具有 Microsoft Sentinel 搜捕功能的 Jupyter 筆記本
Jupyter 筆記本結合了完整的可程式性與大量程式庫集合,以便進行機器學習、視覺化和資料分析。 這些屬性讓 Jupyter 成為安全性調查和搜捕的強大工具。
Microsoft Sentinel 的基礎是資料存放區;其結合了高效能查詢、動態結構描述,並可擴充為大量資料磁碟區。 Azure 入口網站和全部 Microsoft Sentinel 工具都會使用通用 API 來存取此資料存放區。 相同的 API 也適用於外部工具,例如 Jupyter Notebook 和 Python。
重要
Microsoft Sentinel 現已在 Microsoft Defender 入口網站中 Microsoft 統一的安全性作業平台中正式推出。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
何時使用 Jupyter 筆記本
雖然在入口網站中可以執行許多常見工作,但 Jupyter 會擴充您可使用此資料來執行的作業範圍。
例如,使用筆記本:
- 在 Microsoft Sentinel 中執行未現成提供的分析,例如一些 Python 機器學習功能
- 在 Microsoft Sentinel 中建立未現成提供的資料視覺效果,例如自訂時間軸和流程樹狀圖
- 整合 Microsoft Sentinel 外部的資料來源,例如內部部署資料集。
我們已將 Jupyter 體驗整合到 Azure 入口網站中,讓您得以輕鬆地建立及執行 Notebook 來分析您的資料。 Kqlmagic 程式庫提供的黏附功能,可讓您從 Microsoft Sentinel 進行 Kusto Query Language (KQL) 查詢,並直接在筆記本內執行查詢。
某些由 Microsoft 的安全性分析師開發的多個筆記本會與 Microsoft Sentinel 封裝在一起:
- 其中有些 Notebook 是針對特定案例而建立,可按現況使用。
- 其他則是作為範例,解釋您可複製或改寫以在自己的 Notebook 中使用的技術和功能。
從 Microsoft Sentinel GitHub 存放庫匯入其他筆記本。
Jupyter Notebook 如何運作
Notebook 有兩個元件:
- 瀏覽器型介面,您可在其中輸入並執行查詢和程式碼,以及顯示執行的結果。
- 負責剖析和執行程式碼本身的「核心程序」。
Microsoft Sentinel 筆記本的核心會在 Azure 虛擬機器 (VM) 上執行。 VM 執行個體可以支援一次執行許多筆記本。 如果您的筆記本包含複雜的機器學習模型,您有數個授權選項可使用更強大的虛擬機器。
了解 Python 套件
Microsoft Sentinel 筆記本會使用許多熱門的 Python 程式庫,例如 pandas、matplotlib、bokeh 和其他程式庫。 有很多其他 Python 套件可供您選擇,涵蓋的範圍如下:
- 視覺效果和圖形
- 資料處理和分析
- 統計資料和數值計算
- 機器學習和深度學習
為了避免在筆記本儲存格中輸入或貼上複雜且重複的程式碼,大部分的 Python 筆記本都仰賴稱為套件的協力廠商程式庫。 若要在筆記本中使用套件,您必須安裝並匯入套件。 Azure Machine Learning Compute 已預先安裝最常見的套件。 請確定您匯入封裝或套件的相關部分,例如模組、檔案、函數或類別。
Microsoft Sentinel 筆記本使用稱為 MSTICPy 的 Python 套件,這是資料擷取、分析、擴充和視覺效果的網路安全性工具集合。
MSTICPy 工具的具體設計訴求是要協助建立用於搜捕和調查的筆記本,而且我們正積極開發新功能和改進功能。 如需詳細資訊,請參閱
- MSTIC Jupyter 和 Python 安全性工具文件
- 在 Microsoft Sentinel 中開始使用 Jupyter 筆記本和 MSTICPy
- Microsoft Sentinel 中 Jupyter 筆記本和 MSTICPy 的進階設定
尋找筆記本
在 Microsoft Sentinel 中,選取 [Notebooks],以查看 Microsoft Sentinel Microsoft 提供的筆記本。 探索筆記本範本,例如 Azure Log Analytics 上的認證掃描和引導式調查 - 處理警示,以深入瞭解在威脅搜捕和調查中使用筆記本。
如需更多由 Microsoft 所建置或來自社群的筆記本,請移至 Microsoft Sentinel GitHub 存放庫。 使用 Microsoft Sentinel GitHub 存放庫中共用的筆記本,做為您在開發自己的筆記本時可以使用的工具、圖解和程式碼範例。
Sample-Notebooks目錄包含與資料一起儲存的範例筆記本,可供您用來顯示預期的輸出。HowTos目錄包含說明概念的筆記本,例如設定預設 Python 版本、從筆記本建立 Microsoft Sentinel 書籤等等。
管理 Microsoft Sentinel 筆記本的存取
若要在 Microsoft Sentinel 中使用 Jupyter 筆記本,視您的使用者角色而定,您必須先擁有正確的權限。
雖然您可以在 JupyterLab 或 Jupyter 傳統中執行 Microsoft Sentinel 筆記本,但 Microsoft Sentinel 中的筆記本是在 Azure Machine Learning 平台上執行。 若要在 Microsoft Sentinel 中執行筆記本,您必須具備 Microsoft Sentinel 工作區和 Azure Machine Learning 工作區的適當存取權。
| 權限 | 描述 |
|---|---|
| Microsoft Sentinel 權限 | 如同其他 Microsoft Sentinel 資源,若要存取 Microsoft Sentinel 筆記本刀鋒視窗上的筆記本,則需要 Microsoft Sentinel 閱讀程式、Microsoft Sentinel 回應程式或 Microsoft Sentinel 參與者角色。 如需詳細資訊,請參閱 Microsoft Sentinel 中的權限。 |
| Azure Machine Learning 權限 | Azure Machine Learning 工作區是一項 Azure 資源。 就像其他 Azure 資源一樣,新的 Azure Machine Learning 工作區建立時,會隨附預設角色。 您可以將使用者新增至工作區,並將使用者指派到其中一個內建角色。 如需詳細資訊,請參閱 Azure Machine Learning 預設角色和 Azure 內建角色。 重要:您可以將角色存取權的範圍限制在 Azure 中的多個層級。 例如,具有工作區擁有者存取權的人員,可能沒有該工作區所屬資源群組的擁有者存取權。 如需詳細資訊,請參閱 Azure RBAC 的運作方式。 如果您是 Azure ML 工作區的擁有者,您可以新增和移除工作區的角色,並將角色指派給使用者。 如需詳細資訊,請參閱 - Azure 入口網站 - PowerShell - Azure CLI - REST API - Azure 資源管理員範本 - Azure Machine Learning CLI 如果內建角色不足,您也可以建立自訂角色。 自訂角色可具有該工作區中的讀取、寫入、刪除和計算資源權限。 您可以在特定工作區層級、特定資源群組層級或特定訂用帳戶層級提供該角色。 如需詳細資訊,請參閱建立自訂角色。 |
提交筆記本的意見反應
提交意見反應、功能要求、Bug 報告或現有筆記本的改善。 請移至 Microsoft Sentinel GitHub 存放庫以建立問題或分支並上傳貢獻項目。
相關內容
- 使用 Jupyter 筆記本搜捕安全性威脅
- 在 Microsoft Sentinel 中開始使用 Jupyter 筆記本和 MSTICPy
- 主動搜捕威脅
- 使用 Microsoft Sentinel 在搜捕時持續追蹤資料
如需部落格、影片和其他資源,請參閱: