Jupyter not defterleriyle güvenlik tehditlerini avlama

• Şunlara uygulanır:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Güvenlik araştırmalarınızın ve avcılığınızın bir parçası olarak, verilerinizi program aracılığıyla analiz etmek için Jupyter not defterlerini başlatın ve çalıştırın.

Bu makalede bir Azure Machine Learning çalışma alanı oluşturacak, not defterini Microsoft Sentinel'den Azure Machine Learning çalışma alanınıza başlatacak ve not defterinde kod çalıştıracaksınız.

Önemli

Microsoft Sentinel, Microsoft Defender portalında birleşik güvenlik işlemleri platformu için genel önizleme kapsamında kullanılabilir. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Önkoşullar

Bu makaledeki adımları tamamlamadan önce Microsoft Sentinel not defterleri hakkında bilgi edinmenizi öneririz. Bkz . Güvenlik tehditlerini aramak için Jupyter not defterlerini kullanma.

Microsoft Sentinel not defterlerini kullanmak için aşağıdaki rollere ve izinlere sahip olmanız gerekir:

Türü	Ayrıntılar
Microsoft Sentinel	- Not defterlerini Microsoft Sentinel'den kaydetmek ve başlatmak için Microsoft Sentinel Katkıda Bulunanı rolü
Azure Machine Learning	- Gerekirse yeni bir Azure Machine Learning çalışma alanı oluşturmak için kaynak grubu düzeyinde Sahip veya Katkıda Bulunan rolü. - Microsoft Sentinel not defterlerinizi çalıştırdığınız Azure Machine Learning çalışma alanında Katkıda Bulunan rolü. Daha fazla bilgi için bkz . Azure Machine Learning çalışma alanına erişimi yönetme.

Microsoft Sentinel'den Azure Machine Learning çalışma alanı oluşturma

Çalışma alanınızı oluşturmak için, genel veya özel uç nokta kullanıp kullanmadığınıza bağlı olarak aşağıdaki sekmelerden birini seçin.

• Ağ iletişiminde olası sorunlardan kaçınmak için, Microsoft Sentinel çalışma alanınızda bir genel uç nokta olduğunda bir genel uç nokta kullanmanızı öneririz.
• Sanal ağda Azure Machine Learning çalışma alanı kullanmak istiyorsanız özel uç nokta kullanın.

Genel uç nokta

1. Azure portalında Microsoft Sentinel için Tehdit yönetimi'nin altında Not Defterleri'ni seçin.
   Defender portalında Microsoft Sentinel için Microsoft Sentinel>Tehdit yönetimi>Not Defterleri'ni seçin.

2. Azure Machine Learning'i>Yapılandır Yeni aml çalışma alanı oluştur'u seçin.

3. Aşağıdaki ayrıntıları girin ve İleri'yi seçin.

   Alan	Açıklama
   Abonelik	Kullanmak istediğiniz Azure aboneliğini seçin.
   Kaynak grubu	Aboneliğinizde mevcut kaynak gruplarından birini seçin veya bir ad girerek yeni bir kaynak grubu oluşturun. Kaynak grubu, Bir Azure çözümü için ilgili kaynakları barındırır.
   Çalışma alanı adı	Çalışma alanınızı tanımlayan benzersiz bir ad girin. Adların kaynak grubu genelinde benzersiz olması gerekir. Geri çağırması kolay bir ad kullanın ve başkaları tarafından oluşturulan çalışma alanlarından ayırt edin.
   Bölge	Çalışma alanınızı oluşturmak için kullanıcılarınıza en yakın konumu ve veri kaynaklarını seçin.
   Depolama hesabı	Depolama hesabı, çalışma alanı için varsayılan veri deposu olarak kullanılır. Yeni bir Azure Depolama kaynağı oluşturabilir veya aboneliğinizde var olan bir kaynağı seçebilirsiniz.
   KeyVault	Anahtar kasası, çalışma alanının ihtiyaç duyduğu gizli dizileri ve diğer hassas bilgileri depolamak için kullanılır. Yeni bir Azure Key Vault kaynağı oluşturabilir veya aboneliğinizde mevcut bir kaynağı seçebilirsiniz.
   Application Insights	Çalışma alanı, dağıtılan modellerinizle ilgili izleme bilgilerini depolamak için Azure Uygulaması Analizler kullanır. Yeni bir Azure Uygulaması Analizler kaynağı oluşturabilir veya aboneliğinizde var olan bir kaynağı seçebilirsiniz.
   Kapsayıcı kayıt defteri	Kapsayıcı kayıt defteri, eğitim ve dağıtımlarda kullanılan docker görüntülerini kaydetmek için kullanılır. Maliyetleri en aza indirmek için, yalnızca ilk görüntünüzü oluşturduktan sonra yeni bir Azure Container Registry kaynağı oluşturulur. Alternatif olarak, kaynağı şimdi oluşturmayı veya aboneliğinizde var olan bir kaynağı veya kapsayıcı kayıt defteri kullanmak istemiyorsanız Yok'u seçebilirsiniz.

4. Ağ sekmesinde Tüm ağlardan genel erişimi etkinleştir'i seçin.

   Gelişmiş veya Etiketler sekmelerinde ilgili ayarları tanımlayın ve gözden geçir + oluştur'u seçin.

5. Gözden Geçir ve oluştur sekmesinde, bilgilerin doğru olduğunu doğrulamak için bilgileri gözden geçirin ve ardından Oluştur'u seçerek çalışma alanınızı dağıtmaya başlayın. Örneğin:

   

   Çalışma alanınızı bulutta oluşturmak birkaç dakika sürebilir. Bu süre boyunca, çalışma alanına Genel Bakış sayfası geçerli dağıtım durumunu gösterir ve dağıtım tamamlandığında güncelleştirilir.

Özel uç nokta

Bu yordamdaki adımlar uygun olduğunda Azure Machine Learning belgelerindeki belirli makalelere başvurur. Daha fazla bilgi için bkz . Güvenli bir Azure Machine Learning çalışma alanı oluşturma.

1. Sanal ağ içinde bir sanal makine (VM) atlama kutusu oluşturun. Sanal ağ genel İnternet'ten erişimi kısıtladığından, atlama kutusu sanal ağın arkasındaki kaynaklara bağlanmanın bir yolu olarak kullanılır.

2. Atlama kutusuna erişin ve ardından Microsoft Sentinel çalışma alanınıza gidin. VM'ye erişmek için Azure Bastion kullanmanızı öneririz.

3. Azure portalında Microsoft Sentinel için Tehdit yönetimi'nin altında Not Defterleri'ni seçin.
   Defender portalında Microsoft Sentinel için Microsoft Sentinel>Tehdit yönetimi>Not Defterleri'ni seçin.

4. Azure Machine Learning'i>Yapılandır Yeni aml çalışma alanı oluştur'u seçin.

5. Aşağıdaki ayrıntıları girin ve İleri'yi seçin.

   Alan	Açıklama
   Abonelik	Kullanmak istediğiniz Azure aboneliğini seçin.
   Kaynak grubu	Aboneliğinizde mevcut kaynak gruplarından birini seçin veya bir ad girerek yeni bir kaynak grubu oluşturun. Kaynak grubu, Bir Azure çözümü için ilgili kaynakları barındırır.
   Çalışma alanı adı	Çalışma alanınızı tanımlayan benzersiz bir ad girin. Adların kaynak grubu genelinde benzersiz olması gerekir. Geri çağırması kolay bir ad kullanın ve başkaları tarafından oluşturulan çalışma alanlarından ayırt edin.
   Bölge	Çalışma alanınızı oluşturmak için kullanıcılarınıza en yakın konumu ve veri kaynaklarını seçin.
   Depolama hesabı	Depolama hesabı, çalışma alanı için varsayılan veri deposu olarak kullanılır. Yeni bir Azure Depolama kaynağı oluşturabilir veya aboneliğinizde var olan bir kaynağı seçebilirsiniz.
   KeyVault	Anahtar kasası, çalışma alanının ihtiyaç duyduğu gizli dizileri ve diğer hassas bilgileri depolamak için kullanılır. Yeni bir Azure Key Vault kaynağı oluşturabilir veya aboneliğinizde mevcut bir kaynağı seçebilirsiniz.
   Application Insights	Çalışma alanı, dağıtılan modellerinizle ilgili izleme bilgilerini depolamak için Azure Uygulaması Analizler kullanır. Yeni bir Azure Uygulaması Analizler kaynağı oluşturabilir veya aboneliğinizde var olan bir kaynağı seçebilirsiniz.
   Kapsayıcı kayıt defteri	Kapsayıcı kayıt defteri, eğitim ve dağıtımlarda kullanılan docker görüntülerini kaydetmek için kullanılır. Maliyetleri en aza indirmek için, yalnızca ilk görüntünüzü oluşturduktan sonra yeni bir Azure Container Registry kaynağı oluşturulur. Alternatif olarak, kaynağı şimdi oluşturmayı veya aboneliğinizde var olan bir kaynağı veya kapsayıcı kayıt defteri kullanmak istemiyorsanız Yok'u seçebilirsiniz.

6. Ağ sekmesinde Genel erişimi devre dışı bırak ve özel uç nokta kullan'ı seçin. VM atlama kutusunda kullandığınız sanal ağın aynısını kullandığınızdan emin olun. Örneğin:

   

7. Gelişmiş veya Etiketler sekmelerinde ilgili ayarları tanımlayın ve gözden geçir + oluştur'u seçin.

8. Gözden Geçir ve oluştur sekmesinde, bilgilerin doğru olduğunu doğrulamak için bilgileri gözden geçirin ve ardından Oluştur'u seçerek çalışma alanınızı dağıtmaya başlayın. Örneğin:

   

   Çalışma alanınızı bulutta oluşturmak birkaç dakika sürebilir. Bu süre boyunca, çalışma alanına Genel Bakış sayfası geçerli dağıtım durumunu gösterir ve dağıtım tamamlandığında güncelleştirilir.

9. Azure Machine Learning stüdyosu İşlem sayfasında yeni bir işlem oluşturun. Gelişmiş Ayarlar sekmesinde, VM atlama kutunuz için kullandığınız sanal ağı seçtiğinizden emin olun. Daha fazla bilgi için bkz . Azure Machine Learning işlem örneği oluşturma ve yönetme.

10. Ağ trafiğinizi bir güvenlik duvarının arkasından Azure Machine Learning'e erişecek şekilde yapılandırın. Daha fazla bilgi için bkz . Gelen ve giden ağ trafiğini yapılandırma.

Aşağıdaki adım kümelerinden biriyle devam edin:

• Yalnızca bir özel bağlantınız varsa: Artık aşağıdaki yöntemlerden herhangi biriyle not defterlerine erişebilirsiniz:

  • Microsoft Sentinel'den Azure Machine Learning'e not defterlerini kopyalama ve başlatma
  • Not defterlerini Azure Machine Learning'e el ile yükleme
  • Azure Machine Learning terminalinde Microsoft Sentinel not defterleri GitHub deposunu kopyalama

• Farklı bir sanal ağ kullanan başka bir özel bağlantınız varsa aşağıdakileri yapın:

  1. Azure portalında Azure Machine Learning çalışma alanınızın kaynak grubuna gidin ve privatelink.api.azureml.ms ve privatelink.notebooks.azure.ms adlı Özel DNS bölgesi kaynaklarını arayın. Örneğin:

     

  2. Hem privatelink.api.azureml.ms hem de privatelink.notebooks.azure.ms dahil olmak üzere her kaynak için bir sanal ağ bağlantısı ekleyin.

     Sanal ağ bağlantıları>Ekle kaynağını >seçin. Daha fazla bilgi için bkz . Sanal ağı bağlama.

Daha fazla bilgi için bkz.

• Güvenli çalışma alanı kullanırken ağ trafiği akışı
• Sanal ağları (VNet) kullanarak Azure Machine Learning çalışma alanı kaynaklarının güvenliğini sağlama

Dağıtımınız tamamlandıktan sonra Microsoft Sentinel'deki Not Defterleri'ne dönün ve yeni Azure Machine Learning çalışma alanınızdan not defterlerini başlatın.

Birden çok not defteriniz varsa, not defterlerinizi başlatırken kullanılacak varsayılan aml çalışma alanını seçtiğinizden emin olun. Örneğin:

Azure Machine Learning çalışma alanınızda not defteri başlatma

Bir Azure Machine Learning çalışma alanı oluşturduktan sonra, bu çalışma alanında not defterlerinizi Microsoft Sentinel'den başlatın.

1. Azure portalında Microsoft Sentinel için Tehdit yönetimi'nin altında Not Defterleri'ni seçin.
   Defender portalında Microsoft Sentinel için Microsoft Sentinel>Tehdit yönetimi>Not Defterleri'ni seçin.

2. Microsoft Sentinel'in sağladığı not defterlerini görmek için Şablonlar sekmesini seçin.

3. Açıklamasını, gerekli veri türlerini ve veri kaynaklarını görüntülemek için bir not defteri seçin.

4. Kullanmak istediğiniz not defterini bulduğunuzda Şablondan oluştur'u ve kaydet'i seçerek kendi çalışma alanınıza kopyalayın.

5. Adı gerektiği gibi düzenleyin. Not defteri çalışma alanınızda zaten varsa, var olan not defterinin üzerine yazın veya yeni bir not defteri oluşturun. Varsayılan olarak, not defteriniz seçili AML çalışma alanının /Users/<Your_User_Name>/ dizinine kaydedilir.

   

6. Not defteri kaydedildikten sonra Not defterini kaydet düğmesi Not defterini başlat olarak değişir. AmL çalışma alanınızda açmak için Not defterini başlat'ı seçin.

   Örneğin:

   

7. Sayfanın üst kısmında, not defteri sunucunuz için kullanılacak bir İşlem örneği seçin.

   İşlem örneğinİz yoksa yeni bir örnek oluşturun. İşlem örneğiniz durdurulduysa, bunu başlattığınızdan emin olun. Daha fazla bilgi için bkz. Azure Machine Learning stüdyosu not defteri çalıştırma.

   Oluşturduğunuz işlem örneklerini yalnızca siz görebilir ve kullanabilirsiniz. Kullanıcı dosyalarınız VM'den ayrı olarak depolanır ve çalışma alanında tüm işlem örnekleri arasında paylaşılır.

   Not defterlerinizi test etmek için yeni bir işlem örneği oluşturuyorsanız genel amaçlı kategorisiyle işlem örneğinizi oluşturun.

   Çekirdek, Azure Machine Learning pencerenizin sağ üst kısmında da gösterilir. İhtiyacınız olan çekirdek seçili değilse, açılan listeden farklı bir sürüm seçin.

8. Not defteri sunucunuz oluşturulup başlatıldıktan sonra not defteri hücrelerinizi çalıştırın. Her hücrede Çalıştır simgesini seçerek not defteri kodunuzu çalıştırın.

   Daha fazla bilgi için bkz . Komut modu kısayolları.

9. Not defteriniz yanıt vermiyorsa veya yeniden başlamak istiyorsanız, çekirdeği yeniden başlatabilir ve not defteri hücrelerini baştan yeniden çalıştırabilirsiniz. Çekirdeği yeniden başlatırsanız değişkenler ve diğer durum silinir. Yeniden başlattıktan sonra başlatma ve kimlik doğrulama hücrelerini yeniden çalıştırın.

   Baştan başlamak için Çekirdek işlemleri>Çekirdeği yeniden başlat'ı seçin. Örneğin:

   

Not defterinizde kod çalıştırma

Not defteri kod hücrelerini her zaman sırayla çalıştırın. Hücrelerin atlanması hatalara neden olabilir.

Not defterinde:

• Markdown hücrelerinde HTML ve statik görüntüler de dahil olmak üzere metinler bulunur.
• Kod hücreleri kod içerir. Kod hücresini seçtikten sonra, hücrenin solundaki Yürüt simgesini seçerek veya SHIFT+ENTER tuşlarına basarak hücredeki kodu çalıştırın.

Örneğin, not defterinizde aşağıdaki kod hücresini çalıştırın:

# This is your first code cell. This cell contains basic Python code.

# You can run a code cell by selecting it and then selecting
# the Play button to the left of the cell, or by pressing SHIFT+ENTER.
# Code output displays below the code.

print("Congratulations, you just ran this code cell")

y = 2 + 2

print("2 + 2 =", y)

Örnek kod şu çıkışı oluşturur:

Congratulations, you just ran this code cell

2 + 2 = 4

Not defteri kod hücresi içinde ayarlanan değişkenler hücreler arasında kalır, böylece hücreleri birbirine zincirleyebilirsiniz. Örneğin, aşağıdaki kod hücresi önceki hücrenin değerini y kullanır:

# Note that output from the last line of a cell is automatically
# sent to the output cell, without needing the print() function.

y + 2

Çıktı şu olur:

6

Tüm Microsoft Sentinel not defterlerini indirme

Bu bölümde, Microsoft Sentinel GitHub deposunda bulunan tüm not defterlerini bir Microsoft Sentinel not defteri içinden doğrudan Azure Machine Learning çalışma alanınıza indirmek için Git'in nasıl kullanılacağı açıklanmaktadır.

Microsoft Sentinel not defterlerini Azure Machine Learning çalışma alanınızda depolamak, bunları kolayca güncel tutmanızı sağlar.

1. Microsoft Sentinel not defterinden, boş bir hücreye aşağıdaki kodu girin ve hücreyi çalıştırın:

   !git clone https://github.com/Azure/Azure-Sentinel-Notebooks.git azure-sentinel-nb
   

   GitHub deposu içeriğinin bir kopyası, Azure Machine Learning çalışma alanınızdaki kullanıcı klasörünüzdeki azure-Sentinel-nb dizininde oluşturulur.

2. İstediğiniz not defterlerini bu klasörden çalışma dizininize kopyalayın.

3. Not defterlerinizi GitHub'dan yapılan son değişikliklerle güncelleştirmek için şunu çalıştırın:

   !cd azure-sentinel-nb && git pull
   

İlgili içerik

• Microsoft Sentinel tehdit avcılığı özelliklerine sahip Jupyter not defterleri
• Microsoft Sentinel'de Jupyter not defterlerini ve MSTICPy'i kullanmaya başlama