具有 Microsoft Sentinel 搜捕功能的 Jupyter Notebook
Jupyter Notebook 結合了完整的可程式設計性,以及適用於機器學習、視覺效果和數據分析的大量連結庫集合。 這些屬性讓 Jupyter 成為安全性調查和搜捕的強大工具。
Microsoft Sentinel 的基礎是數據存放區;它會結合高效能查詢、動態架構,以及調整為大量數據量。 Azure 入口網站 和所有 Microsoft Sentinel 工具都會使用通用 API 來存取此資料存放區。 相同的 API 也適用於外部工具,例如 Jupyter Notebook 和 Python。
重要
Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺公開預覽的一部分。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
使用 Jupyter 筆記本的時機
雖然您可以在入口網站中執行許多一般工作,但 Jupyter 會擴充您可以使用此資料執行的工作範圍。
例如,使用筆記本來:
- 執行 Microsoft Sentinel 中未提供現成的分析 ,例如某些 Python 機器學習功能
- 在 Microsoft Sentinel 中建立未提供現成的數據視覺效果 ,例如自定義時程表和處理樹狀結構
- 在 Microsoft Sentinel 外部整合數據源 ,例如內部部署數據集。
我們已將 Jupyter 體驗整合到 Azure 入口網站,讓您輕鬆地建立和執行筆記本來分析數據。 Kqlmagic 連結庫提供膠水,可讓您從 Microsoft Sentinel 取得 Kusto 查詢語言 (KQL) 查詢,並直接在筆記本內執行查詢。
一些 Microsoft 安全性分析師開發的數個筆記本會與 Microsoft Sentinel 一起封裝:
- 其中有些筆記本是針對特定案例所建置,而且可以依目前方式使用。
- 其他則是範例,用來說明您可以複製或調整以用於您自己的筆記本的技術與功能。
從 Microsoft Sentinel GitHub 存放庫匯入其他筆記本。
Jupyter Notebook 的運作方式
筆記本有兩個元件:
- 瀏覽器型介面,您可以在其中輸入並執行查詢和程序代碼,以及顯示執行結果的位置。
- 負責剖析和執行程序代碼本身的核心。
Microsoft Sentinel Notebook 的核心會在 Azure 虛擬機 (VM) 上執行。 VM 實例可以支援一次執行許多筆記本。 如果您的筆記本包含複雜的機器學習模型,則有幾個授權選項可用來使用更強大的虛擬機。
瞭解 Python 套件
Microsoft Sentinel 筆記本使用許多熱門的 Python 連結庫,例如 pandas、 matplotlib、 bokeh 和其他連結庫。 有許多其他 Python 套件可供您選擇,涵蓋下列區域:
- 視覺效果和圖形
- 數據處理和分析
- 統計數據和數值運算
- 機器學習和深度學習
為了避免將複雜且重複的程式代碼輸入或貼到筆記本數據格中,大部分的 Python 筆記本都依賴稱為 套件的第三方連結庫。 若要在筆記本中使用套件,您必須同時安裝及匯入套件。 Azure 機器學習 Compute 已安裝最常見的套件。 請確定您匯入封裝或封裝的相關部分,例如模組、檔案、函式或類別。
Microsoft Sentinel Notebook 會使用名為 MSTICPy 的 Python 套件,這是用於數據擷取、分析、擴充和視覺效果的網路安全性工具集合。
MSTICPy 工具專為協助建立筆記本進行搜捕和調查而設計,我們正積極研究新功能和改進功能。 如需詳細資訊,請參閱
- MSTIC Jupyter 和 Python 安全性工具檔
- 在 Microsoft Sentinel 中開始使用 Jupyter Notebook 和 MSTICPy
- Microsoft Sentinel 中 Jupyter Notebook 和 MSTICPy 的進階設定
尋找筆記本
在 Microsoft Sentinel 中,選取 [筆記本] 以查看 Microsoft Sentinel 提供的筆記本。 探索 Azure Log Analytics 上的認證掃描和引導式調查 - 處理警示等筆記本範本,以深入瞭解在威脅搜捕和調查中使用筆記本。
如需 Microsoft 所建置或從社群貢獻的更多筆記本,請移至 Microsoft Sentinel GitHub 存放庫。 使用 Microsoft Sentinel GitHub 存放庫中共用的筆記本,作為您在開發自己的筆記本時可以使用的實用工具、圖例和程式碼範例。
此
Sample-Notebooks目錄包含與數據一起儲存的範例筆記本,可用來顯示預期的輸出。目錄
HowTos包含說明概念的筆記本,例如設定預設 Python 版本、從筆記本建立 Microsoft Sentinel 書籤等等。
管理 Microsoft Sentinel 筆記本的存取權
若要在 Microsoft Sentinel 中使用 Jupyter Notebook,您必須先擁有正確的許可權,視您的使用者角色而定。
雖然您可以在 JupyterLab 或 Jupyter 傳統中執行 Microsoft Sentinel Notebook,但在 Microsoft Sentinel 中,筆記本會在 Azure 機器學習 平台上執行。 若要在 Microsoft Sentinel 中執行筆記本,您必須擁有 Microsoft Sentinel 工作區和 Azure 機器學習 工作區的適當存取權。
| 權限 | 描述 |
|---|---|
| Microsoft Sentinel 許可權 | 如同其他 Microsoft Sentinel 資源,若要存取 Microsoft Sentinel Notebooks 刀鋒視窗上的筆記本,則需要 Microsoft Sentinel 讀者、Microsoft Sentinel 回應程式或 Microsoft Sentinel 參與者角色。 如需詳細資訊,請參閱 Microsoft Sentinel 中的權限。 |
| Azure 機器學習 許可權 | Azure Machine Learning 工作區是一項 Azure 資源。 如同其他 Azure 資源,建立新的 Azure 機器學習 工作區時,其隨附預設角色。 您可以將使用者新增至工作區,並將其指派給其中一個內建角色。 如需詳細資訊,請參閱 Azure 機器學習 預設角色和 Azure 內建角色。 重要事項:角色存取的範圍可設定為 Azure 中的多個層級。 例如,具有工作區擁有者存取權的人員,可能沒有該工作區所屬資源群組的擁有者存取權。 如需詳細資訊,請參閱 Azure RBAC 的運作方式。 如果您是 Azure ML 工作區的擁有者,您可以新增和移除工作區的角色,並將角色指派給使用者。 如需詳細資訊,請參閱 - Azure 入口網站 - PowerShell - Azure CLI - REST API - Azure 資源管理員範本 - Azure 機器學習 CLI 如果內建角色不足,您也可以建立自定義角色。 自訂角色在該工作區中可能有讀取、寫入、刪除和計算資源許可權。 您可以在特定工作區層級、特定資源群組層級或特定訂用帳戶層級提供該角色。 如需詳細資訊,請參閱 建立自定義角色。 |
提交筆記本的意見反應
提交意見反應、功能要求、Bug 報告或現有筆記本的改善。 移至 Microsoft Sentinel GitHub 存放庫 以建立問題,或派生並上傳貢獻。
相關內容
- 使用 Jupyter Notebook 搜捕安全性威脅
- 在 Microsoft Sentinel 中開始使用 Jupyter Notebook 和 MSTICPy
- 主動搜捕威脅
- 使用 Microsoft Sentinel 搜捕期間追蹤數據
如需部落格、影片和其他資源,請參閱: