Menggunakan Jupyter notebook untuk berburu ancaman keamanan
Notebook Jupyter menggabungkan pemrograman penuh dengan koleksi pustaka yang besar untuk pembelajaran mesin, visualisasi, dan analisis data. Atribut ini menjadikan Jupyter alat yang penting untuk investigasi dan deteksi ancaman keamanan.
Fondasi dari Microsoft Sentinel adalah penyimpanan data; penyimpanan ini menggabungkan kueri dengan performa tinggi, skema dinamis, dan penskalaan terhadap data bervolume besar. Portal Azure dan semua alat Microsoft Sentinel menggunakan API umum untuk mengakses penyimpanan data ini. API yang sama juga tersedia untuk alat eksternal seperti notebook Jupyter dan Python.
Kapan menggunakan notebook Jupyter
Meskipun banyak tugas umum yang dapat dilakukan di portal, Jupyter memperluas cakupan kemampuan Anda dengan data ini.
Misalnya, gunakan buku catatan untuk:
- Melakukan analitik yang tidak disediakan secara langsung di Microsoft Sentinel, seperti beberapa fitur pembelajaran mesin Python
- Membuat visualisasi data yang tidak disediakan secara langsung di Microsoft Sentinel, seperti garis waktu kustom dan pohon proses
- Mengintegrasikan sumber data di luar Microsoft Sentinel, seperti himpunan data lokal.
Kami telah mengintegrasikan pengalaman Jupyter ke portal Azure, sehingga Anda dapat dengan mudah membuat dan menjalankan notebook untuk menganalisis data. Pustaka Kqlmagic menyediakan komponen penggabung yang memungkinkan Anda mengambil kueri KQL dari Microsoft Sentinel dan menjalankannya langsung di dalam notebook.
Beberapa notebook, yang dikembangkan oleh beberapa analis keamanan Microsoft, dipaketkan dengan Microsoft Sentinel:
- Beberapa notebook ini dibuat untuk skenario tertentu dan dapat digunakan sebagaimana adanya.
- Notebook lainnya dimaksudkan sebagai sampel untuk mengilustrasikan teknik dan fitur yang dapat Anda salin atau adaptasikan untuk digunakan di notebook Anda sendiri.
Notebook lain juga dapat diimpor dari Repositori GitHub Microsoft Sentinel.
Cara kerja notebook Jupyter
Buku catatan memiliki dua komponen:
- Antarmuka berbasis browser, tempat Anda memasukkan dan menjalankan kueri dan kode, dan tempat hasil eksekusi ditampilkan.
- Sebuah kernel yang bertanggung jawab untuk menguraikan dan mengeksekusi kode itu sendiri.
Kernel notebook Microsoft Sentinel berjalan pada komputer virtual (VM) Azure. Instans VM dapat mendukung proses menjalankan banyak notebook sekaligus. Jika notebook Anda menyertakan model pembelajaran mesin yang kompleks, ada beberapa opsi lisensi untuk menggunakan mesin virtual yang lebih canggih.
Memahami paket Python
Notebook Microsoft Sentinel menggunakan banyak pustaka Python populer seperti pandas, matplotlib, bokeh, dan lainnya. Ada banyak paket Python lainnya yang dapat Anda pilih, yang mencakup area seperti:
- Visualisasi dan grafik
- Pemrosesan data dan analisis
- Statistik dan komputasi numerik
- Pembelajaran mesin dan pembelajaran mendalam
Untuk menghindari harus mengetik atau menempelkan kode yang kompleks dan berulang ke dalam sel notebook, sebagian besar notebook Python bergantung pada pustaka pihak ketiga yang disebut paket. Untuk menggunakan paket di notebook, Anda perlu menginstal dan mengimpor paket. Azure ML Compute memiliki paket yang paling umum pra-instal. Pastikan Anda mengimpor paket, atau bagian yang relevan dari paket, seperti modul, file, fungsi, atau kelas.
Notebook Microsoft Sentinel menggunakan paket Python yang disebut MSTICPy, yang merupakan kumpulan alat keamanan cyber untuk pengambilan, analisis, pengayaan, dan visualisasi data.
Alat MSTICPy dirancang khusus untuk membantu membuat notebook dengan tujuan berburu dan investigasi ancaman, dan kami secara aktif mengerjakan berbagai fitur dan peningkatan baru. Untuk informasi selengkapnya, lihat:
- Dokumentasi Alat Keamanan MSTIC Jupyter dan Python
- Tutorial: Memulai notebook Jupyter dan MSTICPy di Microsoft Sentinel
- Konfigurasi lanjutan untuk notebook Jupyter dan MSTICPy di Microsoft Sentinel
Menemukan notebook
Dari portal Azure, buka Microsoft Sentinel>Pengelolaan ancaman>Notebook, untuk melihat notebook yang disediakan Microsoft Sentinel. Untuk notebook lainnya yang dibuat oleh Microsoft atau dikontribusikan dari komunitas, buka repositori GitHub Microsoft Sentinel.
Mengelola akses ke notebook Microsoft Sentinel
Untuk menggunakan notebook Jupyter di Microsoft Sentinel, Anda harus terlebih dahulu memiliki izin yang sesuai, tergantung pada peran pengguna Anda.
Meskipun Anda dapat menjalankan notebook Microsoft Sentinel di JupyterLab atau Jupyter classic, di Microsoft Sentinel, buku catatan dijalankan pada platform Azure Machine Learning (Azure ML). Untuk menjalankan notebook di Microsoft Sentinel, Anda harus memiliki akses yang sesuai ke ruang kerja Microsoft Sentinel dan ruang kerja ML Azure.
| Izin | Deskripsi |
|---|---|
| Izin Microsoft Sentinel | Seperti sumber daya Microsoft Sentinel lainnya, untuk mengakses notebook di bilah Notebooks Microsoft Sentinel, peran Pembaca Microsoft Sentinel, Penanggap Microsoft Sentinel, atau Kontributor Microsoft Sentinel diperlukan. Untuk mengetahui informasi selengkapnya, lihat Izin di Microsoft Sentinel. |
| Izin Azure Machine Learning | Ruang kerja Azure Machine Learning adalah sumber daya Azure. Seperti sumber daya Azure lainnya, ketika selesai dibuat, ruang kerja Microsoft Azure Machine Learning yang baru hadir dengan tiga peran default. Anda dapat menambahkan pengguna ke ruang kerja dan menetapkannya ke salah satu peran bawaan ini. Untuk informasi selengkapnya, lihat peran default Azure Machine Learning dan peran bawaan Azure. Penting: Akses peran dapat dicakupkan ke beberapa level di Azure. Misalnya, seseorang dengan akses pemilik ke ruang kerja mungkin tidak memiliki akses pemilik ke grup sumber daya yang berisi ruang kerja. Untuk informasi selengkapnya, lihat Cara kerja Azure RBAC. Jika Anda adalah pemilik ruang kerja Azure ML, Anda dapat menambahkan dan menghapus peran untuk ruang kerja dan menetapkan peran kepada pengguna. Untuk informasi selengkapnya, lihat: - portal Microsoft Azure - PowerShell - Azure CLI - REST API - templat Azure Resource Manager - Azure Machine Learning CLI Jika peran bawaan tidak cukup, Anda dapat membuat peran kustom. Peran kustom mungkin memiliki izin sumber daya baca, tulis, hapus, dan komputasi di ruang kerja tersebut. Anda dapat menyediakan peran di tingkat ruang kerja tertentu, tingkat grup sumber daya tertentu, atau tingkat langganan tertentu. Untuk informasi selengkapnya, lihat Membuat peran kustom. |
Langkah berikutnya
- Berburu ancaman keamanan dengan notebook Jupyter
- Tutorial: Memulai notebook Jupyter dan MSTICPy di Microsoft Sentinel
- Mengintegrasikan notebook dengan Azure Synapse (Pratinjau publik)
Sumber daya lainnya:
Gunakan notebook yang dibagikan di Repositori GitHub Microsoft Sentinel sebagai alat, ilustrasi, dan sampel kode yang berguna yang dapat Anda gunakan saat mengembangkan notebook Anda sendiri.
Kirimkan umpan balik, saran, permintaan fitur, notebook yang dikontribusikan, laporan bug atau peningkatan dan penambahan pada notebook yang ada. Buka Repositori GitHub Microsoft Sentinel untuk membuat masalah atau fork dan mengunggah kontribusi.
Pelajari lebih lanjut cara menggunakan notebook dalam berburu dan investigasi ancaman dengan menjelajahi beberapa template notebook, seperti Pemindaian Info Masuk di Azure Log Analytics dan Investigasi Terpandu - Pemberitahuan Proses.
Temukan lebih banyak templat buku catatan di tab >Notebook>Templat Microsoft Sentinel.
Temukan notebook lainnya di Repositori GitHub Microsoft Sentinel:
Direktori
Sample-Notebooksmenyertakan sampel notebook yang disimpan dengan data yang dapat Anda gunakan untuk menampilkan output yang diinginkan.Direktori
HowTosmenyertakan notebook yang menjelaskan konsep seperti menyetel versi Python default, membuat bookmark Microsoft Sentinel dari notebook, dan banyak lagi.
Untuk informasi selengkapnya, lihat: