Pro bezpečnostní hrozby použít Jupyter NotebookUse Jupyter Notebook to hunt for security threats

Základem Azure Sentinel je úložiště dat; kombinuje dotazování s vysokým výkonem, dynamické schéma a škáluje na obrovské objemy dat.The foundation of Azure Sentinel is the data store; it combines high-performance querying, dynamic schema, and scales to massive data volumes. Azure Portal a všechny nástroje Sentinel Azure používají pro přístup k tomuto úložišti dat společné rozhraní API.The Azure portal and all Azure Sentinel tools use a common API to access this data store. Stejné rozhraní API je také k dispozici pro externí nástroje, jako jsou Jupyter notebooky a Python.The same API is also available for external tools such as Jupyter notebooks and Python. I když je možné na portálu provádět mnoho běžných úloh, Jupyter rozšiřuje rozsah toho, co můžete s těmito daty dělat.While many common tasks can be carried out in the portal, Jupyter extends the scope of what you can do with this data. Kombinuje plnou programovatelnost s velkou kolekcí knihoven pro strojové učení, vizualizaci a analýzu dat.It combines full programmability with a huge collection of libraries for machine learning, visualization, and data analysis. Tyto atributy Jupyter přesvědčivý Nástroj pro vyšetřování a lov zabezpečení.These attributes make Jupyter a compelling tool for security investigation and hunting.

Příklad poznámkového bloku

Prostředí Jupyter jsme integroval do Azure Portal, což usnadňuje vytváření a spouštění poznámkových bloků pro analýzu dat.We've integrated the Jupyter experience into the Azure portal, making it easy for you to create and run notebooks to analyze your data. Knihovna Kqlmagic poskytuje připevňování, který umožňuje převzít dotazy z Sentinel Azure a spustit je přímo v poznámkovém bloku.The Kqlmagic library provides the glue that lets you take queries from Azure Sentinel and run them directly inside a notebook. Dotazy používají dotazovací jazyk Kusto.Queries use the Kusto Query Language. Několik poznámkových bloků vyvinutých analytiky zabezpečení Microsoftu se zabalí do Azure Sentinel.Several notebooks, developed by some of Microsoft's security analysts, are packaged with Azure Sentinel. Některé z těchto poznámkových bloků jsou sestaveny pro konkrétní scénář a lze je použít tak, jak jsou.Some of these notebooks are built for a specific scenario and can be used as-is. Jiné jsou určené jako vzorky k ilustraci techniků a funkcí, které můžete zkopírovat nebo přizpůsobit pro použití ve vlastních poznámkových blocích.Others are intended as samples to illustrate techniques and features that you can copy or adapt for use in your own notebooks. Další poznámkové bloky se můžou importovat taky z GitHubu komunity služby Azure Sentinel.Other notebooks may also be imported from the Azure Sentinel Community GitHub.

Integrované prostředí Jupyter používá Azure Notebooks k ukládání, sdílení a spouštění poznámkových bloků.The integrated Jupyter experience uses Azure Notebooks to store, share, and execute notebooks. Tyto poznámkové bloky můžete také spustit místně, pokud máte prostředí Pythonu a Jupyter na vašem počítači nebo v jiných prostředích JupterHub, jako je například Azure Databricks.You can also run these notebooks locally if you have a Python environment and Jupyter on your computer, or in other JupterHub environments such as Azure Databricks.

Poznámkové bloky mají dvě komponenty:Notebooks have two components:

  • Rozhraní založené na prohlížeči, kde zadáváte a spouštíte dotazy a kód a kde se zobrazují výsledky spuštění.The browser-based interface where you enter and run queries and code, and where the results of the execution are displayed.
  • Jádro , které zodpovídá za analýzu a provádění samotného kódu.A kernel that is responsible for parsing and executing the code itself.

Jádro poznámkového bloku Azure Sentinel běží na virtuálním počítači Azure (VM).The Azure Sentinel notebook's kernel runs on an Azure virtual machine (VM). K dispozici je několik možností licencování, které umožňují využívat výkonnější virtuální počítače, pokud vaše notebooky obsahují složité modely strojového učení.Several licensing options exist to leverage more powerful virtual machines if your notebooks include complex machine learning models.

Poznámkové bloky Azure Sentinel používají spoustu oblíbených knihoven Pythonu, jako jsou PANDAS, matplotlib, rozostření a další.The Azure Sentinel notebooks use many popular Python libraries such as pandas, matplotlib, bokeh, and others. Existuje spousta dalších balíčků Pythonu, ze kterých si můžete vybrat, včetně oblastí, jako jsou:There are a great many other Python packages for you to choose from, covering areas such as:

  • Vizualizace a grafikaVisualizations and graphics
  • Zpracování a analýza datData processing and analysis
  • Statistiky a číselné výpočtyStatistics and numerical computing
  • Strojové učení a hluboké učeníMachine learning and deep learning

Také jsme vydali nějaké open source nástroje zabezpečení Jupyter v balíčku s názvem msticpy.We've also released some open-source Jupyter security tools in a package named msticpy. Tento balíček se používá v mnoha zahrnutých poznámkových blocích.This package is used in many of the included notebooks. Nástroje Msticpy jsou navržené specificky pro pomoc s vytvářením poznámkových bloků pro lov a vyšetřování a aktivně pracujeme na nových funkcích a vylepšeních.Msticpy tools are designed specifically to help with creating notebooks for hunting and investigation and we're actively working on new features and improvements.

Úložiště GitHub komunity služby Azure Sentinel je umístění všech budoucích poznámkových bloků služby Azure Sentinel sestavených společností Microsoft nebo, které přispěly od komunity.The Azure Sentinel Community GitHub repository is the location for any future Azure Sentinel notebooks built by Microsoft or contributed from the community.

Chcete-li použít poznámkové bloky, musíte nejprve vytvořit pracovní prostor Azure Machine Learning (ML).To use the notebooks, you must first create an Azure Machine Learning (ML) workspace.

Vytvoření pracovního prostoru Azure MLCreate an Azure ML workspace

  1. V Azure Portal přejděte na Azure Sentinel > Threat management > poznámkové bloky služby Azure Sentinel Threat Management a pak vyberte Spustit Poznámkový blok.From the Azure portal, navigate to Azure Sentinel > Threat management > Notebooks and then select Launch Notebook.

    spustit Poznámkový blok pro spuštění pracovního prostoru Azure mllaunch notebook to start azure ml workspace

  2. V části pracovní prostor AzureML vyberte vytvořit novou.Under AzureML Workspace, select Create New.

    vytvořit pracovní prostorcreate workspace

  3. Na stránce Machine Learning zadejte následující informace a pak vyberte zkontrolovat + vytvořit.On the Machine Learning page, provide the following information, and then select Review + create.

    PoleField PopisDescription
    PředplatnéSubscription Vyberte předplatné Azure, které chcete použít.Select the Azure subscription that you want to use.
    Skupina prostředkůResource group Použijte stávající skupinu prostředků, kterou máte v předplatném, nebo zadejte název a vytvořte novou skupinu prostředků.Use an existing resource group in your subscription or enter a name to create a new resource group. Skupina prostředků obsahuje související prostředky pro řešení Azure.A resource group holds related resources for an Azure solution. V tomto příkladu používáme AzureMLRG.In this example, we use AzureMLRG.
    Název pracovního prostoruWorkspace name Zadejte jedinečný název, který identifikuje váš pracovní prostor.Enter a unique name that identifies your workspace. V tomto příkladu používáme testworkspace1.In this example, we use testworkspace1. Názvy musí být v rámci skupiny prostředků jedinečné.Names must be unique across the resource group. Použijte název, který se dá snadno vyvolat a odlišit z pracovních prostorů vytvořených jinými uživateli.Use a name that's easy to recall and to differentiate from workspaces created by others.
    OblastRegion Vyberte umístění, které je nejblíže vašim uživatelům a datovým prostředkům, abyste mohli vytvořit pracovní prostor.Select the location closest to your users and the data resources to create your workspace.
    Edice pracovního prostoruWorkspace edition V tomto příkladu jako typ pracovního prostoru vyberte Basic .Select Basic as the workspace type in this example. Typ pracovního prostoru (Basic & Enterprise) určuje funkce, ke kterým budete mít přístup a ceny.The workspace type (Basic & Enterprise) determines the features to which you'll have access and pricing.

    zadat podrobnosti pracovního prostoruprovide workspace details

  4. Zkontrolujte informace, ověřte, zda je správná, a pak vyberte vytvořit a spusťte nasazení pracovního prostoru.Review the information, verify that it is correct, and then select Create to start the deployment of your workspace.

    zkontrolovat podrobnosti pracovního prostorureview workspace details

    Vytvoření pracovního prostoru v cloudu může trvat několik minut, než se na stránce Přehled zobrazí aktuální stav nasazení.It can take several minutes to create your workspace in the cloud during which time the Overview page displays the current deployment status.

    nasazení pracovního prostoruworkspace deployment

Po dokončení nasazení můžete poznámkové bloky spustit v novém pracovním prostoru Azure ML.Once your deployment is complete, you can launch notebooks in your new Azure ML workspace.

nasazení pracovního prostoru bylo úspěšné.workspace deployment succeeded

Spuštění poznámkového bloku pomocí pracovního prostoru Azure MLLaunch a notebook using your Azure ML workspace

  1. V Azure Portal přejděte na Azure Sentinel > Threat management > poznámkové bloky služby Azure Sentinel Threat Management, kde vidíte poznámkové bloky, které poskytuje Azure Sentinel.From the Azure portal, navigate to Azure Sentinel > Threat management > Notebooks, where you can see notebooks that Azure Sentinel provides.

