Microsoft Sentinel tehdit avcılığı özelliklerine sahip Jupyter not defterleri

  • Makale
  • Şunlara uygulanır:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Jupyter not defterleri makine öğrenmesi, görselleştirme ve veri analizi için çok sayıda kitaplık koleksiyonuyla tam programlamayı birleştirir. Bu öznitelikler Jupyter'ı güvenlik araştırması ve avlanma için cazip bir araç haline getirir.

Microsoft Sentinel'in temeli veri deposudur; yüksek performanslı sorgulamayı, dinamik şemayı birleştirir ve büyük veri hacimlerine ölçeklendirir. Azure portalı ve tüm Microsoft Sentinel araçları bu veri deposuna erişmek için ortak bir API kullanır. Jupyter not defterleri ve Python gibi dış araçlar için de aynı API kullanılabilir.

Önemli

Microsoft Sentinel, Microsoft Defender portalında birleşik güvenlik işlemleri platformu için genel önizleme kapsamında kullanılabilir. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Jupyter not defterleri ne zaman kullanılır?

Portalda birçok yaygın görev gerçekleştirilebilir ancak Jupyter, bu verilerle yapabileceklerinin kapsamını genişletir.

Örneğin, not defterlerini kullanarak şunları yapın:

  • Bazı Python makine öğrenmesi özellikleri gibi Microsoft Sentinel'de kullanıma hazır olarak sağlanmayan analizler gerçekleştirme
  • Özel zaman çizelgeleri ve işlem ağaçları gibi Microsoft Sentinel'de kullanıma sunulmamış veri görselleştirmeleri oluşturma
  • Şirket içi veri kümesi gibi veri kaynaklarını Microsoft Sentinel dışında tümleştirin.

Jupyter deneyimini Azure portalıyla tümleştirerek verilerinizi analiz etmek için not defterleri oluşturup çalıştırmanızı kolaylaştırdık. Kqlmagic kitaplığı, Microsoft Sentinel'den Kusto Sorgu Dili (KQL) sorguları almanıza ve bunları doğrudan bir not defteri içinde çalıştırmanıza olanak tanıyan tutkal sağlar.

Microsoft'un bazı güvenlik analistleri tarafından geliştirilen çeşitli not defterleri Microsoft Sentinel ile paketlenmiştir:

  • Bu not defterlerinden bazıları belirli bir senaryo için oluşturulmuş ve olduğu gibi kullanılabilir.
  • Diğerleri, kendi not defterlerinizde kullanmak üzere kopyalayabileceğiniz veya uyarlayabileceğiniz teknikleri ve özellikleri göstermek için örnek olarak tasarlanmıştır.

Microsoft Sentinel GitHub deposundaki diğer not defterlerini içeri aktarın.

Jupyter not defterleri nasıl çalışır?

Not defterlerinin iki bileşeni vardır:

  • Sorgu ve kod girip çalıştırdığınız ve yürütme sonuçlarının görüntülendiği tarayıcı tabanlı arabirim.
  • Kodu ayrıştırıp yürütmekle sorumlu bir çekirdek.

Microsoft Sentinel not defterinin çekirdeği bir Azure sanal makinesinde (VM) çalışır. VM örneği aynı anda birçok not defterinin çalıştırılmasını destekleyebilir. Not defterleriniz karmaşık makine öğrenmesi modelleri içeriyorsa, daha güçlü sanal makineler kullanmak için çeşitli lisanslama seçenekleri vardır.

Python paketlerini anlama

Microsoft Sentinel not defterleri pandas, matplotlib, bokeh ve diğerleri gibi birçok popüler Python kitaplığını kullanır. Aşağıdakiler gibi alanları kapsayan, aralarından seçim yapabileceğiniz birçok python paketi daha vardır:

  • Görselleştirmeler ve grafikler
  • Veri işleme ve analiz
  • İstatistikler ve sayısal bilgi işlem
  • Makine öğrenmesi ve derin öğrenme

Çoğu Python not defteri, karmaşık ve yinelenen kodları not defteri hücrelerine yazmak veya yapıştırmak zorunda kalmamak için paketler olarak adlandırılan üçüncü taraf kitaplıklara güvenir. Not defterinde paket kullanmak için paketi hem yüklemeniz hem de içeri aktarmanız gerekir. Azure Machine Learning İşlem'de en yaygın paketler önceden yüklenmiş olarak bulunur. Paketi veya modül, dosya, işlev veya sınıf gibi paketin ilgili bölümünü içeri aktardığınızdan emin olun.

Microsoft Sentinel not defterleri veri alma, analiz, zenginleştirme ve görselleştirme için siber güvenlik araçlarının bir koleksiyonu olan MSTICPy adlı bir Python paketi kullanır.

