Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Записные книжки Jupyter обеспечивают все средства программирования, а также поддержку огромной коллекции библиотек для машинного обучения, визуализации и анализа данных. Эти особенности делают Jupyter привлекательным инструментом для анализа безопасности и поиска угроз.
Основой Microsoft Sentinel является хранилище данных. Оно сочетает в себе поддержку высокопроизводительных запросов, динамическую схему и возможность масштабирования до огромных объемов данных. Портал Azure и все средства Microsoft Azure Sentinel используют общий интерфейс API для доступа к этому хранилищу данных. Этот же интерфейс API доступен для внешних средств, таких как записные книжки Jupyter и Python.
Внимание
После 31 марта 2027 г. Microsoft Sentinel больше не будет поддерживаться на портале Azure и будет доступен только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel на портале Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender.
Если вы по-прежнему используете Microsoft Sentinel на портале Azure, рекомендуется приступить к планированию перехода на портал Defender , чтобы обеспечить плавный переход и воспользоваться всеми преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender.
Когда следует использовать записные книжки Jupyter
Хотя многие распространенные задачи можно выполнять на портале, среда Jupyter расширяет возможности работы с данными.
Например, используйте записные книжки для:
- Выполняйте аналитику, которая не предоставляется по умолчанию в Microsoft Sentinel, например некоторые возможности машинного обучения Python.
- Создайте визуализации данных, которые не предоставляются по умолчанию в Microsoft Sentinel, такие как индивидуальные временные шкалы и структуры процессов
- Интегрировать источники данных вне Microsoft Sentinel, например локальный набор данных.
Мы интегрируем интерфейс Jupyter в портал Azure, что упрощает создание и запуск записных книжек для анализа данных. Библиотека Kqlmagic предоставляет средство, которое позволяет выполнять запросы на языке запросов Kusto (KQL) из Microsoft Sentinel непосредственно в записной книжке.
Вместе с Microsoft Sentinel поставляется несколько записных книжек, разработанных аналитиками по безопасности корпорации Майкрософт:
- Некоторые из этих записных книжек созданы для конкретного сценария и могут использоваться "как есть".
- Другие служат примерами для демонстрации методов и возможностей, которые можно использовать "как есть" или адаптировать для использования в собственных записных книжках.
Импортируйте другие записные книжки из репозитория GitHub Microsoft Sentinel.
Как работают записные книжки Jupyter
Записные книжки состоят из двух компонентов:
- интерфейса на основе браузера, в котором вводятся и выполняются запросы и код, а также отображаются результаты выполнения;
- ядра, которое отвечает за анализ и выполнение самого кода.
Ядро записной книжки Microsoft Sentinel работает на виртуальной машине Azure. Экземпляр виртуальной машины поддерживает одновременное выполнение нескольких ноутбуков. Если ваши записные книжки содержат сложные модели машинного обучения, существует несколько вариантов лицензирования для использования более мощных виртуальных машин.
Общие сведения о пакетах Python
В записных книжках Microsoft Azure Sentinel используются многие популярные библиотеки Python, такие как pandas, matplotlib, bokeh и другие. Вы можете выбрать из множества других пакетов Python, охватывающих такие области, как:
- визуализация и графика;
- обработка и анализ данных;
- статистика и числовые вычисления;
- машинное и глубокое обучение.
Чтобы не вводить или вставлять сложный и повторяющийся код в ячейки записной книжки, большинство записных книжек Python функционируют на базе сторонних библиотек, называемых пакетами. Чтобы использовать пакет в записной книжке, необходимо установить и импортировать пакет. Сервис вычислительных мощностей для машинного обучения Azure имеет наиболее распространенные пакеты, предустановленные. Убедитесь, что импортируется пакет или значимая часть пакета, например модуль, файл, функция или класс.
Записные книжки Microsoft Sentinel используют пакет Python с именем MSTICPy, который представляет собой набор средств обеспечения кибербезопасности для получения, анализа, обогащения и визуализации данных.
Средства MSTICPy специально разработаны для упрощения создания ноутбуков, используемых для исследования и расследования угроз в области кибербезопасности. Мы активно работаем над добавлением новых функций и улучшений. Дополнительные сведения см. в разделе:
- Документация по средствам безопасности MSTIC Jupyter и Python
- Как приступить к работе с записными книжками Jupyter и MSTICPy в Microsoft Sentinel
- Расширенные конфигурации для записных книжек Jupyter и MSTICPy в Microsoft Sentinel
Поиск записных книжек
В Microsoft Sentinel выберите записные книжки, чтобы просмотреть записные книжки , которые предоставляет Microsoft Sentinel. Узнайте больше об использовании ноутбуков в поиске угроз и расследовании, изучая шаблоны ноутбуков, такие как сканирование учетных данных в Azure Log Analytics и руководимое расследование — оповещения о процессах.
Для получения дополнительных записных книжек, созданных корпорацией Майкрософт или участниками сообщества, перейдите в репозиторий Microsoft Sentinel GitHub. Используйте записные книжки, опубликованные в репозитории Microsoft Sentinel GitHub, содержащие полезные средства, иллюстрации и примеры кода, которые можно использовать при разработке собственных записных книжек.
В каталоге
Sample-Notebooksсодержатся примеры записных книжек, сохранённых вместе с данными, которые можно использовать для демонстрации предполагаемого вывода.Каталог
HowTosсодержит записные книжки с описанием таких концепций, как настройка версии Python по умолчанию, создание закладок Microsoft Sentinel из записной книжки и другие возможности.
Управление доступом к записным книжкам Microsoft Sentinel
Чтобы использовать записные книжки Jupyter в Microsoft Azure Sentinel, вам потребуется сначала получить соответствующие разрешения в зависимости от вашей роли пользователя.
Хотя записные книжки Microsoft Sentinel можно запускать в JupyterLab или Jupyter classic, в Microsoft Sentinel записные книжки выполняются на платформе Машинное обучение Azure. Для запуска записных книжек в Microsoft Sentinel необходимо иметь соответствующий доступ как к рабочей области Microsoft Sentinel, так и к рабочей области Машинное обучение Azure.
| Разрешение | Описание |
|---|---|
| Разрешения в Microsoft Sentinel | Как и к другим ресурсам Microsoft Sentinel, для доступа к записным книжкам в панели "Записные книжки Microsoft Sentinel" требуется роль Читателя Microsoft Sentinel, Респондента Microsoft Sentinel или Участника Microsoft Sentinel. Дополнительные сведения см. в статье Разрешения в Microsoft Sentinel. |
| Разрешения для Машинного обучения Azure | Рабочая область Машинного обучения Azure — это ресурс Azure. Как и для других ресурсов Azure, в каждой новой рабочей области Машинного обучения Azure есть роли по умолчанию. В рабочую область можно добавить пользователей и назначить их одной из этих встроенных ролей. Дополнительные сведения см. в статьях Роли по умолчанию Машинного обучения Azure и Встроенные роли Azure. Важно: доступ к ролям в Azure может быть ограничен на нескольких уровнях. Например, пользователь, имеющий права владельца на рабочую область, может не иметь таких прав на группу ресурсов, содержащую эту рабочую область. Дополнительные сведения см. в статье Принцип работы Azure RBAC. Если вы являетесь владельцем рабочей области Azure ML, вы можете добавлять и удалять для нее роли, а также назначать их пользователям. Дополнительные сведения см. в разделе: - Портал Azure - Powershell - Azure CLI - REST API - Шаблоны диспетчера ресурсов Azure - Azure Machine Learning CLI Если встроенных ролей недостаточно, можно создать настраиваемые роли. У настраиваемых ролей могут быть разрешения на чтение, запись, удаление и на ресурсы вычисления в конкретной рабочей области. Роль можно сделать доступной на определенном уровне рабочей области, на определенном уровне группы ресурсов или на определенном уровне подписки. Дополнительные сведения см. в статье Создание настраиваемой роли. |
Отправка отзывов для записной книжки
Отправляйте отзывы, запросы на новые функции, отчеты об ошибках или предложения по улучшению существующих записных книжек. Перейдите в репозиторий GitHub Microsoft Sentinel, чтобы завести задачу, сделать форк и внести вклад.
Связанный контент
- Охота на угрозы с помощью Jupyter notebooks
- Как приступить к работе с записными книжками Jupyter и MSTICPy в Microsoft Sentinel
- Упреждающая охота за угрозами
- Отслеживайте данные во время охоты с Microsoft Sentinel
Для просмотра блогов, видео и других ресурсов, см.:
- Создайте свою первую записную книжку Microsoft Sentinel (серия публикаций в блоге)
- Руководство: записные книжки Microsoft Sentinel – начало работы (видео)
- Руководство: Изменение и запуск записных книжек Jupyter без выхода из Студии машинного обучения Azure (видео)
- Обнаружение утечек учетных данных с помощью ноутбуков Azure Sentinel (видео)
- Вебинар: основы интерактивных блокнотов Microsoft Sentinel (Видео)
- Jupyter, msticpy и Microsoft Sentinel