Jupyter Notebooks med Microsoft Sentinel-jaktfunktioner

  • Artikel
  • Gäller för:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Jupyter Notebooks kombinerar fullständig programmering med en enorm samling bibliotek för maskininlärning, visualisering och dataanalys. De här attributen gör Jupyter till ett övertygande verktyg för säkerhetsundersökning och jakt.

Grunden för Microsoft Sentinel är datalagret. Den kombinerar högpresterande frågor, dynamiskt schema och skalar till enorma datavolymer. Azure-portalen och alla Microsoft Sentinel-verktyg använder ett gemensamt API för att komma åt det här datalagret. Samma API är också tillgängligt för externa verktyg som Jupyter Notebooks och Python.

Viktigt!

Microsoft Sentinel är tillgängligt som en del av den offentliga förhandsversionen av den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

När du ska använda Jupyter Notebooks

Många vanliga uppgifter kan utföras i portalen, men Jupyter utökar omfattningen för vad du kan göra med dessa data.

Använd till exempel notebook-filer för att:

  • Utföra analyser som inte tillhandahålls direkt i Microsoft Sentinel, till exempel vissa Python-maskininlärningsfunktioner
  • Skapa datavisualiseringar som inte tillhandahålls direkt i Microsoft Sentinel, till exempel anpassade tidslinjer och processträd
  • Integrera datakällor utanför Microsoft Sentinel, till exempel en lokal datauppsättning.

Vi har integrerat Jupyter-upplevelsen i Azure-portalen, vilket gör det enkelt för dig att skapa och köra notebook-filer för att analysera dina data. Kqlmagic-biblioteket innehåller det lim som gör att du kan ta Kusto-frågespråk (KQL) frågor från Microsoft Sentinel och köra dem direkt i en notebook-fil.

Flera notebook-filer, som utvecklats av några av Microsofts säkerhetsanalytiker, är paketerade med Microsoft Sentinel:

  • Vissa av dessa notebook-filer är byggda för ett specifikt scenario och kan användas som de är.
  • Andra är avsedda som exempel för att illustrera tekniker och funktioner som du kan kopiera eller anpassa för användning i dina egna notebook-filer.

Importera andra notebook-filer från Microsoft Sentinel GitHub-lagringsplatsen.

Så här fungerar Jupyter Notebooks

Notebook-filer har två komponenter:

  • Det webbläsarbaserade gränssnittet, där du anger och kör frågor och kod, och där resultatet av körningen visas.
  • En kernel som ansvarar för att parsa och köra själva koden.

Microsoft Sentinel-anteckningsbokens kernel körs på en virtuell Azure-dator (VM). Vm-instansen kan ha stöd för att köra många notebook-filer samtidigt. Om dina notebook-filer innehåller komplexa maskininlärningsmodeller finns det flera licensieringsalternativ för att använda mer kraftfulla virtuella datorer.

Förstå Python-paket

Microsoft Sentinel-notebook-filer använder många populära Python-bibliotek som pandas, matplotlib, bokeh och andra. Det finns många andra Python-paket som du kan välja mellan, som omfattar områden som:

  • Visualiseringar och grafik
  • Databearbetning och analys
  • Statistik och numerisk databehandling
  • Maskininlärning och djupinlärning

För att undvika att behöva skriva eller klistra in komplex och repetitiv kod i notebook-celler förlitar sig de flesta Python-notebook-filer på bibliotek från tredje part som kallas paket. Om du vill använda ett paket i en notebook-fil måste du både installera och importera paketet. Azure Machine Learning Compute har de vanligaste paketen förinstallerade. Kontrollera att du importerar paketet eller den relevanta delen av paketet, till exempel en modul, fil, funktion eller klass.

Microsoft Sentinel-notebook-filer använder ett Python-paket med namnet MSTICPy, som är en samling cybersäkerhetsverktyg för datahämtning, analys, berikning och visualisering.

MSTICPy-verktyg är särskilt utformade för att hjälpa dig att skapa notebook-filer för jakt och undersökning och vi arbetar aktivt med nya funktioner och förbättringar. Mer information finns i:

Hitta anteckningsböcker

I Microsoft Sentinel väljer du Notebooks för att se notebook-filer som Microsoft Sentinel tillhandahåller. Läs mer om hur du använder notebook-filer i hotjakt och undersökning genom att utforska notebook-mallar som Genomsökning av autentiseringsuppgifter i Azure Log Analytics och Guidad undersökning – Processaviseringar.

Om du vill ha fler notebook-filer som skapats av Microsoft eller bidragit från communityn går du till Microsoft Sentinel GitHub-lagringsplatsen. Använd notebook-filer som delas på Microsoft Sentinel GitHub-lagringsplatsen som användbara verktyg, illustrationer och kodexempel som du kan använda när du utvecklar egna notebook-filer.

  • Katalogen Sample-Notebooks innehåller exempelanteckningsböcker som sparas med data som du kan använda för att visa avsedda utdata.

  • Katalogen HowTos innehåller notebook-filer som beskriver begrepp som att ställa in din standardversion av Python, skapa Microsoft Sentinel-bokmärken från en notebook-fil med mera.

Hantera åtkomst till Microsoft Sentinel-notebook-filer

Om du vill använda Jupyter-anteckningsböcker i Microsoft Sentinel måste du först ha rätt behörigheter, beroende på din användarroll.

Du kan köra Microsoft Sentinel-notebook-filer i JupyterLab eller Jupyter Classic, men i Microsoft Sentinel körs notebook-filer på en Azure Machine Learning-plattform . Om du vill köra notebook-filer i Microsoft Sentinel måste du ha lämplig åtkomst till både Microsoft Sentinel-arbetsytan och en Azure Machine Learning-arbetsyta.

Behörighet beskrivning
Microsoft Sentinel-behörigheter Precis som andra Microsoft Sentinel-resurser krävs en Microsoft Sentinel-läsare, Microsoft Sentinel-svarare eller Microsoft Sentinel-deltagarroll för att få åtkomst till notebook-filer i Microsoft Sentinel.

Mer information finns i Behörigheter i Microsoft Sentinel.
Azure Machine Learning-behörigheter En Azure Machine Learning-arbetsyta är en Azure-resurs. Precis som andra Azure-resurser kommer den med standardroller när en ny Azure Machine Learning-arbetsyta skapas. Du kan lägga till användare på arbetsytan och tilldela dem till någon av dessa inbyggda roller. Mer information finns i Standardroller för Azure Machine Learning och inbyggda Azure-roller.

Viktigt: Rollåtkomst kan begränsas till flera nivåer i Azure. Till exempel kanske någon med ägaråtkomst till en arbetsyta inte har ägaråtkomst till den resursgrupp som innehåller arbetsytan. Mer information finns i Så här fungerar Azure RBAC.

Om du är ägare till en Azure Machine Learning-arbetsyta kan du lägga till och ta bort roller för arbetsytan och tilldela roller till användare. Mer information finns i:
- Azure-portalen
- PowerShell
- Azure CLI
- REST-API
- Azure Resource Manager-mallar
- Azure Machine Learning CLI

Om de inbyggda rollerna inte räcker till kan du också skapa anpassade roller. Anpassade roller kan ha läs-, skriv-, borttagnings- och beräkningsresursbehörigheter på den arbetsytan. Du kan göra rollen tillgänglig på en specifik arbetsytenivå, en specifik resursgruppsnivå eller en specifik prenumerationsnivå. Mer information finns i Skapa anpassad roll.

Skicka feedback för en notebook-fil

Skicka feedback, begäranden om funktioner, felrapporter eller förbättringar av befintliga notebook-filer. Gå till Microsoft Sentinel GitHub-lagringsplatsen för att skapa ett problem eller förgrena och ladda upp ett bidrag.

Relaterat innehåll

Bloggar, videor och andra resurser finns i: