使用 Jupyter Notebook 搜捕安全性威脅

• 適用於:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

在安全性調查和搜捕中，啟動並執行 Jupyter Notebook，以程式設計方式分析您的數據。

在本文中，您會建立 Azure 機器學習 工作區、從 Microsoft Sentinel 啟動 Notebook 到 Azure 機器學習 工作區，並在筆記本中執行程序代碼。

重要

Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺公開預覽的一部分。 如需詳細資訊，請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。

必要條件

建議您先瞭解 Microsoft Sentinel 筆記本，再完成本文中的步驟。 請參閱 使用 Jupyter Notebook 來搜尋安全性威脅。

若要使用 Microsoft Sentinel 筆記本，您必須具有下列角色和許可權：

類型	詳細資料
Microsoft Sentinel	- Microsoft Sentinel 參與者角色，以便儲存並啟動 Microsoft Sentinel 的筆記本
Azure Machine Learning	- 資源群組層級擁有者或參與者角色，視需要建立新的 Azure 機器學習 工作區。 - 您在 Azure 機器學習 工作區上執行 Microsoft Sentinel 筆記本的參與者角色。 如需詳細資訊，請參閱管理對 Azure Machine Learning 工作區的存取。

從 Microsoft Sentinel 建立 Azure 機器學習 工作區

若要建立工作區，請根據您使用的是公用或私人端點，選取下列其中一個索引標籤。

• 當您的 Microsoft Sentinel 工作區有公用端點時，建議您使用公用端點 ，以避免網路通訊中的潛在問題。
• 如果您想要在虛擬網路中使用 Azure 機器學習 工作區，請使用私人端點。

公用端點

1. 針對 Azure 入口網站 中的 Microsoft Sentinel，在 [威脅管理] 底下，選取 [筆記本]。
   針對 Defender 入口網站中的 Microsoft Sentinel，選取 [Microsoft Sentinel>威脅管理>筆記本]。

2. 選取 [設定 Azure 機器學習> 建立新的 AML 工作區。

3. 輸入下列詳細數據，然後選取 [ 下一步]。

   欄位	描述
   訂用帳戶	選取您要使用的 Azure 訂用帳戶。
   資源群組	使用您訂用帳戶中現有的資源群組，或輸入名稱來建立新的資源群組。 資源群組會保留 Azure 方案的相關資源。
   工作區名稱	輸入可識別您工作區的唯一名稱。 名稱必須是整個資源群組中唯一的。 請使用可輕鬆回想並且與其他人建立的工作區有所區別的名稱。
   區域	選取最接近使用者的位置和數據資源，以建立工作區。
   儲存體帳戶	記憶體帳戶會作為工作區的預設數據存放區。 您可以建立新的 Azure 儲存體 資源，或選取訂用帳戶中的現有資源。
   KeyVault	金鑰保存庫可用來儲存工作區所需的秘密和其他敏感性資訊。 您可以建立新的 Azure 金鑰保存庫 資源，或選取訂用帳戶中的現有資源。
   Application insights	工作區會使用 Azure 應用程式 Insights 來儲存已部署模型的監視資訊。 您可以建立新的 Azure 應用程式 Insights 資源，或選取您訂用帳戶中的現有資源。
   Container Registry：	容器登錄可用來註冊定型和部署中使用的 Docker 映像。 為了降低成本，只有在您建置第一個映像之後，才會建立新的 Azure Container Registry 資源。 或者，您可以選擇立即建立資源，或選取訂用帳戶中的現有資源，或如果您不想使用任何容器登錄，請選取 [無 ]。

4. 在 [ 網络] 索引標籤上 ，選取 [ 啟用來自所有網络的公用存取]。

   在 [ 進階 ] 或 [卷標] 索引標籤 中定義任何相關設定，然後選取 [ 檢閱 + 建立]。

5. 在 [ 檢閱 + 建立 ] 索引卷標上，檢閱資訊以確認其正確無誤，然後選取 [建立 ] 以開始部署工作區。 例如：

   

   在雲端中建立工作區可能需要數分鐘的時間。 在此期間，工作區 [概觀 ] 頁面會顯示目前的部署狀態，並在部署完成時更新。

私人端點

此程式中的步驟會在相關時參考 Azure 機器學習 檔中的特定文章。 如需詳細資訊，請參閱如何建立安全的 Azure 機器學習 工作區。

1. 在虛擬網路內建立虛擬機 （VM） 跳躍方塊。 由於虛擬網路會限制公用因特網的存取，因此跳躍方塊會用來連線到虛擬網路後方的資源。

2. 存取跳躍方塊，然後移至您的 Microsoft Sentinel 工作區。 我們建議使用 Azure Bastion 來存取 VM。

3. 針對 Azure 入口網站 中的 Microsoft Sentinel，在 [威脅管理] 底下，選取 [筆記本]。
   針對 Defender 入口網站中的 Microsoft Sentinel，選取 [Microsoft Sentinel>威脅管理>筆記本]。

