Записные книжки Jupyter с возможностями охоты Microsoft Sentinel

  • Статья
  • Применяется к:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Записные книжки Jupyter обеспечивают все средства программирования, а также поддержку огромной коллекции библиотек для машинного обучения, визуализации и анализа данных. Эти особенности делают Jupyter привлекательным инструментом для анализа безопасности и охоты на угрозы.

Основой Microsoft Sentinel является хранилище данных. Оно сочетает в себе поддержку высокопроизводительных запросов, динамическую схему и возможность масштабирования до огромных объемов данных. Портал Azure и все средства Microsoft Azure Sentinel используют общий интерфейс API для доступа к этому хранилищу данных. Этот же интерфейс API доступен для внешних средств, таких как записные книжки Jupyter и Python.

Внимание

Microsoft Sentinel доступен в рамках общедоступной предварительной версии для единой платформы операций безопасности на портале Microsoft Defender. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

Когда следует использовать записные книжки Jupyter

Хотя многие распространенные задачи можно выполнять на портале, среда Jupyter расширяет возможности работы с данными.

Например, используйте записные книжки для:

  • Выполнение аналитики , которая не предоставляется вне поля в Microsoft Sentinel, например некоторые функции машинного обучения Python
  • Создание визуализаций данных, которые не предоставляются вне поля в Microsoft Sentinel, например пользовательские временная шкала и деревья обработки
  • интеграции источников данных вне Azure Sentinel, например локального набора данных.

Мы интегрируем интерфейс Jupyter в портал Azure, что упрощает создание и запуск записных книжек для анализа данных. Библиотека Kqlmagic предоставляет клей, который позволяет принимать запросы язык запросов Kusto (KQL) из Microsoft Sentinel и запускать их непосредственно в записной книжке.

Вместе с Microsoft Sentinel поставляется несколько записных книжек, разработанных аналитиками по безопасности корпорации Майкрософт:

  • Некоторые из этих записных книжек созданы для конкретного сценария и могут использоваться "как есть".
  • Другие служат примерами для демонстрации методов и возможностей, которые можно использовать "как есть" или адаптировать для использования в собственных записных книжках.

Импортируйте другие записные книжки из репозитория GitHub Microsoft Sentinel.

Как работают записные книжки Jupyter

Записные книжки состоят из двух компонентов:

  • интерфейса на основе браузера, в котором вводятся и выполняются запросы и код, а также отображаются результаты выполнения;
  • ядра, которое отвечает за анализ и выполнение самого кода.

Ядро записной книжки Microsoft Sentinel работает на виртуальной машине Azure. Экземпляр виртуальной машины может поддерживать одновременное выполнение нескольких записных книжек. Если ваши записные книжки содержат сложные модели машинного обучения, существует несколько вариантов лицензирования для использования более мощных виртуальных машин.

Общие сведения о пакетах Python

В записных книжках Microsoft Azure Sentinel используются многие популярные библиотеки Python, такие как pandas, matplotlib, bokeh и другие. Вы можете выбрать из множества других пакетов Python, охватывающих такие области, как:

  • визуализация и графика;
  • обработка и анализ данных;
  • статистика и числовые вычисления;
  • машинное и глубокое обучение.

Чтобы не вводить или вставлять сложный и повторяющийся код в ячейки записной книжки, большинство записных книжек Python функционируют на базе сторонних библиотек, называемых пакетами. Чтобы использовать пакет в записной книжке, необходимо установить и импортировать пакет. Машинное обучение Azure Вычисление имеет наиболее распространенные пакеты, предварительно установленные. Убедитесь, что импортируется пакет или значимая часть пакета, например модуль, файл, функция или класс.

Записные книжки Microsoft Sentinel используют пакет Python с именем MSTICPy, который представляет собой набор средств обеспечения кибербезопасности для получения, анализа, обогащения и визуализации данных.

Средства MSTICPy специально разработаны для упрощения создания записных книжек для охоты и исследования угроз. Мы активно работаем над новыми функциями и улучшениями. Дополнительные сведения см. в разделе:

Поиск записных книжек

В Microsoft Sentinel выберите записные книжки, чтобы просмотреть записные книжки , которые предоставляет Microsoft Sentinel. Узнайте больше об использовании записных книжек в поиске угроз и расследовании, изучая шаблоны записных книжек, такие как проверка учетных данных в Azure Log Analytics и интерактивное исследование — оповещения об обработке.

Для получения дополнительных записных книжек, созданных корпорацией Майкрософт или участниками сообщества, перейдите в репозиторий Microsoft Sentinel GitHub. Используйте записные книжки, опубликованные в репозитории Microsoft Sentinel GitHub, содержащие полезные средства, иллюстрации и примеры кода, которые можно использовать при разработке собственных записных книжек.

  • В каталоге Sample-Notebooks представлены примеры записных книжек вместе с данными, которые можно использовать для вывода.

  • Каталог HowTos содержит записные книжки с описанием таких концепций, как настройка версии Python по умолчанию, создание закладок Microsoft Sentinel из записной книжки и другие возможности.

Управление доступом к записным книжкам Microsoft Azure Sentinel

Чтобы использовать записные книжки Jupyter в Microsoft Azure Sentinel, вам потребуется сначала получить соответствующие разрешения в зависимости от вашей роли пользователя.

Хотя записные книжки Microsoft Sentinel можно запускать в JupyterLab или Jupyter classic, в Microsoft Sentinel записные книжки выполняются на платформе Машинное обучение Azure. Для запуска записных книжек в Microsoft Sentinel необходимо иметь соответствующий доступ как к рабочей области Microsoft Sentinel, так и к рабочей области Машинное обучение Azure.

Разрешение Description
Разрешения в Microsoft Sentinel Как и другие ресурсы Microsoft Sentinel, для доступа к записным книжкам в Microsoft Sentinel требуется microsoft Sentinel Reader, Microsoft Sentinel Responder или роль участника Microsoft Sentinel.

Дополнительные сведения см. в статье Разрешения в Microsoft Sentinel.
Разрешения для Машинного обучения Azure Рабочая область Машинного обучения Azure — это ресурс Azure. Как и для других ресурсов Azure, в каждой новой рабочей области Машинного обучения Azure есть роли по умолчанию. В рабочую область можно добавить пользователей и назначить их одной из этих встроенных ролей. Дополнительные сведения см. в статьях Роли по умолчанию Машинного обучения Azure и Встроенные роли Azure.

Важно: доступ для роли в Azure можно задать на нескольких уровнях. Например, у пользователя с доступом владельца к рабочей области может не быть доступа владельца к группе ресурсов, содержащей рабочую область. Дополнительные сведения см. в статье Принцип работы Azure RBAC.

Если вы являетесь владельцем рабочей области Машинное обучение Azure, вы можете добавить и удалить роли для рабочей области и назначить роли пользователям. Дополнительные сведения см. в разделе:
- Портал Azure
- PowerShell
- Azure CLI
- REST API
- Шаблоны диспетчера ресурсов Azure
- Azure Machine Learning CLI

Если встроенных ролей недостаточно, можно создать настраиваемые роли. У настраиваемых ролей могут быть разрешения на чтение, запись, удаление и на ресурсы вычисления в конкретной рабочей области. Роль можно сделать доступной на определенном уровне рабочей области, на определенном уровне группы ресурсов или на определенном уровне подписки. Дополнительные сведения см. в статье Создание настраиваемой роли.

Отправка отзывов для записной книжки

Отправка отзывов, запросов на функции, отчеты об ошибках или улучшения существующих записных книжек. Перейдите в репозиторий Microsoft Sentinel GitHub, чтобы создать проблему или вилку и отправить вклад.

Связанный контент

Блоги, видео и другие ресурсы см. в статье: