Jupyter 筆記本結合了完整的可程式性與大量程式庫集合,以便進行機器學習、視覺化和資料分析。 這些屬性讓 Jupyter 成為安全性調查和搜捕的強大工具。
Microsoft Sentinel 的基礎是資料存放區;其結合了高效能查詢、動態結構描述,並可擴充為大量資料磁碟區。 Azure 入口網站和全部 Microsoft Sentinel 工具都會使用通用 API 來存取此資料存放區。 相同的 API 也適用於外部工具,例如 Jupyter Notebook 和 Python。
重要
Microsoft Sentinel 已在 Microsoft Defender 入口網站全面推出,包括對於沒有 Microsoft Defender XDR 或 E5 授權的客戶。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
何時使用 Jupyter 筆記本
雖然在入口網站中可以執行許多常見工作,但 Jupyter 會擴充您可使用此資料來執行的作業範圍。
例如,使用筆記本:
- 執行分析,這些分析在 Microsoft Sentinel 中不是預設提供的,例如某些 Python 機器學習功能。
- 在 Microsoft Sentinel 中建立不提供的資料視覺化,例如自訂時間軸和流程樹圖。
- 整合 Microsoft Sentinel 以外的數據源,例如內部部署數據集。
我們已將 Jupyter 體驗整合到 Azure 入口網站中,讓您得以輕鬆地建立及執行 Notebook 來分析您的資料。 Kqlmagic 庫提供中介功能,可以讓您將從 Microsoft Sentinel 提取的 Kusto 查詢語言 (KQL) 語法查詢,直接在筆記本中執行。
某些由 Microsoft 的安全性分析師開發的多個筆記本會與 Microsoft Sentinel 封裝在一起:
- 其中有些 Notebook 是針對特定案例而建立,可按現況使用。
- 其他則是作為範例,解釋您可複製或改寫以在自己的 Notebook 中使用的技術和功能。
從 Microsoft Sentinel GitHub 存放庫匯入其他筆記本。
Jupyter Notebook 如何運作
Notebook 有兩個元件:
- 瀏覽器型介面,您可以在其中輸入並執行查詢和程序代碼,以及顯示執行結果的位置。
- 負責剖析和執行代碼本身的<核心>。
Microsoft Sentinel 筆記本的核心會在 Azure 虛擬機器 (VM) 上執行。 VM 執行個體可以支援一次執行許多筆記本。 如果您的筆記本包含複雜的機器學習模型,您有數個授權選項可使用更強大的虛擬機器。
了解 Python 套件
Microsoft Sentinel 筆記本使用許多熱門的 Python 連結庫,例如 pandas、 matplotlib、 bokeh 和其他連結庫。 有很多其他 Python 套件可供您選擇,涵蓋的範圍如下:
- 視覺效果和圖形
- 資料處理和分析
- 統計資料和數值計算
- 機器學習和深度學習
為了避免將複雜且重複的程式代碼輸入或貼到筆記本數據格中,大部分的 Python 筆記本都依賴稱為 套件的第三方連結庫。 若要在筆記本中使用套件,您必須安裝並匯入套件。 Azure Machine Learning Compute 已預先安裝最常見的套件。 請確定您匯入封裝或套件的相關部分,例如模組、檔案、函數或類別。
Microsoft Sentinel 筆記本會使用稱為 MSTICPy 的 Python 套件,這是用於數據擷取、分析、擴充和視覺效果的網路安全性工具集合。
MSTICPy 工具的具體設計訴求是要協助建立用於搜捕和調查的筆記本,而且我們正積極開發新功能和改進功能。 如需詳細資訊,請參閱
- MSTIC Jupyter 和 Python 安全性工具檔
- 在 Microsoft Sentinel 中開始使用 Jupyter Notebook 和 MSTICPy
- Microsoft Sentinel 中 Jupyter Notebook 和 MSTICPy 的進階設定
尋找筆記本
在 Microsoft Sentinel 中,選取 [Notebooks],以查看 Microsoft Sentinel Microsoft 提供的筆記本。 透過探索像是 Azure Log Analytics 的憑證掃描 和 引導式調查 - 程序警示 的筆記本範本,深入瞭解如何在威脅搜捕和調查中使用筆記本。
由 Microsoft 或社群提供建置的更多筆記本,請前往 Microsoft Sentinel GitHub 存放庫。 使用 Microsoft Sentinel GitHub 存放庫中共用的筆記本,做為您在開發自己的筆記本時可以使用的工具、圖解和程式碼範例。
Sample-Notebooks目錄包含與資料一起儲存的範例筆記本,可供您用來顯示預期的輸出。HowTos目錄包含說明概念的筆記本,例如設定預設 Python 版本、從筆記本建立 Microsoft Sentinel 書籤等等。
管理 Microsoft Sentinel 筆記本的存取
若要在 Microsoft Sentinel 中使用 Jupyter 筆記本,視您的使用者角色而定,您必須先擁有正確的權限。
雖然您可以在 JupyterLab 或 Jupyter 經典版本中執行 Microsoft Sentinel 筆記本,但在 Microsoft Sentinel 中,筆記本會在 Azure Machine Learning 平臺上執行。 若要在 Microsoft Sentinel 中執行筆記本,您必須擁有Microsoft Sentinel 工作區和 Azure Machine Learning 工作區的適當存取權。
| 權限 | 描述 |
|---|---|
| Microsoft Sentinel 許可權 | 如同其他 Microsoft Sentinel 資源,若要存取 Microsoft Sentinel 筆記本刀鋒視窗上的筆記本,則需要 Microsoft Sentinel 閱讀程式、Microsoft Sentinel 回應程式或 Microsoft Sentinel 參與者角色。 如需詳細資訊,請參閱 Sentinel Microsoft的許可權。 |
| Azure Machine Learning 許可權 | Azure Machine Learning 工作區是一項 Azure 資源。 就像其他 Azure 資源一樣,新的 Azure Machine Learning 工作區建立時,會隨附預設角色。 您可以將使用者新增至工作區,並將使用者指派到其中一個內建角色。 如需詳細資訊,請參閱 Azure Machine Learning 預設角色 和 Azure 內建角色。 重要事項:角色存取的範圍可設定為 Azure 中的多個層級。 例如,具有工作區擁有者存取權的人員,可能沒有該工作區所屬資源群組的擁有者存取權。 如需詳細資訊,請參閱 Azure RBAC 的運作方式。 如果您是 Azure ML 工作區的擁有者,您可以新增和移除工作區的角色,並將角色指派給使用者。 如需詳細資訊,請參閱 - Azure 入口網站 - PowerShell - Azure CLI - REST API - Azure Resource Manager 範本 - Azure Machine Learning CLI 如果內建角色不足,您也可以建立自訂角色。 自訂角色可具有該工作區中的讀取、寫入、刪除和計算資源權限。 您可以在特定工作區層級、特定資源群組層級或特定訂用帳戶層級提供該角色。 如需詳細資訊,請參閱 建立自定義角色。 |
提交筆記本的意見反應
提交意見反應、功能要求、Bug 報告或現有筆記本的改善。 移至 Microsoft Sentinel GitHub 存放庫 以建立問題,或派生並上傳貢獻。
相關內容
- 使用 Jupyter Notebook 偵測安全威脅
- 在 Microsoft Sentinel 中開始使用 Jupyter Notebook 和 MSTICPy
- 主動搜捕威脅
- 使用 Microsoft Sentinel 在搜捕期間追蹤數據
如需部落格、影片和其他資源,請參閱: