Поиск угроз безопасности с использованием записных книжек Jupyter

В рамках ваших расследований безопасности и поиска угроз запускайте и выполняйте записные книжки Jupyter для анализа данных.

В этой статье вы создадите рабочую область Машинное обучение Azure, запустите записную книжку из Microsoft Sentinel в рабочую область Машинное обучение Azure и запустите код в записной книжке.

Внимание

Microsoft Sentinel общедоступен в единой платформе операций безопасности Майкрософт на портале Microsoft Defender, в том числе для клиентов без XDR Microsoft Defender или лицензии E5. Дополнительные сведения см. в Microsoft Sentinel на портале Microsoft Defender.

Предварительные условия

Перед выполнением действий, описанных в этой статье, рекомендуется узнать о записных книжках Microsoft Sentinel. См. статью "Использование записных книжек Jupyter" для поиска угроз безопасности.

Чтобы использовать записные книжки Microsoft Sentinel, необходимо иметь перечисленные ниже роли и разрешения:

Тип	Сведения
Microsoft Sentinel	— Роль участника Microsoft Sentinel для сохранения и запуска записных книжек из Microsoft Sentinel
Машинное обучение Azure	— Роль владельца или участника группы ресурсов, чтобы создать новую рабочую область Машинного обучения Azure при необходимости. — Роль участника в рабочей области машинного обучения Azure, где вы запускаете записные книжки Microsoft Sentinel. Дополнительные сведения см. в статье "Управление доступом к рабочей области Машинного обучения Azure".

Создание рабочей области Azure Machine Learning из Microsoft Sentinel

Чтобы создать рабочую область, выберите одну из следующих вкладок в зависимости от того, используете ли вы общедоступную или частную конечную точку.

• Рекомендуется использовать общедоступную конечную точку , если в рабочей области Microsoft Sentinel есть одна, чтобы избежать потенциальных проблем в сетевом взаимодействии.
• Если вы хотите использовать рабочую область Машинное обучение Azure в виртуальной сети, используйте частную конечную точку.

Общедоступная конечная точка

1. Для Microsoft Sentinel на портале Azure в разделе "Управление угрозами" выберите "Записные книжки".
   Для Microsoft Sentinel на портале Defender выберите Microsoft Sentinel, Управление угрозами и Записные книжки.

2. Выберите "Настройка службы "Машинное обучение> Azure"для создания новой рабочей области AML.

3. Введите следующие сведения и нажмите кнопку "Далее".

   Поле	Описание
   Подписка	Выберите подписку Azure, которую нужно использовать.
   Группа ресурсов	Используйте группу ресурсов, которая есть в подписке, или введите имя, чтобы создать группу ресурсов. Группа ресурсов содержит связанные ресурсы для решения Azure.
   Имя рабочей области	Введите уникальное имя для идентификации рабочей области. Имена должны быть уникальными в группе ресурсов. Используйте имя, которое позволит легко запомнить рабочую область и отличить ее от областей, созданных другими пользователями.
   Область	Выберите ближайшее к пользователям и ресурсам данных расположение, чтобы создать рабочую область.
   Учетная запись хранения	Учетная запись службы хранилища используется в качестве хранилища данных по умолчанию для рабочей области. Вы можете создать новый ресурс службы хранилища Azure или выбрать существующий в вашей подписке.
   KeyVault	Хранилище ключей используется для хранения секретов и других конфиденциальных сведений, необходимых рабочей области. Вы можете создать новый ресурс Azure Key Vault или выбрать существующий в подписке.
   Application Insights	Рабочая область использует Azure Application Insights для хранения сведений мониторинга о развернутых моделях. Вы можете создать новый ресурс Azure Application Insights или выбрать существующий в вашей подписке.
   Реестр контейнеров	Реестр контейнеров используется для регистрации образов DOCKER, используемых в обучении и развертываниях. Чтобы минимизировать расходы, новый ресурс Реестра контейнеров Azure создается только после создания первого образа. Кроме того, вы можете создать ресурс сейчас или выбрать существующий в подписке, или выбрать Нет, если вы не хотите использовать реестр контейнеров.

4. На вкладке "Сеть" выберите "Включить общедоступный доступ" из всех сетей.

   Определите все соответствующие параметры на вкладках "Дополнительно " или " Теги ", а затем нажмите кнопку "Просмотр и создание".

5. На вкладке "Рецензирование и создание " просмотрите сведения, чтобы убедиться, что это правильно, а затем нажмите кнопку "Создать ", чтобы начать развертывание рабочей области. Например:

   

   Создание рабочей области в облаке может занять несколько минут. В течение этого времени на странице обзора рабочей области отображается текущее состояние развертывания и обновляется после завершения развертывания.

Частная конечная точка

Пошаговое описание этой процедуры включает отсылки на конкретные статьи в документации по машинному обучению Azure. Дополнительные сведения см. в статье "Создание безопасной рабочей области Машинного обучения Azure".

1. Создайте поле перехода виртуальной машины в виртуальной сети. Так как виртуальная сеть ограничивает доступ из общедоступного Интернета, окно перехода используется как способ подключения к ресурсам за виртуальной сетью.

2. Откройте окно перехода и перейдите к рабочей области Microsoft Sentinel. Мы рекомендуем использовать Бастион Azure для доступа к виртуальной машине.

3. Для Microsoft Sentinel на портале Azure в разделе "Управление угрозами" выберите "Записные книжки".
   Для Microsoft Sentinel на портале Defender выберите Microsoft Sentinel>Управление угрозами>Тетради.

4. Выберите "Настройка службы "Машинное обучение> Azure"для создания новой рабочей области AML.

5. Введите следующие сведения и нажмите кнопку "Далее".

   Поле	Описание
   Подписка	Выберите подписку Azure, которую нужно использовать.
   Группа ресурсов	Используйте группу ресурсов, которая есть в подписке, или введите имя, чтобы создать группу ресурсов. Группа ресурсов содержит связанные ресурсы для решения Azure.
   Имя рабочей области	Введите уникальное имя для идентификации рабочей области. Имена должны быть уникальными в группе ресурсов. Используйте имя, которое позволит легко запомнить рабочую область и отличить ее от областей, созданных другими пользователями.
   Область	Выберите ближайшее к пользователям и ресурсам данных расположение, чтобы создать рабочую область.
   Учетная запись хранения	Учетная запись службы хранилища используется в качестве хранилища данных по умолчанию для рабочей области. Вы можете создать новый ресурс службы хранилища Azure или выбрать существующий в вашей подписке.
   KeyVault	Хранилище ключей используется для хранения секретов и других конфиденциальных сведений, необходимых рабочей области. Вы можете создать новый ресурс Azure Key Vault или выбрать существующий в подписке.
   Application Insights	Рабочая область использует Azure Application Insights для хранения сведений мониторинга о развернутых моделях. Вы можете создать новый ресурс Azure Application Insights или выбрать существующий в вашей подписке.
   Реестр контейнеров	Реестр контейнеров используется для регистрации образов DOCKER, используемых в обучении и развертываниях. Чтобы минимизировать расходы, новый ресурс Реестра контейнеров Azure создается только после создания первого образа. Кроме того, вы можете создать ресурс сейчас или выбрать существующий в подписке или выбрать его, или выбрать none , если вы не хотите использовать реестр контейнеров.

6. На вкладке "Сеть" выберите "Отключить общедоступный доступ" и используйте частную конечную точку. Обязательно используйте ту же виртуальную сеть, что и в сервере перехода виртуальной машины. Например:

   

7. Определите все соответствующие параметры на вкладках "Дополнительно " или " Теги ", а затем нажмите кнопку "Просмотр и создание".

8. На вкладке "Рецензирование и создание " просмотрите сведения, чтобы убедиться, что это правильно, а затем нажмите кнопку "Создать ", чтобы начать развертывание рабочей области. Например:

   

   Создание рабочей области в облаке может занять несколько минут. В течение этого времени на странице обзора рабочей области отображается текущее состояние развертывания и обновляется после завершения развертывания.

9. В студии машинного обучения Azure на странице Compute создайте новый вычислительный ресурс. На вкладке "Дополнительные параметры" выберите ту же виртуальную сеть, которую вы использовали для вашей виртуальной машины. Дополнительные сведения см. в статье "Создание и управление вычислительным экземпляром машинного обучения Azure".

10. Настройте сетевой трафик для доступа к службы Azure Machine Learning за брандмауэром. Дополнительные сведения см. в разделе "Настройка входящего и исходящего сетевого трафика".

Выполните одно из следующих действий:

• Если у вас есть только одна приватная ссылка: теперь вы можете получить доступ к записным книжкам с помощью любого из следующих методов:

  • Клонирование и запуск записных книжек из Microsoft Sentinel в машинном обучении Azure
  • Отправка записных книжек в машинное обучение Azure вручную
  • Клонирование репозитория записных книжек Microsoft Sentinel GitHub в терминале машинного обучения Azure

• Если у вас есть другая приватная ссылка, которая использует другую виртуальную сеть, сделайте следующее:

  1. На портале Azure перейдите в группу ресурсов рабочей области Машинного обучения Azure, а затем найдите ресурсы частной зоны DNS с именем privatelink.api.azureml.ms и privatelink.notebooks.azure.ms. Например:

     

  2. Для каждого ресурса, включая privatelink.api.azureml.ms и privatelink.notebooks.azure.ms, добавьте ссылку виртуальной сети.

     Выберите ресурс >Виртуальная сеть>ссылки Добавить. Дополнительные сведения см. в статье "Связывание виртуальной сети".

Дополнительные сведения см. в разделе:

• Поток сетевого трафика при использовании защищенной рабочей области
• Защита ресурсов рабочей области Машинного обучения Azure с помощью виртуальных сетей

После завершения развертывания вернитесь к записным книжкам в Microsoft Sentinel и запустите записные книжки из новой рабочей области машинного обучения Azure.

Если у вас несколько записных книжек, обязательно выберите для их запуска рабочую область AML по умолчанию. Например:

Запустите блокнот в рабочей области Azure Machine Learning

После создания рабочей области Azure Machine Learning запустите ноутбук в этой области через Microsoft Sentinel. Помните, что если у вас есть частные конечные точки или ограничения на доступ к общедоступной сети, включенный в учетной записи хранения Azure, вы не сможете запускать записные книжки в рабочей области Машинное обучение Azure из Microsoft Sentinel. Необходимо скопировать шаблон записной книжки из Microsoft Sentinel и отправить записную книжку в Студия машинного обучения Azure.

Чтобы запустить записную книжку Microsoft Sentinel в рабочей области Машинное обучение Azure, выполните следующие действия.

1. Для Microsoft Sentinel на портале Azure в разделе "Управление угрозами" выберите "Записные книжки".
   Для Microsoft Sentinel на портале Defender выберите Microsoft Sentinel>Управление угрозами>Блокноты.

2. Перейдите на вкладку "Шаблоны" , чтобы просмотреть записные книжки, которые предоставляет Microsoft Sentinel.

3. Выберите записную книжку, чтобы просмотреть ее описание, требуемые для нее типы и источники данных.

4. Когда вы найдете записную книжку, которую вы хотите использовать, выберите "Создать из шаблона " и "Сохранить ", чтобы клонировать ее в собственную рабочую область. Можно выбрать только рабочие области машинного обучения Azure в одной подписке.

5. При необходимости измените имя. Если записная книжка уже существует в рабочей области, замените существующую записную книжку или создайте новую. По умолчанию записная книжка сохраняется в каталоге /Users/<Your_User_Name>/ выбранной рабочей области AML.

   

6. После сохранения записной книжки кнопка "Сохранить записную книжку " изменится на "Запустить записную книжку". Выберите "Запустить записную книжку ", чтобы открыть ее в рабочей области AML.

   Например:

   

7. В верхней части страницы выберите экземпляр вычислений , используемый для сервера записной книжки.

   Если у вас нет вычислительного экземпляра, создайте его. Если вычислительный экземпляр остановлен, запустите его. Дополнительные сведения см. в статье "Запуск записной книжки в Azure Machine Learning Studio".

   Только вы можете просматривать и использовать созданные вами вычислительные операции. Ваши файлы пользователя хранятся отдельно от виртуальной машины и являются общими для всех вычислительных операций в рабочей области.

   Если вы создаете новый вычислительный экземпляр для тестирования записных книжек, создайте вычислительный экземпляр с категорией "Общего назначения ".

   Ядро также отображается в правом верхнем углу окна Машинное обучение Azure. Если нужное ядро не выбрано, выберите другую версию в раскрывающемся списке.

8. После создания и запуска сервера записной книжки запустите ячейки записной книжки. В каждой ячейке нажмите значок Запуск, чтобы запустить код записной книжки.

   Дополнительные сведения см. в разделе "Сочетания клавиш в режиме команд".

9. Если записная книжка зависает или вы хотите начать заново, можно перезапустить ядро и повторно запустить ячейки записной книжки с самого начала. При перезапуске ядра переменные и состояние удаляются. Повторно запустите все ячейки инициализации и проверки подлинности после перезапуска.

   Чтобы начать заново, выберите операции с ядром>Перезапустить ядро. Например:

   

Запуск кода в ноутбуке

Всегда выполняйте ячейки кода записной книжки по порядку. Пропуск ячеек может привести к возникновению ошибок.

В записной книжке:

• Ячейки Markdown имеют текст, включая HTML и статические изображения.
• Ячейки кода содержат код. Выбрав ячейку кода, запустите код в ячейке, выбрав значок воспроизведения слева от ячейки или нажав клавиши SHIFT+ВВОД.

Например, выполните следующую ячейку кода в записной книжке:

# This is your first code cell. This cell contains basic Python code.

# You can run a code cell by selecting it and then selecting
# the Play button to the left of the cell, or by pressing SHIFT+ENTER.
# Code output displays below the code.

print("Congratulations, you just ran this code cell")

y = 2 + 2

print("2 + 2 =", y)

Пример кода выдает следующие выходные данные:

Congratulations, you just ran this code cell

2 + 2 = 4

Переменные, заданные в ячейке кода записной книжки, сохраняются между ячейками, что позволяет объединить ячейки в цепочку. Например, в следующей ячейке кода используется значение y из предыдущей ячейки:

# Note that output from the last line of a cell is automatically
# sent to the output cell, without needing the print() function.

y + 2

Результат выглядит так:

6

Загрузка всех записных книжек Microsoft Sentinel

В этом разделе описывается, как с помощью Git скачать все записные книжки, доступные в репозитории Microsoft Sentinel GitHub, непосредственно в рабочую область Машинного обучения Azure.

Хранение записных книжек Microsoft Sentinel в рабочей области Машинное обучение Azure позволяет легко обновлять их.

1. В записной книжке Microsoft Sentinel введите следующий код в пустую ячейку, а затем выполните следующую ячейку:

   !git clone https://github.com/Azure/Azure-Sentinel-Notebooks.git azure-sentinel-nb
   

   Копия содержимого репозитория GitHub создается в каталоге azure-Sentinel-nb в папке пользователя в рабочей области Машинного обучения Azure.

2. Скопируйте нужные записные книжки из этой папки в рабочую папку.

3. Чтобы обновить записные книжки в соответствии с недавними изменениями в GitHub, выполните следующее:

   !cd azure-sentinel-nb && git pull
   

Связанный контент

• Записные книжки Jupyter с возможностями поиска угроз Microsoft Sentinel
• Приступайте к работе с Jupyter ноутбуками и MSTICPy в Microsoft Sentinel