具有 Microsoft Sentinel 搜捕功能的 Jupyter 筆記本

• 適用於:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Jupyter 筆記本結合了完整的可程式性與大量程式庫集合，以便進行機器學習、視覺化和資料分析。 這些屬性讓 Jupyter 成為安全性調查和搜捕的強大工具。

Microsoft Sentinel 的基礎是資料存放區；其結合了高效能查詢、動態結構描述，並可擴充為大量資料磁碟區。 Azure 入口網站和全部 Microsoft Sentinel 工具都會使用通用 API 來存取此資料存放區。 相同的 API 也適用於外部工具，例如 Jupyter Notebook 和 Python。

重要

Microsoft Sentinel 現已在 Microsoft Defender 入口網站中 Microsoft 統一的安全性作業平台中正式推出。 如需詳細資訊，請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。

何時使用 Jupyter 筆記本

雖然在入口網站中可以執行許多常見工作，但 Jupyter 會擴充您可使用此資料來執行的作業範圍。

例如，使用筆記本：

• 在 Microsoft Sentinel 中執行未現成提供的分析，例如一些 Python 機器學習功能
• 在 Microsoft Sentinel 中建立未現成提供的資料視覺效果，例如自訂時間軸和流程樹狀圖
• 整合 Microsoft Sentinel 外部的資料來源，例如內部部署資料集。

我們已將 Jupyter 體驗整合到 Azure 入口網站中，讓您得以輕鬆地建立及執行 Notebook 來分析您的資料。 Kqlmagic 程式庫提供的黏附功能，可讓您從 Microsoft Sentinel 進行 Kusto Query Language (KQL) 查詢，並直接在筆記本內執行查詢。

某些由 Microsoft 的安全性分析師開發的多個筆記本會與 Microsoft Sentinel 封裝在一起：

• 其中有些 Notebook 是針對特定案例而建立，可按現況使用。
• 其他則是作為範例，解釋您可複製或改寫以在自己的 Notebook 中使用的技術和功能。

從 Microsoft Sentinel GitHub 存放庫匯入其他筆記本。

Jupyter Notebook 如何運作

Notebook 有兩個元件：

• 瀏覽器型介面，您可在其中輸入並執行查詢和程式碼，以及顯示執行的結果。
• 負責剖析和執行程式碼本身的「核心程序」。

Microsoft Sentinel 筆記本的核心會在 Azure 虛擬機器 (VM) 上執行。 VM 執行個體可以支援一次執行許多筆記本。 如果您的筆記本包含複雜的機器學習模型，您有數個授權選項可使用更強大的虛擬機器。

了解 Python 套件

Microsoft Sentinel 筆記本會使用許多熱門的 Python 程式庫，例如 pandas、matplotlib、bokeh 和其他程式庫。 有很多其他 Python 套件可供您選擇，涵蓋的範圍如下：

• 視覺效果和圖形
• 資料處理和分析
• 統計資料和數值計算
• 機器學習和深度學習

為了避免在筆記本儲存格中輸入或貼上複雜且重複的程式碼，大部分的 Python 筆記本都仰賴稱為套件的協力廠商程式庫。 若要在筆記本中使用套件，您必須安裝並匯入套件。 Azure Machine Learning Compute 已預先安裝最常見的套件。 請確定您匯入封裝或套件的相關部分，例如模組、檔案、函數或類別。

Microsoft Sentinel 筆記本使用稱為 MSTICPy 的 Python 套件，這是資料擷取、分析、擴充和視覺效果的網路安全性工具集合。

MSTICPy 工具的具體設計訴求是要協助建立用於搜捕和調查的筆記本，而且我們正積極開發新功能和改進功能。 如需詳細資訊，請參閱

• MSTIC Jupyter 和 Python 安全性工具文件
• 在 Microsoft Sentinel 中開始使用 Jupyter 筆記本和 MSTICPy
• Microsoft Sentinel 中 Jupyter 筆記本和 MSTICPy 的進階設定