4. 選取 [設定 Azure 機器學習> 建立新的 AML 工作區。

5. 輸入下列詳細數據，然後選取 [ 下一步]。

   欄位	描述
   訂用帳戶	選取您要使用的 Azure 訂用帳戶。
   資源群組	使用您訂用帳戶中現有的資源群組，或輸入名稱來建立新的資源群組。 資源群組會保留 Azure 方案的相關資源。
   工作區名稱	輸入可識別您工作區的唯一名稱。 名稱必須是整個資源群組中唯一的。 請使用可輕鬆回想並且與其他人建立的工作區有所區別的名稱。
   區域	選取最接近使用者的位置和數據資源，以建立工作區。
   儲存體帳戶	記憶體帳戶會作為工作區的預設數據存放區。 您可以建立新的 Azure 儲存體 資源，或選取您訂用帳戶中的現有資源。
   KeyVault	金鑰保存庫可用來儲存工作區所需的秘密和其他敏感性資訊。 您可以建立新的 Azure 金鑰保存庫 資源，或選取訂用帳戶中的現有資源。
   Application insights	工作區會使用 Azure 應用程式 Insights 來儲存已部署模型的監視資訊。 您可以建立新的 Azure 應用程式 Insights 資源，或選取您訂用帳戶中的現有資源。
   Container Registry：	容器登錄可用來註冊定型和部署中使用的 Docker 映像。 為了降低成本，只有在您建置第一個映像之後，才會建立新的 Azure Container Registry 資源。 或者，您可以選擇立即建立資源，或選取訂用帳戶中的現有資源，或如果您不想使用任何容器登錄，請選取 [無 ]。

6. 在 [ 網络] 索引 標籤上，選取 [ 停用公用存取並使用私人端點]。 請務必使用與 VM 跳躍方塊中相同的虛擬網路。 例如：

   

7. 在 [ 進階 ] 或 [卷標] 索引標籤 中定義任何相關設定，然後選取 [ 檢閱 + 建立]。

8. 在 [ 檢閱 + 建立 ] 索引卷標上，檢閱資訊以確認其正確無誤，然後選取 [建立 ] 以開始部署工作區。 例如：

   

   在雲端中建立工作區可能需要數分鐘的時間。 在此期間，工作區 [概觀 ] 頁面會顯示目前的部署狀態，並在部署完成時更新。

9. 在 [Azure Machine Learning 工作室] 的 [計算] 頁面上，建立新的計算。 在 [進階 設定] 索引標籤上，請務必選取您用於 VM 跳躍方塊的相同虛擬網路。 如需詳細資訊，請參閱建立和管理 Azure Machine Learning 計算執行個體。

10. 設定您的網路流量，以從防火牆後方存取 Azure 機器學習。 如需詳細資訊，請參閱設定輸入和輸出網路流量。

繼續執行下列其中一組步驟：

• 如果您只有一個私人連結：您現在可以透過下列任一方法存取筆記本：

  • 將筆記本從 Microsoft Sentinel 複製並啟動至 Azure 機器學習
  • 手動將筆記本上傳至 Azure 機器學習
  • 在 Azure 機器學習 終端機上複製 Microsoft Sentinel Notebooks GitHub 存放庫

• 如果您有另一個使用不同 VNET 的私人連結，請執行下列動作：

  1. 在 Azure 入口網站 中，移至 Azure 機器學習 工作區的資源群組，然後搜尋名為 privatelink.api.azureml.ms 和 privatelink.notebooks.azure.ms 的 私用 DNS 區域資源。 例如：

     

  2. 針對每個資源，包括 privatelink.api.azureml.ms 和 privatelink.notebooks.azure.ms，新增虛擬網路連結。

     選取 [新增] 資源 >[虛擬網络連結>]。 如需詳細資訊，請參閱連結虛擬網路。

如需詳細資訊，請參閱

• 使用安全工作區時的網路流量
• 使用虛擬網路 (VNet) 保護 Azure Machine Learning 工作區資源

部署完成之後，請返回 Microsoft Sentinel 中的 Notebook，然後從新的 Azure 機器學習 工作區啟動筆記本。

如果您有多個筆記本，請務必選取啟動筆記本時要使用的預設 AML 工作區。 例如：

在 Azure 機器學習 工作區中啟動筆記本

建立 Azure 機器學習 工作區之後，請從 Microsoft Sentinel 啟動該工作區中的筆記本。

1. 針對 Azure 入口網站 中的 Microsoft Sentinel，在 [威脅管理] 底下，選取 [筆記本]。
   針對 Defender 入口網站中的 Microsoft Sentinel，選取 [Microsoft Sentinel>威脅管理>筆記本]。

2. 選取 [ 範本] 索引標籤以查看 Microsoft Sentinel 提供的筆記本。

3. 選取筆記本以檢視其描述、必要的數據類型和數據源。

4. 當您找到要使用的筆記本時，請選取 [從範本建立]，然後選取 [儲存] 將其複製到您自己的工作區。

5. 視需要編輯名稱。 如果筆記本已存在於您的工作區中，請覆寫現有的筆記本或建立新的筆記本。 根據預設，您的筆記本會儲存在所選 AML 工作區的 /Users/<Your_User_Name>/ 目錄中。

   

6. 儲存筆記本之後，[儲存筆記本] 按鈕會變更為 [啟動筆記本]。 選取 [ 啟動筆記本 ] 以在您的 AML 工作區中開啟。

   例如：

   

7. 在頁面頂端，選取 要用於筆記本伺服器的計算 實例。

   如果您沒有計算實例， 請建立新的實例。 如果您的計算實例已停止，請務必啟動它。 如需詳細資訊，請參閱在 Azure Machine Learning 工作室 中執行筆記本。

   只有您可以查看和使用您所建立的計算執行個體。 您的使用者檔案會與 VM 分開儲存，且會在工作區中的所有計算實例之間共用。

   如果您要建立新的計算實例來測試筆記本，請使用一般用途類別建立計算實例。

   核心也會顯示在 Azure 機器學習 視窗的右上方。 如果未選取您需要的核心，請從下拉式清單中選取不同的版本。

8. 建立並啟動筆記本伺服器之後，請執行筆記本數據格。 在每個數據格中，選取 [ 執行 ] 圖示以執行筆記本程序代碼。

   如需詳細資訊，請參閱 命令模式快捷方式。

9. 如果您的筆記本停止回應或想要重新開始，您可以重新啟動核心，並從頭重新執行筆記本數據格。 如果您重新啟動核心，則會刪除變數和其他狀態。 重新啟動之後，請重新執行任何初始化和驗證數據格。

   若要重新開始，請選取 [核心作業>重新啟動核心]。 例如：

   

在筆記本中執行程序代碼

一律依序執行筆記本程式代碼數據格。 略過儲存格可能會導致錯誤。

在筆記本中：

• Markdown 儲存格具有文字，包括 HTML 和靜態影像。
• 程式代碼 儲存格包含程序代碼。 選取程式代碼數據格之後，請選取 單元格左邊的 [播放 ] 圖示，或按 SHIFT+ENTER，在單元格中執行程序代碼。

例如，在您的筆記本中執行下列程式代碼數據格：

# This is your first code cell. This cell contains basic Python code.

# You can run a code cell by selecting it and then selecting
# the Play button to the left of the cell, or by pressing SHIFT+ENTER.
# Code output displays below the code.

print("Congratulations, you just ran this code cell")

y = 2 + 2

print("2 + 2 =", y)

範例程式代碼會產生下列輸出：

Congratulations, you just ran this code cell

2 + 2 = 4

筆記本程式代碼儲存格內設定的變數會儲存在儲存格之間，因此您可以將儲存格鏈結在一起。 例如，下列程式代碼儲存格會使用上一個儲存格中的 值 y ：

# Note that output from the last line of a cell is automatically
# sent to the output cell, without needing the print() function.

y + 2

輸出如下：

6

下載所有 Microsoft Sentinel 筆記本

本節說明如何使用 Git，直接從 Microsoft Sentinel Notebook 內部下載 Microsoft Sentinel GitHub 存放庫中可用的所有筆記本，直接下載到 Azure 機器學習 工作區。

將 Microsoft Sentinel 筆記本儲存在 Azure 機器學習 工作區中，可讓您輕鬆地更新這些筆記本。

1. 從 Microsoft Sentinel Notebook 中，將下列程式代碼輸入空白數據格，然後執行數據格：

   !git clone https://github.com/Azure/Azure-Sentinel-Notebooks.git azure-sentinel-nb
   

   GitHub 存放庫內容的複本會建立在 Azure 機器學習 工作區中使用者資料夾的 azure-Sentinel-nb 目錄中。

2. 將您想要的筆記本從這個資料夾複製到您的工作目錄。

3. 若要使用 GitHub 中任何最近的變更來更新筆記本，請執行：

   !cd azure-sentinel-nb && git pull
   

相關內容

• 具有 Microsoft Sentinel 搜捕功能的 Jupyter Notebook
• 在 Microsoft Sentinel 中開始使用 Jupyter Notebook 和 MSTICPy