współautor w obszarze roboczym usługi Azure Machine Edukacja, w którym są uruchamiane notesy usługi Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do obszaru roboczego usługi Azure Machine Edukacja.

Tworzenie obszaru roboczego usługi Azure Machine Edukacja z poziomu usługi Microsoft Sentinel

Aby utworzyć obszar roboczy, wybierz jedną z poniższych kart, w zależności od tego, czy używasz publicznego, czy prywatnego punktu końcowego.

• Zalecamy użycie publicznego punktu końcowego, gdy obszar roboczy usługi Microsoft Sentinel ma jeden, aby uniknąć potencjalnych problemów z komunikacją sieciową.
• Jeśli chcesz użyć obszaru roboczego usługi Azure Machine Edukacja w sieci wirtualnej, użyj prywatnego punktu końcowego.

Publiczny punkt końcowy

1. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Zarządzanie zagrożeniami wybierz pozycję Notesy.
   W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Notesy zarządzania zagrożeniami>w usłudze Microsoft Sentinel.>

2. Wybierz pozycję Konfiguruj maszynę platformy Azure Edukacja> Utwórz nowy obszar roboczy AML.

3. Wprowadź następujące szczegóły, a następnie wybierz pozycję Dalej.

   Pole	opis
   Subskrypcja	Wybierz subskrypcję platformy Azure, której chcesz użyć.
   Grupa zasobów:	Użyj grupy zasobów istniejącej w Twojej subskrypcji lub wprowadź nazwę, aby utworzyć nową grupę zasobów. Grupa zasobów zawiera powiązane zasoby dla rozwiązania platformy Azure.
   Nazwa obszaru roboczego	Wprowadź unikatową nazwę identyfikującą obszar roboczy. Nazwy muszą być unikatowe w całej grupie zasobów. Użyj nazwy, która jest łatwa do przywoływania i rozróżniania obszarów roboczych utworzonych przez inne osoby.
   Region	Wybierz lokalizację znajdującą się najbliżej użytkowników i zasobów danych, aby utworzyć obszar roboczy.
   Konto magazynu	Konto magazynu jest używane jako domyślny magazyn danych dla obszaru roboczego. Możesz utworzyć nowy zasób usługi Azure Storage lub wybrać istniejący w subskrypcji.
   KeyVault	Magazyn kluczy służy do przechowywania wpisów tajnych i innych poufnych informacji potrzebnych przez obszar roboczy. Możesz utworzyć nowy zasób usługi Azure Key Vault lub wybrać istniejący w subskrypcji.
   Szczegółowe dane dotyczące aplikacji	Obszar roboczy używa aplikacja systemu Azure Szczegółowe informacje do przechowywania informacji monitorowania dotyczących wdrożonych modeli. Możesz utworzyć nowy zasób aplikacja systemu Azure Szczegółowe informacje lub wybrać istniejący w subskrypcji.
   Rejestr kontenerów	Rejestr kontenerów służy do rejestrowania obrazów platformy Docker używanych w szkoleniach i wdrożeniach. Aby zminimalizować koszty, nowy zasób usługi Azure Container Registry jest tworzony dopiero po utworzeniu pierwszego obrazu. Alternatywnie możesz utworzyć zasób teraz lub wybrać istniejący w subskrypcji albo wybrać pozycję Brak , jeśli nie chcesz używać żadnego rejestru kontenerów.

4. Na karcie Sieć wybierz pozycję Włącz dostęp publiczny ze wszystkich sieci.

   Zdefiniuj odpowiednie ustawienia na kartach Zaawansowane lub Tagi , a następnie wybierz pozycję Przejrzyj i utwórz.

5. Na karcie Przeglądanie + tworzenie przejrzyj informacje, aby sprawdzić, czy są poprawne, a następnie wybierz pozycję Utwórz, aby rozpocząć wdrażanie obszaru roboczego. Na przykład:

   

   Utworzenie obszaru roboczego w chmurze może potrwać kilka minut. W tym czasie na stronie Przegląd obszaru roboczego jest wyświetlany bieżący stan wdrożenia i aktualizacje po zakończeniu wdrażania.

Prywatny punkt końcowy

Kroki opisane w tej procedurze odwołują się do określonych artykułów w dokumentacji usługi Azure Machine Edukacja w razie potrzeby. Aby uzyskać więcej informacji, zobacz How to create a secure Azure Machine Edukacja workspace (Jak utworzyć bezpieczny obszar roboczy usługi Azure Machine Edukacja).

1. Utwórz serwer przesiadkowy maszyny wirtualnej w sieci wirtualnej. Ponieważ sieć wirtualna ogranicza dostęp z publicznego Internetu, serwer przesiadkowy jest używany jako sposób łączenia się z zasobami za siecią wirtualną.

2. Uzyskaj dostęp do pola przesiadkowego, a następnie przejdź do obszaru roboczego usługi Microsoft Sentinel. Zalecamy używanie usługi Azure Bastion do uzyskiwania dostępu do maszyny wirtualnej.

3. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Zarządzanie zagrożeniami wybierz pozycję Notesy.
   W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Notesy zarządzania zagrożeniami>w usłudze Microsoft Sentinel.>

4. Wybierz pozycję Konfiguruj maszynę platformy Azure Edukacja> Utwórz nowy obszar roboczy AML.

5. Wprowadź następujące szczegóły, a następnie wybierz pozycję Dalej.

   Pole	opis
   Subskrypcja	Wybierz subskrypcję platformy Azure, której chcesz użyć.
   Grupa zasobów:	Użyj grupy zasobów istniejącej w Twojej subskrypcji lub wprowadź nazwę, aby utworzyć nową grupę zasobów. Grupa zasobów zawiera powiązane zasoby dla rozwiązania platformy Azure.
   Nazwa obszaru roboczego	Wprowadź unikatową nazwę identyfikującą obszar roboczy. Nazwy muszą być unikatowe w całej grupie zasobów. Użyj nazwy, która jest łatwa do przywoływania i rozróżniania obszarów roboczych utworzonych przez inne osoby.
   Region	Wybierz lokalizację znajdującą się najbliżej użytkowników i zasobów danych, aby utworzyć obszar roboczy.
   Konto magazynu	Konto magazynu jest używane jako domyślny magazyn danych dla obszaru roboczego. Możesz utworzyć nowy zasób usługi Azure Storage lub wybrać istniejący w subskrypcji.
   KeyVault	Magazyn kluczy służy do przechowywania wpisów tajnych i innych poufnych informacji potrzebnych przez obszar roboczy. Możesz utworzyć nowy zasób usługi Azure Key Vault lub wybrać istniejący w subskrypcji.
   Szczegółowe dane dotyczące aplikacji	Obszar roboczy używa aplikacja systemu Azure Szczegółowe informacje do przechowywania informacji monitorowania dotyczących wdrożonych modeli. Możesz utworzyć nowy zasób aplikacja systemu Azure Szczegółowe informacje lub wybrać istniejący w subskrypcji.
   Rejestr kontenerów	Rejestr kontenerów służy do rejestrowania obrazów platformy Docker używanych w szkoleniach i wdrożeniach. Aby zminimalizować koszty, nowy zasób usługi Azure Container Registry jest tworzony dopiero po utworzeniu pierwszego obrazu. Alternatywnie możesz utworzyć zasób teraz lub wybrać istniejący w subskrypcji albo wybrać pozycję Brak , jeśli nie chcesz używać żadnego rejestru kontenerów.

6. Na karcie Sieć wybierz pozycję Wyłącz dostęp publiczny i użyj prywatnego punktu końcowego. Upewnij się, że używasz tej samej sieci wirtualnej, co w polu przesiadkowym maszyny wirtualnej. Na przykład:

   

7. Zdefiniuj odpowiednie ustawienia na kartach Zaawansowane lub Tagi , a następnie wybierz pozycję Przejrzyj i utwórz.

8. Na karcie Przeglądanie + tworzenie przejrzyj informacje, aby sprawdzić, czy są poprawne, a następnie wybierz pozycję Utwórz, aby rozpocząć wdrażanie obszaru roboczego. Na przykład:

   

   Utworzenie obszaru roboczego w chmurze może potrwać kilka minut. W tym czasie na stronie Przegląd obszaru roboczego jest wyświetlany bieżący stan wdrożenia i aktualizacje po zakończeniu wdrażania.

9. W usłudze Azure Machine Edukacja Studio na stronie Obliczenia utwórz nowe środowisko obliczeniowe. Na karcie Zaawansowane Ustawienia upewnij się, że wybrano tę samą sieć wirtualną, która była używana dla serwera przesiadkowego maszyny wirtualnej. Aby uzyskać więcej informacji, zobacz Tworzenie wystąpienia obliczeniowego usługi Azure Machine Edukacja i zarządzanie nim.

10. Skonfiguruj ruch sieciowy w celu uzyskania dostępu do Edukacja usługi Azure Machine zza zapory. Aby uzyskać więcej informacji, zobacz Konfigurowanie ruchu przychodzącego i wychodzącego ruchu sieciowego.

Kontynuuj pracę z jednym z następujących zestawów kroków:

• Jeśli masz tylko jeden link prywatny: Teraz możesz uzyskać dostęp do notesów za pomocą dowolnej z następujących metod:

  • Klonowanie i uruchamianie notesów z usługi Microsoft Sentinel do usługi Azure Machine Edukacja
  • Ręczne przekazywanie notesów do usługi Azure Machine Edukacja
  • Klonowanie repozytorium GitHub notesów usługi Microsoft Sentinel w terminalu usługi Azure Machine Edukacja

• Jeśli masz inny link prywatny, który używa innej sieci wirtualnej, wykonaj następujące czynności:

  1. W witrynie Azure Portal przejdź do grupy zasobów obszaru roboczego usługi Azure Machine Edukacja, a następnie wyszukaj zasoby strefy Prywatna strefa DNS o nazwie privatelink.api.azureml.ms i privatelink.notebooks.azure.ms. Na przykład:

     

  2. Dla każdego zasobu, w tym zarówno privatelink.api.azureml.ms, jak i privatelink.notebooks.azure.ms, dodaj link do sieci wirtualnej.

     Wybierz zasób >Łącza sieci>wirtualnej Dodaj. Aby uzyskać więcej informacji, zobacz Łączenie sieci wirtualnej.

Aby uzyskać więcej informacji, zobacz:

• Przepływ ruchu sieciowego podczas korzystania z zabezpieczonego obszaru roboczego
• Zabezpieczanie zasobów obszaru roboczego usługi Azure Machine Learning przy użyciu sieci wirtualnych

Po zakończeniu wdrażania wróć do pozycji Notesy w usłudze Microsoft Sentinel i uruchom notesy z nowego obszaru roboczego usługi Azure Machine Edukacja.

Jeśli masz wiele notesów, wybierz domyślny obszar roboczy AML do użycia podczas uruchamiania notesów. Na przykład:

Uruchamianie notesu w obszarze roboczym usługi Azure Machine Edukacja

Po utworzeniu obszaru roboczego usługi Azure Machine Edukacja uruchom notesy w tym obszarze roboczym z poziomu usługi Microsoft Sentinel.

1. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Zarządzanie zagrożeniami wybierz pozycję Notesy.
   W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Notesy zarządzania zagrożeniami>w usłudze Microsoft Sentinel.>

2. Wybierz kartę Szablony , aby wyświetlić notesy udostępnione przez usługę Microsoft Sentinel.

3. Wybierz notes, aby wyświetlić jego opis, wymagane typy danych i źródła danych.

4. Po znalezieniu notesu, którego chcesz użyć, wybierz pozycję Utwórz z szablonu i Zapisz , aby sklonować go do własnego obszaru roboczego.

5. Edytuj nazwę zgodnie z potrzebami. Jeśli notes już istnieje w obszarze roboczym, zastąp istniejący notes lub utwórz nowy. Domyślnie notes jest zapisywany w katalogu /Users/<Your_User_Name>/ wybranego obszaru roboczego AML.

   

6. Po zapisaniu notesu przycisk Zapisz notes zmieni się na Uruchom notes. Wybierz pozycję Uruchom notes , aby otworzyć go w obszarze roboczym AML.

   Na przykład:

   

7. W górnej części strony wybierz wystąpienie obliczeniowe do użycia dla serwera notesu.

   Jeśli nie masz wystąpienia obliczeniowego, utwórz nowe. Jeśli wystąpienie obliczeniowe zostało zatrzymane, upewnij się, że zostało ono uruchomione. Aby uzyskać więcej informacji, zobacz Uruchamianie notesu w usłudze Azure Machine Edukacja Studio.

   Zobaczysz tylko utworzone wystąpienia obliczeniowe i użyjesz ich. Pliki użytkownika są przechowywane oddzielnie od maszyny wirtualnej i współużytkowane przez wszystkie wystąpienia obliczeniowe w obszarze roboczym.

   Jeśli tworzysz nowe wystąpienie obliczeniowe w celu przetestowania notesów, utwórz wystąpienie obliczeniowe z kategorią Ogólnego przeznaczenia .

   Jądro jest również wyświetlane w prawym górnym rogu okna usługi Azure Machine Edukacja. Jeśli potrzebne jądro nie jest zaznaczone, wybierz inną wersję z listy rozwijanej.

8. Po utworzeniu i uruchomieniu serwera notesu uruchom komórki notesu. W każdej komórce wybierz ikonę Uruchom , aby uruchomić kod notesu.

   Aby uzyskać więcej informacji, zobacz Skróty trybu poleceń.

9. Jeśli notes zawiesza się lub chcesz zacząć od nowa, możesz ponownie uruchomić jądro i ponownie uruchomić komórki notesu od początku. Jeśli ponownie uruchomisz jądro, zmienne i inny stan zostaną usunięte. Uruchom ponownie wszystkie komórki inicjowania i uwierzytelniania po ponownym uruchomieniu.

   Aby rozpocząć od nowa, wybierz pozycję Operacje>jądra Uruchom ponownie jądro. Na przykład:

   

Uruchamianie kodu w notesie

Zawsze uruchamiaj komórki kodu notesu w sekwencji. Pomijanie komórek może spowodować błędy.

W notesie:

• Komórki markdown mają tekst, w tym html i obrazy statyczne.
• Komórki kodu zawierają kod. Po wybraniu komórki kodu uruchom kod w komórce, wybierając ikonę Odtwarzania po lewej stronie komórki lub naciskając klawisze SHIFT+ENTER.

Na przykład uruchom następującą komórkę kodu w notesie:

# This is your first code cell. This cell contains basic Python code.

# You can run a code cell by selecting it and then selecting
# the Play button to the left of the cell, or by pressing SHIFT+ENTER.
# Code output displays below the code.

print("Congratulations, you just ran this code cell")

y = 2 + 2

print("2 + 2 =", y)

Przykładowy kod generuje następujące dane wyjściowe:

Congratulations, you just ran this code cell

2 + 2 = 4

Zmienne ustawione w komórce kodu notesu są utrwalane między komórkami, dzięki czemu można łączyć komórki ze sobą. Na przykład następująca komórka kodu używa wartości y z poprzedniej komórki:

# Note that output from the last line of a cell is automatically
# sent to the output cell, without needing the print() function.

y + 2

Dane wyjściowe to:

6

Pobieranie wszystkich notesów usługi Microsoft Sentinel

W tej sekcji opisano sposób pobierania wszystkich notesów dostępnych w repozytorium GitHub usługi Microsoft Sentinel z poziomu notesu usługi Microsoft Sentinel bezpośrednio do obszaru roboczego usługi Azure Machine Edukacja.

Przechowywanie notesów usługi Microsoft Sentinel w obszarze roboczym usługi Azure Machine Edukacja umożliwia łatwe aktualizowanie notesów.

1. W notesie usługi Microsoft Sentinel wprowadź następujący kod w pustej komórce, a następnie uruchom komórkę:

   !git clone https://github.com/Azure/Azure-Sentinel-Notebooks.git azure-sentinel-nb
   

   Kopia zawartości repozytorium GitHub jest tworzona w katalogu azure-Sentinel-nb w folderze użytkownika w obszarze roboczym usługi Azure Machine Edukacja.

2. Skopiuj notesy z tego folderu do katalogu roboczego.

3. Aby zaktualizować notesy przy użyciu najnowszych zmian z usługi GitHub, uruchom polecenie:

   !cd azure-sentinel-nb && git pull
   

Powiązana zawartość

• Notesy Jupyter z funkcjami wyszukiwania zagrożeń w usłudze Microsoft Sentinel
• Wprowadzenie do notesów Jupyter i biblioteki MSTICPy w usłudze Microsoft Sentinel