Använda Jupyter Notebooks för att söka efter säkerhetshot
Jupyter Notebooks kombinerar fullständig programmerbarhet med en stor samling bibliotek för maskininlärning, visualisering och dataanalys. De här attributen gör Jupyter till ett övertygande verktyg för säkerhetsundersökning och jakt.
Grunden för Microsoft Sentinel är datalagret. Den kombinerar högpresterande frågor, dynamiskt schema och skalar till enorma datavolymer. Azure Portal och alla Microsoft Sentinel-verktyg använder ett gemensamt API för att få åtkomst till det här datalagret. Samma API är också tillgängligt för externa verktyg som Jupyter Notebooks och Python.
När du ska använda Jupyter Notebooks
Många vanliga uppgifter kan utföras i portalen, men Jupyter utökar omfattningen av vad du kan göra med dessa data.
Använd till exempel notebook-filer för att:
- Utföra analyser som inte tillhandahålls direkt i Microsoft Sentinel, till exempel vissa Python-maskininlärningsfunktioner
- Skapa datavisualiseringar som inte tillhandahålls direkt i Microsoft Sentinel, till exempel anpassade tidslinjer och processträd
- Integrera datakällor utanför Microsoft Sentinel, till exempel en lokal datauppsättning.
Vi har integrerat Jupyter-upplevelsen i Azure Portal, vilket gör det enkelt för dig att skapa och köra notebook-filer för att analysera dina data. Kqlmagic-biblioteket innehåller limmet som gör att du kan ta KQL-frågor från Microsoft Sentinel och köra dem direkt i en notebook-fil.
Flera notebook-filer, som utvecklats av några av Microsofts säkerhetsanalytiker, är paketerade med Microsoft Sentinel:
- Vissa av dessa notebook-filer har skapats för ett specifikt scenario och kan användas som de är.
- Andra är avsedda som exempel för att illustrera tekniker och funktioner som du kan kopiera eller anpassa för användning i dina egna notebook-filer.
Andra notebook-filer kan också importeras från GitHub-lagringsplatsen för Microsoft Sentinel.
Så här fungerar Jupyter Notebooks
Notebook-filer har två komponenter:
- Det webbläsarbaserade gränssnittet, där du anger och kör frågor och kod, och där resultatet av körningen visas.
- En kernel som ansvarar för att parsa och köra själva koden.
Microsoft Sentinel-anteckningsbokens kernel körs på en virtuell Azure-dator (VM). Den virtuella datorinstansen har stöd för att köra många notebook-filer samtidigt. Om dina notebook-filer innehåller komplexa maskininlärningsmodeller finns det flera licensieringsalternativ för att använda mer kraftfulla virtuella datorer.
Förstå Python-paket
Microsoft Sentinel-notebook-filer använder många populära Python-bibliotek som pandas, matplotlib, bokeh och andra. Det finns många andra Python-paket som du kan välja mellan, som omfattar områden som:
- Visualiseringar och grafik
- Databehandling och analys
- Statistik och numerisk databehandling
- Maskininlärning och djupinlärning
För att undvika att behöva skriva eller klistra in komplex och repetitiv kod i notebook-celler förlitar sig de flesta Python-notebook-filer på bibliotek från tredje part som kallas paket. Om du vill använda ett paket i en notebook-fil måste du både installera och importera paketet. Azure ML Compute har de vanligaste paketen förinstallerade. Se till att du importerar paketet eller den relevanta delen av paketet, till exempel en modul, fil, funktion eller klass.
Microsoft Sentinel-notebook-filer använder ett Python-paket som heter MSTICPy, som är en samling cybersäkerhetsverktyg för datahämtning, analys, berikning och visualisering.
MSTICPy-verktyg är särskilt utformade för att hjälpa till med att skapa notebook-filer för jakt och undersökning och vi arbetar aktivt med nya funktioner och förbättringar. Mer information finns i:
- Dokumentation om MSTIC Jupyter och Python Security Tools
- Självstudie: Komma igång med Jupyter Notebooks och MSTICPy i Microsoft Sentinel
- Avancerade konfigurationer för Jupyter Notebooks och MSTICPy i Microsoft Sentinel
Hitta anteckningsböcker
Från Azure Portal går du tillNotebooks förhothantering i>Microsoft Sentinel> för att se notebook-filer som Microsoft Sentinel tillhandahåller. Om du vill ha fler notebook-filer som skapats av Microsoft eller bidragit från communityn går du till GitHub-lagringsplatsen för Microsoft Sentinel.
Hantera åtkomst till Microsoft Sentinel-notebook-filer
Om du vill använda Jupyter Notebooks i Microsoft Sentinel måste du först ha rätt behörigheter, beroende på din användarroll.
Du kan köra Microsoft Sentinel-notebook-filer i JupyterLab eller Jupyter Classic, men i Microsoft Sentinel körs notebook-filer på en Azure Machine Learning-plattform (Azure ML). Om du vill köra notebook-filer i Microsoft Sentinel måste du ha rätt åtkomst till både Microsoft Sentinel-arbetsytan och en Azure ML-arbetsyta.
| Behörighet | Beskrivning |
|---|---|
| Microsoft Sentinel-behörigheter | Precis som andra Microsoft Sentinel-resurser krävs en Microsoft Sentinel-läsare, Microsoft Sentinel-svarare eller Microsoft Sentinel-deltagarroll för att få åtkomst till notebook-filer på bladet Microsoft Sentinel Notebooks. Mer information finns i Behörigheter i Microsoft Sentinel. |
| Azure Machine Learning-behörigheter | En Azure Machine Learning-arbetsyta är en Azure-resurs. Precis som andra Azure-resurser kommer den med standardroller när en ny Azure Machine Learning-arbetsyta skapas. Du kan lägga till användare på arbetsytan och tilldela dem till någon av dessa inbyggda roller. Mer information finns i Standardroller för Azure Machine Learning och inbyggda Azure-roller. Viktigt! Rollåtkomst kan begränsas till flera nivåer i Azure. Till exempel kanske någon med ägaråtkomst till en arbetsyta inte har ägaråtkomst till den resursgrupp som innehåller arbetsytan. Mer information finns i Så här fungerar Azure RBAC. Om du är ägare till en Azure ML-arbetsyta kan du lägga till och ta bort roller för arbetsytan och tilldela roller till användare. Mer information finns i: - Azure Portal - PowerShell - Azure CLI - REST API - Azure Resource Manager-mallar - Azure Machine Learning CLI Om de inbyggda rollerna inte räcker till kan du också skapa anpassade roller. Anpassade roller kan ha läs-, skriv-, borttagnings- och beräkningsresursbehörigheter på arbetsytan. Du kan göra rollen tillgänglig på en specifik arbetsytenivå, en specifik resursgruppsnivå eller en specifik prenumerationsnivå. Mer information finns i Skapa anpassad roll. |
Nästa steg
- Jaga efter säkerhetshot med Jupyter Notebooks
- Självstudie: Komma igång med Jupyter Notebooks och MSTICPy i Microsoft Sentinel
- Integrera notebook-filer med Azure Synapse (offentlig förhandsversion)
Andra resurser:
Använd notebook-filer som delas på GitHub-lagringsplatsen i Microsoft Sentinel som användbara verktyg, illustrationer och kodexempel som du kan använda när du utvecklar dina egna notebook-filer.
Skicka feedback, förslag, begäranden om funktioner, bidragna notebook-filer, buggrapporter eller förbättringar och tillägg till befintliga notebook-filer. Gå till GitHub-lagringsplatsen för Microsoft Sentinel för att skapa ett problem eller en förgrening och ladda upp ett bidrag.
Läs mer om hur du använder notebook-filer i hotjakt och undersökning genom att utforska några notebook-mallar, till exempel Genomsökning av autentiseringsuppgifter i Azure Log Analytics och Guidad undersökning – Processaviseringar.
Hitta fler notebook-mallar på fliken Microsoft Sentinel Notebooks Templates (Mallar>för notebook-filer i Microsoft Sentinel>).
Hitta fler notebook-filer på GitHub-lagringsplatsen för Microsoft Sentinel:
Katalogen
Sample-Notebooksinnehåller exempelanteckningsböcker som sparas med data som du kan använda för att visa avsedda utdata.Katalogen
HowTosinnehåller notebook-filer som beskriver begrepp som att ställa in din standardversion av Python, skapa Microsoft Sentinel-bokmärken från en notebook-fil med mera.
Mer information finns i:
Skapa din första Microsoft Sentinel-anteckningsbok (bloggserie)
Självstudie: Microsoft Sentinel-anteckningsböcker – Komma igång (video)
Självstudie: Redigera och köra Jupyter Notebooks utan att lämna Azure ML Studio (video)
Webbseminarier: Grunderna i Microsoft Sentinel-notebook-filer
Använd bokmärken för att spara intressant information vid jakt