Поделиться через


Поиск угроз безопасности с использованием записных книжек Jupyter

В рамках ваших расследований безопасности и поиска угроз запускайте и выполняйте записные книжки Jupyter для анализа данных.

В этой статье вы создадите рабочую область Машинное обучение Azure, запустите записную книжку из Microsoft Sentinel в рабочую область Машинное обучение Azure и запустите код в записной книжке.

Внимание

Microsoft Sentinel общедоступен в единой платформе операций безопасности Майкрософт на портале Microsoft Defender, в том числе для клиентов без XDR Microsoft Defender или лицензии E5. Дополнительные сведения см. в Microsoft Sentinel на портале Microsoft Defender.

Предварительные условия

Перед выполнением действий, описанных в этой статье, рекомендуется узнать о записных книжках Microsoft Sentinel. См. статью "Использование записных книжек Jupyter" для поиска угроз безопасности.

Чтобы использовать записные книжки Microsoft Sentinel, необходимо иметь перечисленные ниже роли и разрешения:

Тип Сведения
Microsoft Sentinel — Роль участника Microsoft Sentinel для сохранения и запуска записных книжек из Microsoft Sentinel
Машинное обучение Azure — Роль владельца или участника группы ресурсов, чтобы создать новую рабочую область Машинного обучения Azure при необходимости.
— Роль участника в рабочей области машинного обучения Azure, где вы запускаете записные книжки Microsoft Sentinel.

Дополнительные сведения см. в статье "Управление доступом к рабочей области Машинного обучения Azure".

Создание рабочей области Azure Machine Learning из Microsoft Sentinel

Чтобы создать рабочую область, выберите одну из следующих вкладок в зависимости от того, используете ли вы общедоступную или частную конечную точку.

  • Рекомендуется использовать общедоступную конечную точку , если в рабочей области Microsoft Sentinel есть одна, чтобы избежать потенциальных проблем в сетевом взаимодействии.
  • Если вы хотите использовать рабочую область Машинное обучение Azure в виртуальной сети, используйте частную конечную точку.
  1. Для Microsoft Sentinel на портале Azure в разделе "Управление угрозами" выберите "Записные книжки".
    Для Microsoft Sentinel на портале Defender выберите Microsoft Sentinel, Управление угрозами и Записные книжки.

  2. Выберите "Настройка службы "Машинное обучение> Azure"для создания новой рабочей области AML.

  3. Введите следующие сведения и нажмите кнопку "Далее".

    Поле Описание
    Подписка Выберите подписку Azure, которую нужно использовать.
    Группа ресурсов Используйте группу ресурсов, которая есть в подписке, или введите имя, чтобы создать группу ресурсов. Группа ресурсов содержит связанные ресурсы для решения Azure.
    Имя рабочей области Введите уникальное имя для идентификации рабочей области. Имена должны быть уникальными в группе ресурсов. Используйте имя, которое позволит легко запомнить рабочую область и отличить ее от областей, созданных другими пользователями.
    Область Выберите ближайшее к пользователям и ресурсам данных расположение, чтобы создать рабочую область.
    Учетная запись хранения Учетная запись службы хранилища используется в качестве хранилища данных по умолчанию для рабочей области. Вы можете создать новый ресурс службы хранилища Azure или выбрать существующий в вашей подписке.
    KeyVault Хранилище ключей используется для хранения секретов и других конфиденциальных сведений, необходимых рабочей области. Вы можете создать новый ресурс Azure Key Vault или выбрать существующий в подписке.
    Application Insights Рабочая область использует Azure Application Insights для хранения сведений мониторинга о развернутых моделях. Вы можете создать новый ресурс Azure Application Insights или выбрать существующий в вашей подписке.
    Реестр контейнеров Реестр контейнеров используется для регистрации образов DOCKER, используемых в обучении и развертываниях. Чтобы минимизировать расходы, новый ресурс Реестра контейнеров Azure создается только после создания первого образа. Кроме того, вы можете создать ресурс сейчас или выбрать существующий в подписке, или выбрать Нет, если вы не хотите использовать реестр контейнеров.
  4. На вкладке "Сеть" выберите "Включить общедоступный доступ" из всех сетей.

    Определите все соответствующие параметры на вкладках "Дополнительно " или " Теги ", а затем нажмите кнопку "Просмотр и создание".

  5. На вкладке "Рецензирование и создание " просмотрите сведения, чтобы убедиться, что это правильно, а затем нажмите кнопку "Создать ", чтобы начать развертывание рабочей области. Например:

    Просмотрите и создайте рабочую область машинного обучения из Microsoft Sentinel.

    Создание рабочей области в облаке может занять несколько минут. В течение этого времени на странице обзора рабочей области отображается текущее состояние развертывания и обновляется после завершения развертывания.

После завершения развертывания вернитесь к записным книжкам в Microsoft Sentinel и запустите записные книжки из новой рабочей области машинного обучения Azure.

Если у вас несколько записных книжек, обязательно выберите для их запуска рабочую область AML по умолчанию. Например:

Выберите рабочую область AML по умолчанию для записных книжек.

Запустите блокнот в рабочей области Azure Machine Learning

После создания рабочей области Azure Machine Learning запустите ноутбук в этой области через Microsoft Sentinel. Помните, что если у вас есть частные конечные точки или ограничения на доступ к общедоступной сети, включенный в учетной записи хранения Azure, вы не сможете запускать записные книжки в рабочей области Машинное обучение Azure из Microsoft Sentinel. Необходимо скопировать шаблон записной книжки из Microsoft Sentinel и отправить записную книжку в Студия машинного обучения Azure.

Чтобы запустить записную книжку Microsoft Sentinel в рабочей области Машинное обучение Azure, выполните следующие действия.

  1. Для Microsoft Sentinel на портале Azure в разделе "Управление угрозами" выберите "Записные книжки".
    Для Microsoft Sentinel на портале Defender выберите Microsoft Sentinel>Управление угрозами>Блокноты.

  2. Перейдите на вкладку "Шаблоны" , чтобы просмотреть записные книжки, которые предоставляет Microsoft Sentinel.

  3. Выберите записную книжку, чтобы просмотреть ее описание, требуемые для нее типы и источники данных.

  4. Когда вы найдете записную книжку, которую вы хотите использовать, выберите "Создать из шаблона " и "Сохранить ", чтобы клонировать ее в собственную рабочую область. Можно выбрать только рабочие области машинного обучения Azure в одной подписке.

  5. При необходимости измените имя. Если записная книжка уже существует в рабочей области, замените существующую записную книжку или создайте новую. По умолчанию записная книжка сохраняется в каталоге /Users/<Your_User_Name>/ выбранной рабочей области AML.

    Сохраните записную книжку, чтобы скопировать ее в собственное рабочее пространство.

  6. После сохранения записной книжки кнопка "Сохранить записную книжку " изменится на "Запустить записную книжку". Выберите "Запустить записную книжку ", чтобы открыть ее в рабочей области AML.

    Например:

    Запустите записную книжку в рабочей области AML.

  7. В верхней части страницы выберите экземпляр вычислений , используемый для сервера записной книжки.

    Если у вас нет вычислительного экземпляра, создайте его. Если вычислительный экземпляр остановлен, запустите его. Дополнительные сведения см. в статье "Запуск записной книжки в Azure Machine Learning Studio".

    Только вы можете просматривать и использовать созданные вами вычислительные операции. Ваши файлы пользователя хранятся отдельно от виртуальной машины и являются общими для всех вычислительных операций в рабочей области.

    Если вы создаете новый вычислительный экземпляр для тестирования записных книжек, создайте вычислительный экземпляр с категорией "Общего назначения ".

    Ядро также отображается в правом верхнем углу окна Машинное обучение Azure. Если нужное ядро не выбрано, выберите другую версию в раскрывающемся списке.

  8. После создания и запуска сервера записной книжки запустите ячейки записной книжки. В каждой ячейке нажмите значок Запуск, чтобы запустить код записной книжки.

    Дополнительные сведения см. в разделе "Сочетания клавиш в режиме команд".

  9. Если записная книжка зависает или вы хотите начать заново, можно перезапустить ядро и повторно запустить ячейки записной книжки с самого начала. При перезапуске ядра переменные и состояние удаляются. Повторно запустите все ячейки инициализации и проверки подлинности после перезапуска.

    Чтобы начать заново, выберите операции с ядром>Перезапустить ядро. Например:

    Перезапустите ядро записной книжки.

Запуск кода в ноутбуке

Всегда выполняйте ячейки кода записной книжки по порядку. Пропуск ячеек может привести к возникновению ошибок.

В записной книжке:

  • Ячейки Markdown имеют текст, включая HTML и статические изображения.
  • Ячейки кода содержат код. Выбрав ячейку кода, запустите код в ячейке, выбрав значок воспроизведения слева от ячейки или нажав клавиши SHIFT+ВВОД.

Например, выполните следующую ячейку кода в записной книжке:

# This is your first code cell. This cell contains basic Python code.

# You can run a code cell by selecting it and then selecting
# the Play button to the left of the cell, or by pressing SHIFT+ENTER.
# Code output displays below the code.

print("Congratulations, you just ran this code cell")

y = 2 + 2

print("2 + 2 =", y)

Пример кода выдает следующие выходные данные:

Congratulations, you just ran this code cell

2 + 2 = 4

Переменные, заданные в ячейке кода записной книжки, сохраняются между ячейками, что позволяет объединить ячейки в цепочку. Например, в следующей ячейке кода используется значение y из предыдущей ячейки:

# Note that output from the last line of a cell is automatically
# sent to the output cell, without needing the print() function.

y + 2

Результат выглядит так:

6

Загрузка всех записных книжек Microsoft Sentinel

В этом разделе описывается, как с помощью Git скачать все записные книжки, доступные в репозитории Microsoft Sentinel GitHub, непосредственно в рабочую область Машинного обучения Azure.

Хранение записных книжек Microsoft Sentinel в рабочей области Машинное обучение Azure позволяет легко обновлять их.

  1. В записной книжке Microsoft Sentinel введите следующий код в пустую ячейку, а затем выполните следующую ячейку:

    !git clone https://github.com/Azure/Azure-Sentinel-Notebooks.git azure-sentinel-nb
    

    Копия содержимого репозитория GitHub создается в каталоге azure-Sentinel-nb в папке пользователя в рабочей области Машинного обучения Azure.

  2. Скопируйте нужные записные книжки из этой папки в рабочую папку.

  3. Чтобы обновить записные книжки в соответствии с недавними изменениями в GitHub, выполните следующее:

    !cd azure-sentinel-nb && git pull