Investigar ameaças de segurança com blocos de notas do Jupyter

Aplica-se a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Como parte das suas investigações de segurança e investigação, inicie e execute blocos de notas do Jupyter para analisar programaticamente os seus dados.

Neste artigo, vai criar uma área de trabalho do Azure Machine Learning, iniciar o bloco de notas do Microsoft Sentinel para a área de trabalho Azure Machine Learning e executar código no bloco de notas.

Importante

Após 31 de março de 2027, Microsoft Sentinel deixarão de ser suportados no portal do Azure e só estarão disponíveis no portal do Microsoft Defender. Todos os clientes que utilizem Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e utilizarão apenas Microsoft Sentinel no portal do Defender.

Se ainda estiver a utilizar Microsoft Sentinel no portal do Azure, recomendamos que comece a planear a transição para o portal do Defender para garantir uma transição suave e tirar o máximo partido da experiência de operações de segurança unificada oferecida pelo Microsoft Defender.

Pré-requisitos

Recomendamos que saiba mais sobre Microsoft Sentinel blocos de notas antes de concluir os passos neste artigo. Veja Utilizar blocos de notas do Jupyter para investigar ameaças de segurança.

Para utilizar Microsoft Sentinel blocos de notas, tem de ter as seguintes funções e permissões:

Tipo	Detalhes
Microsoft Sentinel	- A função contribuidor Microsoft Sentinel, para guardar e iniciar blocos de notas a partir de Microsoft Sentinel
Azure Machine Learning	- Uma função de Proprietário ou Contribuidor ao nível do grupo de recursos, para criar um novo Azure área de trabalho do Machine Learning, se necessário. - Uma função contribuidor na área de trabalho Azure Machine Learning onde executa os blocos de notas Microsoft Sentinel. Para obter mais informações, veja Gerir o acesso a uma área de trabalho do Azure Machine Learning.

Criar uma área de trabalho do Azure Machine Learning a partir do Microsoft Sentinel

Para criar a área de trabalho, selecione um dos seguintes separadores, consoante esteja a utilizar um ponto final público ou privado.

Recomendamos que utilize um ponto final público quando a área de trabalho Microsoft Sentinel tiver um, para evitar potenciais problemas na comunicação de rede.
Se quiser utilizar uma área de trabalho do Azure Machine Learning numa rede virtual, utilize um ponto final privado.

Ponto final público
Ponto final privado

Para Microsoft Sentinel na portal do Azure, em Gestão de ameaças, selecione Blocos de Notas.
Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Atualize blocos de notas de gestão>.
Selecione Configurar Azure Machine Learning>Criar uma nova área de trabalho do AML.

Introduza os seguintes detalhes e, em seguida, selecione Seguinte.

Campo	Descrição
Subscrição	Selecione o Azure subscrição que pretende utilizar.
Grupo de recursos	Utilize um grupo de recursos existente na sua subscrição ou introduza um nome para criar um novo grupo de recursos. Um grupo de recursos contém recursos relacionados para uma solução Azure.
Nome da área de trabalho	Introduza um nome exclusivo que identifique a área de trabalho. Os nomes têm de ser exclusivos em todo o grupo de recursos. Utilize um nome que seja fácil de recuperar e diferenciar das áreas de trabalho criadas por outras pessoas.
Região	Selecione a localização mais próxima dos seus utilizadores e os recursos de dados para criar a área de trabalho.
Conta de armazenamento	Uma conta de armazenamento é utilizada como o arquivo de dados predefinido para a área de trabalho. Pode criar um novo Azure Recurso de armazenamento ou selecionar um existente na sua subscrição.
KeyVault	Um cofre de chaves é utilizado para armazenar segredos e outras informações confidenciais necessárias para a área de trabalho. Pode criar um novo recurso Azure Key Vault ou selecionar um existente na sua subscrição.
Application Insights	A área de trabalho utiliza o Aplicação Azure Insights para armazenar informações de monitorização sobre os modelos implementados. Pode criar um novo recurso do Aplicação Azure Insights ou selecionar um existente na sua subscrição.
Registo de contentor	Um registo de contentor é utilizado para registar imagens do Docker utilizadas na preparação e implementações. Para minimizar os custos, só é criado um novo recurso Azure Container Registry depois de criar a sua primeira imagem. Em alternativa, pode optar por criar o recurso agora ou selecionar um existente na sua subscrição ou selecionar Nenhum se não quiser utilizar nenhum registo de contentor.

No separador Rede , selecione Ativar acesso público a partir de todas as redes.

Defina quaisquer definições relevantes nos separadores Avançadas ou Etiquetas e, em seguida, selecione Rever + criar.
No separador Rever + criar , reveja as informações para verificar se está correta e, em seguida, selecione Criar para começar a implementar a área de trabalho. Por exemplo:

A criação da área de trabalho na cloud pode demorar vários minutos. Durante este período, a página Descrição Geral da área de trabalho mostra o estado da implementação atual e atualiza quando a implementação estiver concluída.

Os passos neste procedimento fazem referência a artigos específicos na documentação do Azure Machine Learning quando relevante. Para obter mais informações, veja Como criar uma área de trabalho segura Azure Machine Learning.

Criar uma caixa de salto de máquina virtual (VM) numa rede virtual. Uma vez que a rede virtual restringe o acesso a partir da Internet pública, a jump box é utilizada como forma de ligar a recursos por trás da rede virtual.
Aceda à jump box e, em seguida, aceda à área de trabalho Microsoft Sentinel. Recomendamos que utilize Azure Bastion para aceder à VM.
Para Microsoft Sentinel na portal do Azure, em Gestão de ameaças, selecione Blocos de Notas.
Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Atualize blocos de notas de gestão>.
Selecione Configurar Azure Machine Learning>Criar uma nova área de trabalho do AML.

Introduza os seguintes detalhes e, em seguida, selecione Seguinte.

Campo	Descrição
Subscrição	Selecione o Azure subscrição que pretende utilizar.
Grupo de recursos	Utilize um grupo de recursos existente na sua subscrição ou introduza um nome para criar um novo grupo de recursos. Um grupo de recursos contém recursos relacionados para uma solução Azure.
Nome da área de trabalho	Introduza um nome exclusivo que identifique a área de trabalho. Os nomes têm de ser exclusivos em todo o grupo de recursos. Utilize um nome que seja fácil de recuperar e diferenciar das áreas de trabalho criadas por outras pessoas.
Região	Selecione a localização mais próxima dos seus utilizadores e os recursos de dados para criar a área de trabalho.
Conta de armazenamento	Uma conta de armazenamento é utilizada como o arquivo de dados predefinido para a área de trabalho. Pode criar um novo Azure Recurso de armazenamento ou selecionar um existente na sua subscrição.
KeyVault	Um cofre de chaves é utilizado para armazenar segredos e outras informações confidenciais necessárias para a área de trabalho. Pode criar um novo recurso Azure Key Vault ou selecionar um existente na sua subscrição.
Application Insights	A área de trabalho utiliza o Aplicação Azure Insights para armazenar informações de monitorização sobre os modelos implementados. Pode criar um novo recurso do Aplicação Azure Insights ou selecionar um existente na sua subscrição.
Registo de contentor	Um registo de contentor é utilizado para registar imagens do Docker utilizadas na preparação e implementações. Para minimizar os custos, só é criado um novo recurso Azure Container Registry depois de criar a sua primeira imagem. Em alternativa, pode optar por criar o recurso agora ou selecionar um existente na sua subscrição ou selecionar Nenhum se não quiser utilizar nenhum registo de contentor.

No separador Rede , selecione Desativar acesso público e utilizar o ponto final privado. Certifique-se de que utiliza a mesma rede virtual que tem na caixa de salto da VM. Por exemplo:
Defina quaisquer definições relevantes nos separadores Avançadas ou Etiquetas e, em seguida, selecione Rever + criar.
No separador Rever + criar , reveja as informações para verificar se está correta e, em seguida, selecione Criar para começar a implementar a área de trabalho. Por exemplo:

A criação da área de trabalho na cloud pode demorar vários minutos. Durante este período, a página Descrição Geral da área de trabalho mostra o estado da implementação atual e atualiza quando a implementação estiver concluída.
Na estúdio do Azure Machine Learning, na página Computação, crie uma nova computação. No separador Definições Avançadas , certifique-se de que seleciona a mesma rede virtual que utilizou para a sua caixa de salto da VM. Para obter mais informações, veja Criar e gerir uma instância de computação do Azure Machine Learning.
Configure o tráfego de rede para aceder ao Azure Machine Learning a partir de uma firewall. Para obter mais informações, veja Configurar o tráfego de rede de entrada e saída.

Continue com um dos seguintes conjuntos de passos:

Se tiver apenas uma ligação privada: agora pode aceder aos blocos de notas através de qualquer um dos seguintes métodos:
- Clonar e iniciar blocos de notas de Microsoft Sentinel para Azure Machine Learning
- Carregar blocos de notas para Azure Machine Learning manualmente
- Clonar o repositório do GitHub dos blocos de notas Microsoft Sentinel no terminal do Azure Machine Learning
Se tiver outra ligação privada, que utilize uma VNET diferente, faça o seguinte:
1. No portal do Azure, aceda ao grupo de recursos da área de trabalho Azure Machine Learning e, em seguida, procure os recursos da zona de DNS Privado com o nome privatelink.api.azureml.ms e privatelink.notebooks.azure.ms. Por exemplo:
2. Para cada recurso, incluindo privatelink.api.azureml.ms e privatelink.notebooks.azure.ms, adicione uma ligação de rede virtual.
  
  Selecione o recurso >Ligações de> rede virtualAdicionar. Para obter mais informações, veja Ligar a rede virtual.

Para mais informações, consulte:

Após a conclusão da implementação, regresse aos Blocos de Notas no Microsoft Sentinel e inicie os blocos de notas a partir da sua nova área de trabalho do Azure Machine Learning.

Se tiver vários blocos de notas, certifique-se de que seleciona uma área de trabalho AML predefinida para utilizar ao iniciar os seus blocos de notas. Por exemplo:

Selecione uma área de trabalho AML predefinida para os seus blocos de notas.

Iniciar um bloco de notas na área de trabalho do Azure Machine Learning

Depois de criar um Azure área de trabalho do Machine Learning, inicie o seu bloco de notas nessa área de trabalho a partir de Microsoft Sentinel. Tenha em atenção que, se tiver pontos finais privados ou restrições no acesso à rede pública ativado na sua conta de armazenamento Azure, não poderá iniciar blocos de notas na área de trabalho Azure Machine Learning a partir de Microsoft Sentinel. Tem de copiar o modelo de bloco de notas do Microsoft Sentinel e carregar o bloco de notas para o estúdio do Azure Machine Learning.

Para iniciar o seu bloco de notas Microsoft Sentinel na área de trabalho Azure Machine Learning, conclua os seguintes passos.

Para Microsoft Sentinel na portal do Azure, em Gestão de ameaças, selecione Blocos de Notas.
Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Atualize blocos de notas de gestão>.
Selecione o separador Modelos para ver os blocos de notas que Microsoft Sentinel fornece.
Selecione um bloco de notas para ver a descrição, os tipos de dados necessários e as origens de dados.
Quando encontrar o bloco de notas que pretende utilizar, selecione Criar a partir do modelo e Guardar para cloná-lo na sua própria área de trabalho. Só podem ser selecionadas Azure áreas de trabalho do Machine Learning na mesma subscrição.
Edite o nome conforme necessário. Se o bloco de notas já existir na área de trabalho, substitua o bloco de notas existente ou crie um novo. Por predefinição, o seu bloco de notas é guardado no diretório /Utilizadores/<Your_User_Name>/ da área de trabalho AML selecionada.
Depois de guardar o bloco de notas, o botão Guardar bloco de notas muda para Iniciar bloco de notas. Selecione Iniciar bloco de notas para o abrir na área de trabalho do AML.