    Tip

    Vyberte možnost průvodci & zpětnou vazbu a otevřete tak podokno s další nápovědu a pokyny pro poznámkové bloky.Select Guides & Feedback to open a pane with additional help and guidance on notebooks. Zobrazit průvodce pro Poznámkový blokview notebook guides

  2. Vyberte jednotlivé poznámkové bloky pro zobrazení jejich popisů, požadovaných datových typů a zdrojů dat.Select individual notebooks to view their descriptions, required data types, and data sources.

    Zobrazit podrobnosti poznámkového blokuview notebook details

  3. Vyberte Poznámkový blok, který chcete použít, a pak vyberte Spustit Poznámkový blok pro klonování a konfiguraci poznámkového bloku do nového projektu Azure Notebooks, který se připojuje k vašemu pracovnímu prostoru Azure Sentinel.Select the notebook you want to use, and then select Launch Notebook to clone and configure the notebook into a new Azure Notebooks project that connects to your Azure Sentinel workspace. Po dokončení procesu se Poznámkový blok otevře v rámci Azure Notebooks, abyste ho mohli spustit.When the process is complete, the notebook opens within Azure Notebooks for you to run.

    vybrat Poznámkový blokselect notebook

  4. V části pracovní prostor AzureML vyberte pracovní prostor Azure ML a pak vyberte Spustit.Under AzureML Workspace, select your Azure ML workspace, and then select Launch.

    spustit Poznámkový bloklaunch notebook

  5. Vyberte výpočetní instanci.Select a compute instance. Pokud nemáte výpočetní instanci, udělejte toto:If you don't have a compute instance, do the following:

    1. Vyberte znaménko plus (+) pro spuštění průvodce vytvořením nové instance COMPUTE .Select the plus sign (+) to start the New compute instance wizard.

      Průvodce spuštěním výpočetní instancestart compute instance wizard

    2. Na stránce Nová instance COMPUTE zadejte požadované informace a pak vyberte vytvořit.On the New compute instance page, provide the required information, and then select Create.

      vytvořit výpočetní instancicreate compute instance

  6. Po vytvoření vašeho poznámkového bloku vyberte v každé buňce ikonu spustit, která spustí kód v poznámkových blocích.Once your notebook server is created, within each cell select the run icon to execute code in the notebooks.

    spustit Poznámkový blokrun notebook

DoporučitRecommendations:

  • Rychlý úvod k dotazování na data ve službě Azure Sentinel najdete v části Začínáme poznámkových blocích k Azure ml a průvodci sentinelou v Azure .For a quick introduction to querying data in Azure Sentinel, look at the Getting Started with Azure ML Notebooks and Azure Sentinel guide.

  • Další ukázkové poznámkové bloky najdete v podsložce ukázek a poznámkových bloků GitHubu.You'll find additional sample notebooks in the Sample-Notebooks GitHub subfolder. Tyto ukázkové poznámkové bloky byly uloženy s daty, takže je snazší zobrazit zamýšlený výstup.These sample notebooks have been saved with data, so that it's easier to see the intended output. Doporučujeme zobrazit tyto poznámkové bloky v nbviewer.We recommend viewing these notebooks in nbviewer.

  • Podsložka GitHubu HowTos obsahuje poznámkové bloky, například: nastavení výchozí verze Pythonu, konfigurace DSVM, vytváření záložek Azure Sentinel z poznámkového bloku a další předměty.The HowTos GitHub subfolder contains notebooks describing, for example: Setting you default Python version, configuring a DSVM, creating Azure Sentinel bookmarks from a notebook, and other subjects.

Poskytnuté poznámkové bloky jsou určené jako užitečné nástroje a jako ilustrace a ukázky kódu, které můžete použít při vývoji vlastních poznámkových bloků.The notebooks provided are intended as both useful tools and as illustrations and code samples that you can use in the development of your own notebooks.

Uvítáme zpětnou vazbu, ať už návrhy, žádosti o funkce, přidané poznámkové bloky, zprávy o chybách nebo vylepšení a přidání do stávajících poznámkových bloků.We welcome feedback, whether suggestions, requests for features, contributed Notebooks, bug reports or improvements and additions to existing notebooks. Pokud chcete vytvořit problém nebo rozvětvení a nahrát příspěvek, přejít na GitHub komunity služby Azure Sentinel .Go to the Azure Sentinel Community GitHub to create an issue or fork and upload a contribution.

Další krokyNext steps

V tomto článku jste zjistili, jak začít používat Jupyter Notebook ve službě Azure Sentinel.In this article, you learned how to get started using Jupyter Notebook in Azure Sentinel. Další informace o Sentinel Azure najdete v následujících článcích:To learn more about Azure Sentinel, see the following articles: