Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В рамках ваших расследований безопасности и поиска угроз запускайте и выполняйте записные книжки Jupyter для анализа данных.
В этой статье вы создадите рабочую область Машинное обучение Azure, запустите записную книжку из Microsoft Sentinel в рабочую область Машинное обучение Azure и запустите код в записной книжке.
Внимание
Microsoft Sentinel общедоступен в единой платформе операций безопасности Майкрософт на портале Microsoft Defender, в том числе для клиентов без XDR Microsoft Defender или лицензии E5. Дополнительные сведения см. в Microsoft Sentinel на портале Microsoft Defender.
Предварительные условия
Перед выполнением действий, описанных в этой статье, рекомендуется узнать о записных книжках Microsoft Sentinel. См. статью "Использование записных книжек Jupyter" для поиска угроз безопасности.
Чтобы использовать записные книжки Microsoft Sentinel, необходимо иметь перечисленные ниже роли и разрешения:
Тип | Сведения |
---|---|
Microsoft Sentinel | — Роль участника Microsoft Sentinel для сохранения и запуска записных книжек из Microsoft Sentinel |
Машинное обучение Azure | — Роль владельца или участника группы ресурсов, чтобы создать новую рабочую область Машинного обучения Azure при необходимости. — Роль участника в рабочей области машинного обучения Azure, где вы запускаете записные книжки Microsoft Sentinel. Дополнительные сведения см. в статье "Управление доступом к рабочей области Машинного обучения Azure". |
Создание рабочей области Azure Machine Learning из Microsoft Sentinel
Чтобы создать рабочую область, выберите одну из следующих вкладок в зависимости от того, используете ли вы общедоступную или частную конечную точку.
- Рекомендуется использовать общедоступную конечную точку , если в рабочей области Microsoft Sentinel есть одна, чтобы избежать потенциальных проблем в сетевом взаимодействии.
- Если вы хотите использовать рабочую область Машинное обучение Azure в виртуальной сети, используйте частную конечную точку.
Для Microsoft Sentinel на портале Azure в разделе "Управление угрозами" выберите "Записные книжки".
Для Microsoft Sentinel на портале Defender выберите Microsoft Sentinel, Управление угрозами и Записные книжки.Выберите "Настройка службы "Машинное обучение> Azure"для создания новой рабочей области AML.
Введите следующие сведения и нажмите кнопку "Далее".
Поле Описание Подписка Выберите подписку Azure, которую нужно использовать. Группа ресурсов Используйте группу ресурсов, которая есть в подписке, или введите имя, чтобы создать группу ресурсов. Группа ресурсов содержит связанные ресурсы для решения Azure. Имя рабочей области Введите уникальное имя для идентификации рабочей области. Имена должны быть уникальными в группе ресурсов. Используйте имя, которое позволит легко запомнить рабочую область и отличить ее от областей, созданных другими пользователями. Область Выберите ближайшее к пользователям и ресурсам данных расположение, чтобы создать рабочую область. Учетная запись хранения Учетная запись службы хранилища используется в качестве хранилища данных по умолчанию для рабочей области. Вы можете создать новый ресурс службы хранилища Azure или выбрать существующий в вашей подписке. KeyVault Хранилище ключей используется для хранения секретов и других конфиденциальных сведений, необходимых рабочей области. Вы можете создать новый ресурс Azure Key Vault или выбрать существующий в подписке. Application Insights Рабочая область использует Azure Application Insights для хранения сведений мониторинга о развернутых моделях. Вы можете создать новый ресурс Azure Application Insights или выбрать существующий в вашей подписке. Реестр контейнеров Реестр контейнеров используется для регистрации образов DOCKER, используемых в обучении и развертываниях. Чтобы минимизировать расходы, новый ресурс Реестра контейнеров Azure создается только после создания первого образа. Кроме того, вы можете создать ресурс сейчас или выбрать существующий в подписке, или выбрать Нет, если вы не хотите использовать реестр контейнеров. На вкладке "Сеть" выберите "Включить общедоступный доступ" из всех сетей.
Определите все соответствующие параметры на вкладках "Дополнительно " или " Теги ", а затем нажмите кнопку "Просмотр и создание".
На вкладке "Рецензирование и создание " просмотрите сведения, чтобы убедиться, что это правильно, а затем нажмите кнопку "Создать ", чтобы начать развертывание рабочей области. Например:
Создание рабочей области в облаке может занять несколько минут. В течение этого времени на странице обзора рабочей области отображается текущее состояние развертывания и обновляется после завершения развертывания.
После завершения развертывания вернитесь к записным книжкам в Microsoft Sentinel и запустите записные книжки из новой рабочей области машинного обучения Azure.
Если у вас несколько записных книжек, обязательно выберите для их запуска рабочую область AML по умолчанию. Например:
Запустите блокнот в рабочей области Azure Machine Learning
После создания рабочей области Azure Machine Learning запустите ноутбук в этой области через Microsoft Sentinel. Помните, что если у вас есть частные конечные точки или ограничения на доступ к общедоступной сети, включенный в учетной записи хранения Azure, вы не сможете запускать записные книжки в рабочей области Машинное обучение Azure из Microsoft Sentinel. Необходимо скопировать шаблон записной книжки из Microsoft Sentinel и отправить записную книжку в Студия машинного обучения Azure.
Чтобы запустить записную книжку Microsoft Sentinel в рабочей области Машинное обучение Azure, выполните следующие действия.
Для Microsoft Sentinel на портале Azure в разделе "Управление угрозами" выберите "Записные книжки".
Для Microsoft Sentinel на портале Defender выберите Microsoft Sentinel>Управление угрозами>Блокноты.Перейдите на вкладку "Шаблоны" , чтобы просмотреть записные книжки, которые предоставляет Microsoft Sentinel.
Выберите записную книжку, чтобы просмотреть ее описание, требуемые для нее типы и источники данных.
Когда вы найдете записную книжку, которую вы хотите использовать, выберите "Создать из шаблона " и "Сохранить ", чтобы клонировать ее в собственную рабочую область. Можно выбрать только рабочие области машинного обучения Azure в одной подписке.
При необходимости измените имя. Если записная книжка уже существует в рабочей области, замените существующую записную книжку или создайте новую. По умолчанию записная книжка сохраняется в каталоге /Users/<Your_User_Name>/ выбранной рабочей области AML.
После сохранения записной книжки кнопка "Сохранить записную книжку " изменится на "Запустить записную книжку". Выберите "Запустить записную книжку ", чтобы открыть ее в рабочей области AML.
Например:
В верхней части страницы выберите экземпляр вычислений , используемый для сервера записной книжки.
Если у вас нет вычислительного экземпляра, создайте его. Если вычислительный экземпляр остановлен, запустите его. Дополнительные сведения см. в статье "Запуск записной книжки в Azure Machine Learning Studio".
Только вы можете просматривать и использовать созданные вами вычислительные операции. Ваши файлы пользователя хранятся отдельно от виртуальной машины и являются общими для всех вычислительных операций в рабочей области.
Если вы создаете новый вычислительный экземпляр для тестирования записных книжек, создайте вычислительный экземпляр с категорией "Общего назначения ".
Ядро также отображается в правом верхнем углу окна Машинное обучение Azure. Если нужное ядро не выбрано, выберите другую версию в раскрывающемся списке.
После создания и запуска сервера записной книжки запустите ячейки записной книжки. В каждой ячейке нажмите значок Запуск, чтобы запустить код записной книжки.
Дополнительные сведения см. в разделе "Сочетания клавиш в режиме команд".
Если записная книжка зависает или вы хотите начать заново, можно перезапустить ядро и повторно запустить ячейки записной книжки с самого начала. При перезапуске ядра переменные и состояние удаляются. Повторно запустите все ячейки инициализации и проверки подлинности после перезапуска.
Чтобы начать заново, выберите операции с ядром>Перезапустить ядро. Например:
Запуск кода в ноутбуке
Всегда выполняйте ячейки кода записной книжки по порядку. Пропуск ячеек может привести к возникновению ошибок.
В записной книжке:
- Ячейки Markdown имеют текст, включая HTML и статические изображения.
- Ячейки кода содержат код. Выбрав ячейку кода, запустите код в ячейке, выбрав значок воспроизведения слева от ячейки или нажав клавиши SHIFT+ВВОД.
Например, выполните следующую ячейку кода в записной книжке:
# This is your first code cell. This cell contains basic Python code.
# You can run a code cell by selecting it and then selecting
# the Play button to the left of the cell, or by pressing SHIFT+ENTER.
# Code output displays below the code.
print("Congratulations, you just ran this code cell")
y = 2 + 2
print("2 + 2 =", y)
Пример кода выдает следующие выходные данные:
Congratulations, you just ran this code cell
2 + 2 = 4
Переменные, заданные в ячейке кода записной книжки, сохраняются между ячейками, что позволяет объединить ячейки в цепочку. Например, в следующей ячейке кода используется значение y
из предыдущей ячейки:
# Note that output from the last line of a cell is automatically
# sent to the output cell, without needing the print() function.
y + 2
Результат выглядит так:
6
Загрузка всех записных книжек Microsoft Sentinel
В этом разделе описывается, как с помощью Git скачать все записные книжки, доступные в репозитории Microsoft Sentinel GitHub, непосредственно в рабочую область Машинного обучения Azure.
Хранение записных книжек Microsoft Sentinel в рабочей области Машинное обучение Azure позволяет легко обновлять их.
В записной книжке Microsoft Sentinel введите следующий код в пустую ячейку, а затем выполните следующую ячейку:
!git clone https://github.com/Azure/Azure-Sentinel-Notebooks.git azure-sentinel-nb
Копия содержимого репозитория GitHub создается в каталоге azure-Sentinel-nb в папке пользователя в рабочей области Машинного обучения Azure.
Скопируйте нужные записные книжки из этой папки в рабочую папку.
Чтобы обновить записные книжки в соответствии с недавними изменениями в GitHub, выполните следующее:
!cd azure-sentinel-nb && git pull