Por exemplo:
Na parte superior da página, selecione uma instância de Computação a utilizar para o servidor de blocos de notas.

Se não tiver uma instância de computação, crie uma nova. Se a instância de computação estiver parada, certifique-se de que a inicia. Para obter mais informações, consulte Executar um bloco de notas no estúdio do Azure Machine Learning.

Só você pode ver e utilizar as instâncias de computação que criar. Os ficheiros de utilizador são armazenados separadamente da VM e são partilhados entre todas as instâncias de computação na área de trabalho.

Se estiver a criar uma nova instância de computação para testar os seus blocos de notas, crie a instância de computação com a categoria Fins Gerais.

O kernel também é apresentado no canto superior direito da janela Azure Machine Learning. Se o kernel de que precisa não estiver selecionado, selecione uma versão diferente na lista pendente.
Assim que o servidor de blocos de notas for criado e iniciado, execute as células do bloco de notas. Em cada célula, selecione o ícone Executar para executar o código do bloco de notas.

Para obter mais informações, veja Atalhos do modo de comando.
Se o seu bloco de notas bloquear ou quiser recomeçar, pode reiniciar o kernel e voltar a executar as células do bloco de notas desde o início. Se reiniciar o kernel, as variáveis e outro estado serão eliminados. Execute novamente as células de inicialização e autenticação após o reinício.

Para recomeçar, selecione Operações >de kernelReiniciar kernel. Por exemplo:

Executar código no seu bloco de notas

Execute sempre células de código do bloco de notas em sequência. Ignorar células pode resultar em erros.

Num bloco de notas:

As células markdown têm texto, incluindo HTML e imagens estáticas.
As células de código contêm código. Depois de selecionar uma célula de código, execute o código na célula ao selecionar o ícone Reproduzir à esquerda da célula ou ao premir SHIFT+ENTER.

Por exemplo, execute a seguinte célula de código no seu bloco de notas:

# This is your first code cell. This cell contains basic Python code.

# You can run a code cell by selecting it and then selecting
# the Play button to the left of the cell, or by pressing SHIFT+ENTER.
# Code output displays below the code.

print("Congratulations, you just ran this code cell")

y = 2 + 2

print("2 + 2 =", y)

O código de exemplo produz este resultado:

Congratulations, you just ran this code cell

2 + 2 = 4

As variáveis definidas numa célula de código do bloco de notas persistem entre células, para que possa encadear células em conjunto. Por exemplo, a seguinte célula de código utiliza o valor da y célula anterior:

# Note that output from the last line of a cell is automatically
# sent to the output cell, without needing the print() function.

y + 2

O resultado é:

Transferir todos os blocos de notas Microsoft Sentinel

Esta secção descreve como utilizar o Git para transferir todos os blocos de notas disponíveis no Microsoft Sentinel repositório do GitHub, a partir de um bloco de notas Microsoft Sentinel, diretamente para a área de trabalho Azure Machine Learning.

Armazenar os blocos de notas Microsoft Sentinel na área de trabalho Azure Machine Learning permite-lhe mantê-los atualizados facilmente.

A partir de um bloco de notas Microsoft Sentinel, introduza o seguinte código numa célula vazia e, em seguida, execute a célula:
```
!git clone https://github.com/Azure/Azure-Sentinel-Notebooks.git azure-sentinel-nb
```
É criada uma cópia do conteúdo do repositório do GitHub no diretório azure-Sentinel-nb na pasta de utilizador na sua área de trabalho do Azure Machine Learning.
Copie os blocos de notas que pretende desta pasta para o seu diretório de trabalho.
Para atualizar os seus blocos de notas com as alterações recentes do GitHub, execute:
```
!cd azure-sentinel-nb && git pull
```

Comentários

Esta página foi útil?

Last updated on 2026-04-23