尋找筆記本

在 Microsoft Sentinel 中，選取 [Notebooks]，以查看 Microsoft Sentinel Microsoft 提供的筆記本。 探索筆記本範本，例如 Azure Log Analytics 上的認證掃描和引導式調查 - 處理警示，以深入瞭解在威脅搜捕和調查中使用筆記本。

如需更多由 Microsoft 所建置或來自社群的筆記本，請移至 Microsoft Sentinel GitHub 存放庫。 使用 Microsoft Sentinel GitHub 存放庫中共用的筆記本，做為您在開發自己的筆記本時可以使用的工具、圖解和程式碼範例。

• Sample-Notebooks 目錄包含與資料一起儲存的範例筆記本，可供您用來顯示預期的輸出。

• HowTos 目錄包含說明概念的筆記本，例如設定預設 Python 版本、從筆記本建立 Microsoft Sentinel 書籤等等。

管理 Microsoft Sentinel 筆記本的存取

若要在 Microsoft Sentinel 中使用 Jupyter 筆記本，視您的使用者角色而定，您必須先擁有正確的權限。

雖然您可以在 JupyterLab 或 Jupyter 傳統中執行 Microsoft Sentinel 筆記本，但 Microsoft Sentinel 中的筆記本是在 Azure Machine Learning 平台上執行。 若要在 Microsoft Sentinel 中執行筆記本，您必須具備 Microsoft Sentinel 工作區和 Azure Machine Learning 工作區的適當存取權。

權限	描述
Microsoft Sentinel 權限	如同其他 Microsoft Sentinel 資源，若要存取 Microsoft Sentinel 筆記本刀鋒視窗上的筆記本，則需要 Microsoft Sentinel 閱讀程式、Microsoft Sentinel 回應程式或 Microsoft Sentinel 參與者角色。 如需詳細資訊，請參閱 Microsoft Sentinel 中的權限。
Azure Machine Learning 權限	Azure Machine Learning 工作區是一項 Azure 資源。 就像其他 Azure 資源一樣，新的 Azure Machine Learning 工作區建立時，會隨附預設角色。 您可以將使用者新增至工作區，並將使用者指派到其中一個內建角色。 如需詳細資訊，請參閱 Azure Machine Learning 預設角色和 Azure 內建角色。 重要：您可以將角色存取權的範圍限制在 Azure 中的多個層級。 例如，具有工作區擁有者存取權的人員，可能沒有該工作區所屬資源群組的擁有者存取權。 如需詳細資訊，請參閱 Azure RBAC 的運作方式。 如果您是 Azure ML 工作區的擁有者，您可以新增和移除工作區的角色，並將角色指派給使用者。 如需詳細資訊，請參閱 - Azure 入口網站 - PowerShell - Azure CLI - REST API - Azure 資源管理員範本 - Azure Machine Learning CLI 如果內建角色不足，您也可以建立自訂角色。 自訂角色可具有該工作區中的讀取、寫入、刪除和計算資源權限。 您可以在特定工作區層級、特定資源群組層級或特定訂用帳戶層級提供該角色。 如需詳細資訊，請參閱建立自訂角色。

提交筆記本的意見反應

提交意見反應、功能要求、Bug 報告或現有筆記本的改善。 請移至 Microsoft Sentinel GitHub 存放庫以建立問題或分支並上傳貢獻項目。

相關內容

• 使用 Jupyter 筆記本搜捕安全性威脅
• 在 Microsoft Sentinel 中開始使用 Jupyter 筆記本和 MSTICPy
• 主動搜捕威脅
• 使用 Microsoft Sentinel 在搜捕時持續追蹤資料

如需部落格、影片和其他資源，請參閱：

• 建立您的第一個 Microsoft Sentinel 筆記本 (部落格系列)
• 教學課程：Microsoft Sentinel 筆記本 - 使用者入門 (影片)
• 教學課程：編輯和值行 Jupyter 筆記本而不需離開 Azure Machine Learning 工作室 (影片)
• 使用 AzureMicrosoft Sentinel Notebooks 偵測認證外洩 (影片)
• 網路研討會：Microsoft Sentinel 筆記本基本概念 (影片)
• Jupyter、msticpy 和 Microsoft Sentinel