MSTICPy araçları, özellikle avlanma ve araştırma için not defterleri oluşturmaya yardımcı olmak üzere tasarlanmıştır ve yeni özellikler ve geliştirmeler üzerinde etkin bir şekilde çalışıyoruz. Daha fazla bilgi için bkz.

Not defterlerini bulma

Microsoft Sentinel'in sağladığı not defterlerini görmek için Microsoft Sentinel'de Not Defterleri'ni seçin. Azure Log Analytics'te Kimlik Bilgisi Taraması ve Destekli Araştırma - İşlem Uyarıları gibi not defteri şablonlarını inceleyerek tehdit avcılığı ve araştırmada not defterlerini kullanma hakkında daha fazla bilgi edinin.

Microsoft tarafından oluşturulan veya topluluktan katkıda bulunan diğer not defterleri için Microsoft Sentinel GitHub deposuna gidin. Microsoft Sentinel GitHub deposunda paylaşılan not defterlerini, kendi not defterlerinizi geliştirirken kullanabileceğiniz yararlı araçlar, çizimler ve kod örnekleri olarak kullanın.

  • Dizin, Sample-Notebooks hedeflenen çıkışı göstermek için kullanabileceğiniz verilerle kaydedilen örnek not defterlerini içerir.

  • Dizin, HowTos varsayılan Python sürümünüzü ayarlama, not defterinden Microsoft Sentinel yer işaretleri oluşturma ve daha fazlası gibi kavramları açıklayan not defterleri içerir.

Microsoft Sentinel not defterlerine erişimi yönetme

Microsoft Sentinel'de Jupyter not defterlerini kullanmak için önce kullanıcı rolünüze bağlı olarak doğru izinlere sahip olmanız gerekir.

Microsoft Sentinel not defterlerini JupyterLab veya Jupyter classic'te çalıştırabilirsiniz ancak Microsoft Sentinel'de not defterleri bir Azure Machine Learning platformunda çalıştırılır. Not defterlerini Microsoft Sentinel'de çalıştırmak için hem Microsoft Sentinel çalışma alanına hem de Azure Machine Learning çalışma alanına uygun erişiminiz olmalıdır.

İzin Açıklama
Microsoft Sentinel izinleri Diğer Microsoft Sentinel kaynakları gibi, Microsoft Sentinel Not Defterleri dikey penceresinde not defterlerine erişmek için Microsoft Sentinel Okuyucusu, Microsoft Sentinel Yanıtlayıcısı veya Microsoft Sentinel Katkıda Bulunanı rolü gereklidir.

Daha fazla bilgi için bkz . Microsoft Sentinel'de izinler.
Azure Machine Learning izinleri Azure Machine Learning çalışma alanı bir Azure kaynağıdır. Diğer Azure kaynakları gibi, yeni bir Azure Machine Learning çalışma alanı oluşturulduğunda varsayılan rollerle birlikte gelir. Çalışma alanına kullanıcı ekleyebilir ve bunları bu yerleşik rollerden birine atayabilirsiniz. Daha fazla bilgi için bkz . Azure Machine Learning varsayılan rolleri ve Azure yerleşik rolleri.

Önemli: Rol erişiminin kapsamı Azure'da birden çok düzeye ayarlanabilir. Örneğin, çalışma alanına sahip erişimi olan birinin çalışma alanını içeren kaynak grubuna sahip erişimi olmayabilir. Daha fazla bilgi için bkz . Azure RBAC nasıl çalışır?

Azure ML çalışma alanının sahibiyseniz, çalışma alanı için roller ekleyip kaldırabilir ve kullanıcılara roller atayabilirsiniz. Daha fazla bilgi için bkz.
- Azure portalı
- PowerShell
- Azure CLI
- REST API
- Azure Resource Manager şablonları
- Azure Machine Learning CLI

Yerleşik roller yetersizse özel roller de oluşturabilirsiniz. Özel rollerin bu çalışma alanında okuma, yazma, silme ve işlem kaynağı izinleri olabilir. Rolü belirli bir çalışma alanı düzeyinde, belirli bir kaynak grubu düzeyinde veya belirli bir abonelik düzeyinde kullanılabilir hale getirebilirsiniz. Daha fazla bilgi için bkz . Özel rol oluşturma.

Not defteri için geri bildirim gönderme

Mevcut not defterlerine geri bildirim, özellik istekleri, hata raporları veya iyileştirmeler gönderin. Microsoft Sentinel GitHub deposuna giderek bir sorun oluşturun veya çatal oluşturup bir katkı yükleyin.

İlgili içerik

Bloglar, videolar ve diğer kaynaklar için bkz: