Notesy Jupyter z funkcjami wyszukiwania zagrożeń w usłudze Microsoft Sentinel
Notesy Jupyter łączą pełną możliwość programowania z ogromną kolekcją bibliotek do uczenia maszynowego, wizualizacji i analizy danych. Te atrybuty sprawiają, że jupyter jest atrakcyjnym narzędziem do badania zabezpieczeń i wyszukiwania zagrożeń.
Podstawą usługi Microsoft Sentinel jest magazyn danych; Łączy ona zapytania o wysokiej wydajności, schemat dynamiczny i skaluje do ogromnych woluminów danych. Witryna Azure Portal i wszystkie narzędzia usługi Microsoft Sentinel używają wspólnego interfejsu API do uzyskiwania dostępu do tego magazynu danych. Ten sam interfejs API jest również dostępny dla narzędzi zewnętrznych, takich jak notesy Jupyter i język Python.
Ważne
Usługa Microsoft Sentinel jest dostępna w publicznej wersji zapoznawczej dla ujednoliconej platformy operacji zabezpieczeń w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.
Kiedy używać notesów Jupyter
Chociaż w portalu można wykonywać wiele typowych zadań, program Jupyter rozszerza zakres zadań, które można wykonać za pomocą tych danych.
Na przykład użyj notesów, aby:
- Wykonywanie analiz , które nie są dostępne w usłudze Microsoft Sentinel, takich jak niektóre funkcje uczenia maszynowego w języku Python
- Tworzenie wizualizacji danych, które nie są udostępniane w usłudze Microsoft Sentinel, takich jak niestandardowe osie czasu i drzewa procesów
- Integrowanie źródeł danych poza usługą Microsoft Sentinel, takich jak lokalny zestaw danych.
Zintegrowaliśmy środowisko jupyter z witryną Azure Portal, co ułatwia tworzenie i uruchamianie notesów w celu analizowania danych. Biblioteka Kqlmagic udostępnia klej, który umożliwia wykonywanie zapytań język zapytań Kusto (KQL) z usługi Microsoft Sentinel i uruchamianie ich bezpośrednio w notesie.
Kilka notesów opracowanych przez niektórych analityków zabezpieczeń firmy Microsoft jest spakowanych w usłudze Microsoft Sentinel:
- Niektóre z tych notesów są tworzone dla określonego scenariusza i mogą być używane w taki sposób, jak to jest.
- Inne są przeznaczone jako przykłady ilustrujące techniki i funkcje, które można kopiować lub dostosowywać do użycia we własnych notesach.
Zaimportuj inne notesy z repozytorium GitHub usługi Microsoft Sentinel.
Jak działają notesy Jupyter
Notesy mają dwa składniki:
- Interfejs oparty na przeglądarce, w którym wprowadzasz i uruchamiasz zapytania i kod oraz gdzie są wyświetlane wyniki wykonywania.
- Jądro odpowiedzialne za analizowanie i wykonywanie samego kodu.
Jądro notesu usługi Microsoft Sentinel działa na maszynie wirtualnej platformy Azure. Wystąpienie maszyny wirtualnej może obsługiwać uruchamianie wielu notesów jednocześnie. Jeśli notesy obejmują złożone modele uczenia maszynowego, istnieje kilka opcji licencjonowania, aby korzystać z bardziej zaawansowanych maszyn wirtualnych.
Omówienie pakietów języka Python
Notesy usługi Microsoft Sentinel używają wielu popularnych bibliotek języka Python, takich jak pandas, matplotlib, bokeh i inne. Istnieje wiele innych pakietów języka Python do wyboru, obejmujących takie obszary jak:
- Wizualizacje i grafiki
- Przetwarzanie i analiza danych
- Statystyki i obliczenia liczbowe
- Uczenie maszynowe i uczenie głębokie
Aby uniknąć konieczności wpisywania lub wklejania złożonego i powtarzalnego kodu do komórek notesu, większość notesów języka Python korzysta z bibliotek innych firm nazywanych pakietami. Aby użyć pakietu w notesie, należy zainstalować i zaimportować pakiet. Usługa Azure Machine Edukacja Compute ma wstępnie zainstalowane pakiety. Upewnij się, że importujesz pakiet lub odpowiednią część pakietu, taką jak moduł, plik, funkcja lub klasa.
Notesy usługi Microsoft Sentinel używają pakietu języka Python o nazwie MSTICPy, który jest kolekcją narzędzi cyberbezpieczeństwa do pobierania, analizowania, wzbogacania i wizualizacji danych.
Narzędzia MSTICPy zostały zaprojektowane specjalnie w celu ułatwienia tworzenia notesów do wyszukiwania zagrożeń i badania oraz aktywnie pracujemy nad nowymi funkcjami i ulepszeniami. Aby uzyskać więcej informacji, zobacz:
- Dokumentacja narzędzi MSTIC Jupyter i Python Security Tools
- Wprowadzenie do notesów Jupyter i biblioteki MSTICPy w usłudze Microsoft Sentinel
- Zaawansowane konfiguracje notesów Jupyter i biblioteki MSTICPy w usłudze Microsoft Sentinel
Znajdowanie notesów
W usłudze Microsoft Sentinel wybierz pozycję Notesy , aby wyświetlić notesy udostępnione przez usługę Microsoft Sentinel. Dowiedz się więcej na temat używania notesów w poszukiwaniu zagrożeń i badania, eksplorując szablony notesów, takie jak Skanowanie poświadczeń w usłudze Azure Log Analytics i Badanie z przewodnikiem — alerty procesu.
Aby uzyskać więcej notesów utworzonych przez firmę Microsoft lub współautorów ze społeczności, przejdź do repozytorium GitHub usługi Microsoft Sentinel. Użyj notesów udostępnionych w repozytorium GitHub usługi Microsoft Sentinel jako przydatnych narzędzi, ilustracji i przykładów kodu, których można używać podczas tworzenia własnych notesów.
Katalog
Sample-Notebookszawiera przykładowe notesy, które są zapisywane przy użyciu danych, których można użyć do wyświetlania zamierzonych danych wyjściowych.Katalog
HowToszawiera notesy opisujące pojęcia, takie jak ustawianie domyślnej wersji języka Python, tworzenie zakładek usługi Microsoft Sentinel na podstawie notesu i nie tylko.
Zarządzanie dostępem do notesów usługi Microsoft Sentinel
Aby korzystać z notesów Jupyter w usłudze Microsoft Sentinel, musisz najpierw mieć odpowiednie uprawnienia, w zależności od roli użytkownika.
Notesy usługi Microsoft Sentinel można uruchamiać w klasycznej wersji JupyterLab lub Jupyter, ale w usłudze Microsoft Sentinel notesy są uruchamiane na platformie Azure Machine Edukacja. Aby uruchomić notesy w usłudze Microsoft Sentinel, musisz mieć odpowiedni dostęp do obszaru roboczego usługi Microsoft Sentinel i obszaru roboczego usługi Azure Machine Edukacja.
| Uprawnienie | opis |
|---|---|
| Uprawnienia usługi Microsoft Sentinel | Podobnie jak w przypadku innych zasobów usługi Microsoft Sentinel, aby uzyskać dostęp do notesów w bloku Notesy usługi Microsoft Sentinel, wymagany jest czytelnik usługi Microsoft Sentinel, osoba odpowiadająca usługi Microsoft Sentinel lub współautor usługi Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Uprawnienia w usłudze Microsoft Sentinel. |
| Uprawnienia usługi Azure Machine Edukacja | Obszar roboczy usługi Azure Machine Learning to zasób platformy Azure. Podobnie jak w przypadku innych zasobów platformy Azure, po utworzeniu nowego obszaru roboczego usługi Azure Machine Edukacja jest on dostarczany z rolami domyślnymi. Możesz dodać użytkowników do obszaru roboczego i przypisać je do jednej z tych wbudowanych ról. Aby uzyskać więcej informacji, zobacz Azure Machine Edukacja role domyślne i role wbudowane platformy Azure. Ważne: dostęp do ról można ograniczyć do wielu poziomów na platformie Azure. Na przykład osoba mająca dostęp właściciela do obszaru roboczego może nie mieć dostępu właściciela do grupy zasobów zawierającej obszar roboczy. Aby uzyskać więcej informacji, zobacz Jak działa kontrola dostępu oparta na rolach platformy Azure. Jeśli jesteś właścicielem obszaru roboczego usługi Azure ML, możesz dodawać i usuwać role dla obszaru roboczego i przypisywać role do użytkowników. Aby uzyskać więcej informacji, zobacz: - Witryna Azure Portal - Program PowerShell - Interfejs wiersza polecenia platformy Azure - Interfejs API REST - Szablony usługi Azure Resource Manager - Interfejs wiersza polecenia usługi Azure Machine Edukacja Jeśli role wbudowane są niewystarczające, możesz również utworzyć role niestandardowe. Role niestandardowe mogą mieć uprawnienia do odczytu, zapisu, usuwania i zasobów obliczeniowych w tym obszarze roboczym. Rolę można udostępnić na określonym poziomie obszaru roboczego, określonym poziomie grupy zasobów lub określonym poziomie subskrypcji. Aby uzyskać więcej informacji, zobacz Tworzenie roli niestandardowej. |
Prześlij opinię dotyczącą notesu
Prześlij opinię, żądania dotyczące funkcji, raportów o błędach lub ulepszeń istniejących notesów. Przejdź do repozytorium GitHub usługi Microsoft Sentinel, aby utworzyć problem lub rozwidlenie i przekazać wkład.
Powiązana zawartość
- Wyszukiwanie zagrożeń bezpieczeństwa za pomocą notesów Jupyter
- Wprowadzenie do notesów Jupyter i biblioteki MSTICPy w usłudze Microsoft Sentinel
- Proaktywne wyszukiwanie zagrożeń
- Śledzenie danych podczas wyszukiwania zagrożeń za pomocą usługi Microsoft Sentinel
W przypadku blogów, filmów wideo i innych zasobów zobacz:
- Tworzenie pierwszego notesu usługi Microsoft Sentinel (seria blogów)
- Samouczek: notesy usługi Microsoft Sentinel — wprowadzenie (wideo)
- Samouczek: edytowanie i uruchamianie notesów Jupyter bez opuszczania usługi Azure Machine Edukacja Studio (wideo)
- Wykrywanie przecieków poświadczeń przy użyciu notesów usługi Azure Sentinel (wideo)
- Seminarium internetowe: podstawy notesów usługi Microsoft Sentinel (wideo)
- Jupyter, msticpy i Microsoft Sentinel