Jaga efter säkerhetshot med Jupyter Notebooks

• Gäller för:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Som en del av dina säkerhetsundersökningar och jakt startar och kör du Jupyter-notebook-filer för att programmatiskt analysera dina data.

I den här artikeln skapar du en Azure Machine Learning-arbetsyta, startar notebook-filen från Microsoft Sentinel till din Azure Machine Learning-arbetsyta och kör kod i notebook-filen.

Viktigt!

Microsoft Sentinel är tillgängligt som en del av den offentliga förhandsversionen av den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

Förutsättningar

Vi rekommenderar att du lär dig mer om Microsoft Sentinel-notebook-filer innan du slutför stegen i den här artikeln. Se Använda Jupyter Notebooks för att söka efter säkerhetshot.

Om du vill använda Microsoft Sentinel-notebook-filer måste du ha följande roller och behörigheter:

Typ	Details
Microsoft Sentinel	– Rollen Microsoft Sentinel-deltagare för att spara och starta notebook-filer från Microsoft Sentinel
Azure Machine Learning	– En ägar- eller deltagarroll på resursgruppsnivå för att skapa en ny Azure Machine Learning-arbetsyta om det behövs. – En deltagarroll på Azure Machine Learning-arbetsytan där du kör dina Microsoft Sentinel-anteckningsböcker. Mer information finns i Hantera åtkomst till en Azure Machine Learning-arbetsyta.

Skapa en Azure Machine Learning-arbetsyta från Microsoft Sentinel

Om du vill skapa din arbetsyta väljer du någon av följande flikar, beroende på om du använder en offentlig eller privat slutpunkt.

• Vi rekommenderar att du använder en offentlig slutpunkt när din Microsoft Sentinel-arbetsyta har en, för att undvika potentiella problem i nätverkskommunikationen.
• Om du vill använda en Azure Machine Learning-arbetsyta i ett virtuellt nätverk använder du en privat slutpunkt.

Offentlig slutpunkt

1. För Microsoft Sentinel i Azure-portalen går du till Hothantering och väljer Notebooks.
   För Microsoft Sentinel i Defender-portalen väljer du Microsoft Sentinel-hothanteringsanteckningsböcker>>.

2. Välj Konfigurera Azure Machine Learning>Skapa en ny AML-arbetsyta.

3. Ange följande information och välj sedan Nästa.

   Fält	beskrivning
   Abonnemang	Välj den Azure-prenumeration som du vill använda.
   Resursgrupp	Använd en befintlig resursgrupp i din prenumeration eller ange ett namn för att skapa en ny resursgrupp. En resursgrupp innehåller relaterade resurser för en Azure-lösning.
   Namn på arbetsyta	Ange ett unikt namn som identifierar din arbetsyta. Namn måste vara unika i resursgruppen. Använd ett namn som är enkelt att återkalla och skilja från arbetsytor som skapats av andra.
   Region	Välj den plats som är närmast dina användare och dataresurserna för att skapa din arbetsyta.
   Lagringskonto	Ett lagringskonto används som standarddatalager för arbetsytan. Du kan skapa en ny Azure Storage-resurs eller välja en befintlig i din prenumeration.
   KeyVault	Ett nyckelvalv används för att lagra hemligheter och annan känslig information som behövs av arbetsytan. Du kan skapa en ny Azure Key Vault-resurs eller välja en befintlig i din prenumeration.
   Application Insights	Arbetsytan använder Azure Application Insights för att lagra övervakningsinformation om dina distribuerade modeller. Du kan skapa en ny Azure Application Insights-resurs eller välja en befintlig i din prenumeration.
   Containerregister	Ett containerregister används för att registrera docker-avbildningar som används i utbildning och distributioner. För att minimera kostnaderna skapas en ny Azure Container Registry-resurs först när du har skapat din första avbildning. Du kan också välja att skapa resursen nu eller välja en befintlig i din prenumeration eller välja Ingen om du inte vill använda något containerregister.

4. På fliken Nätverk väljer du Aktivera offentlig åtkomst från alla nätverk.

   Definiera relevanta inställningar på flikarna Avancerat eller Taggar och välj sedan Granska + skapa.

5. På fliken Granska + skapa granskar du informationen för att kontrollera att den är korrekt och väljer sedan Skapa för att börja distribuera din arbetsyta. Till exempel:

   

   Det kan ta flera minuter att skapa din arbetsyta i molnet. Under den här tiden visar arbetsytans översiktssida den aktuella distributionsstatusen och uppdateringar när distributionen är klar.

Privat slutpunkt

Stegen i den här proceduren refererar till specifika artiklar i Azure Machine Learning-dokumentationen när det är relevant. Mer information finns i Skapa en säker Azure Machine Learning-arbetsyta.

1. Skapa en hoppruta för en virtuell dator (VM) i ett virtuellt nätverk. Eftersom det virtuella nätverket begränsar åtkomsten från det offentliga Internet används hopprutan som ett sätt att ansluta till resurser bakom det virtuella nätverket.

2. Öppna hopprutan och gå sedan till din Microsoft Sentinel-arbetsyta. Vi rekommenderar att du använder Azure Bastion för att komma åt den virtuella datorn.

3. För Microsoft Sentinel i Azure-portalen går du till Hothantering och väljer Notebooks.
   För Microsoft Sentinel i Defender-portalen väljer du Microsoft Sentinel-hothanteringsanteckningsböcker>>.

4. Välj Konfigurera Azure Machine Learning>Skapa en ny AML-arbetsyta.

5. Ange följande information och välj sedan Nästa.

   Fält	beskrivning
   Abonnemang	Välj den Azure-prenumeration som du vill använda.
   Resursgrupp	Använd en befintlig resursgrupp i din prenumeration eller ange ett namn för att skapa en ny resursgrupp. En resursgrupp innehåller relaterade resurser för en Azure-lösning.
   Namn på arbetsyta	Ange ett unikt namn som identifierar din arbetsyta. Namn måste vara unika i resursgruppen. Använd ett namn som är enkelt att återkalla och skilja från arbetsytor som skapats av andra.
   Region	Välj den plats som är närmast dina användare och dataresurserna för att skapa din arbetsyta.
   Lagringskonto	Ett lagringskonto används som standarddatalager för arbetsytan. Du kan skapa en ny Azure Storage-resurs eller välja en befintlig i din prenumeration.
   KeyVault	Ett nyckelvalv används för att lagra hemligheter och annan känslig information som behövs av arbetsytan. Du kan skapa en ny Azure Key Vault-resurs eller välja en befintlig i din prenumeration.
   Application Insights	Arbetsytan använder Azure Application Insights för att lagra övervakningsinformation om dina distribuerade modeller. Du kan skapa en ny Azure Application Insights-resurs eller välja en befintlig i din prenumeration.
   Containerregister	Ett containerregister används för att registrera docker-avbildningar som används i utbildning och distributioner. För att minimera kostnaderna skapas en ny Azure Container Registry-resurs först när du har skapat din första avbildning. Du kan också välja att skapa resursen nu eller välja en befintlig i din prenumeration eller välja Ingen om du inte vill använda något containerregister.

6. På fliken Nätverk väljer du Inaktivera offentlig åtkomst och använder privat slutpunkt. Se till att använda samma virtuella nätverk som du har i hopprutan för den virtuella datorn. Till exempel:

   

7. Definiera relevanta inställningar på flikarna Avancerat eller Taggar och välj sedan Granska + skapa.

8. På fliken Granska + skapa granskar du informationen för att kontrollera att den är korrekt och väljer sedan Skapa för att börja distribuera din arbetsyta. Till exempel:

   

   Det kan ta flera minuter att skapa din arbetsyta i molnet. Under den här tiden visar arbetsytans översiktssida den aktuella distributionsstatusen och uppdateringar när distributionen är klar.

9. I Azure Machine Learning-studio skapar du en ny beräkning på sidan Beräkning. På fliken Avancerat Inställningar ser du till att välja samma virtuella nätverk som du använde för hopprutan för den virtuella datorn. Mer information finns i Skapa och hantera en Azure Machine Learning-beräkningsinstans.

10. Konfigurera nätverkstrafiken för åtkomst till Azure Machine Learning bakom en brandvägg. Mer information finns i Konfigurera inkommande och utgående nätverkstrafik.

Fortsätt med någon av följande steg:

• Om du bara har en privat länk: Du kan nu komma åt notebook-filerna via någon av följande metoder:

  • Klona och starta notebook-filer från Microsoft Sentinel till Azure Machine Learning
  • Ladda upp notebook-filer till Azure Machine Learning manuellt
  • Klona GitHub-lagringsplatsen för Microsoft Sentinel-notebook-filer i Azure Machine Learning-terminalen

• Om du har en annan privat länk, som använder ett annat VNET, gör du följande:

  1. I Azure-portalen går du till resursgruppen för din Azure Machine Learning-arbetsyta och söker sedan efter Privat DNS zonresurser med namnet privatelink.api.azureml.ms och privatelink.notebooks.azure.ms. Till exempel:

     

  2. Lägg till en virtuell nätverkslänk för varje resurs, inklusive både privatelink.api.azureml.ms och privatelink.notebooks.azure.ms.

     Välj resursen >Virtuella nätverkslänkar>Lägg till. Mer information finns i Länka det virtuella nätverket.

Mer information finns i:

• Flöde för nätverkstrafik när du använder en säker arbetsyta
• Skydda Azure Machine Learning-arbetsyteresurser med hjälp av virtuella nätverk (VNet)

När distributionen är klar går du tillbaka till Notebooks i Microsoft Sentinel och startar notebook-filer från din nya Azure Machine Learning-arbetsyta.

Om du har flera notebook-filer måste du välja en AML-standardarbetsyta som ska användas när du startar dina notebook-filer. Till exempel:

Starta en notebook-fil på din Azure Machine Learning-arbetsyta

När du har skapat en Azure Machine Learning-arbetsyta startar du dina anteckningsböcker på den arbetsytan från Microsoft Sentinel.

1. För Microsoft Sentinel i Azure-portalen går du till Hothantering och väljer Notebooks.
   För Microsoft Sentinel i Defender-portalen väljer du Microsoft Sentinel-hothanteringsanteckningsböcker>>.

2. Välj fliken Mallar för att se de notebook-filer som Microsoft Sentinel tillhandahåller.

3. Välj en notebook-fil för att visa dess beskrivning, nödvändiga datatyper och datakällor.

4. När du hittar anteckningsboken som du vill använda väljer du Skapa från mall och Spara för att klona den till din egen arbetsyta.

5. Redigera namnet efter behov. Om anteckningsboken redan finns på din arbetsyta skriver du över den befintliga anteckningsboken eller skapar en ny. Som standard sparas anteckningsboken i katalogen /Users/<Your_User_Name>/ för den valda AML-arbetsytan.

   

6. När notebook-filen har sparats ändras knappen Spara anteckningsbok till Starta anteckningsbok. Välj Starta notebook-fil för att öppna den på din AML-arbetsyta.

   Till exempel:

   

7. Överst på sidan väljer du en Beräkningsinstans som ska användas för din notebook-server.

   Om du inte har någon beräkningsinstans skapar du en ny. Om beräkningsinstansen har stoppats måste du starta den. Mer information finns i Kör en notebook-fil i Azure Machine Learning-studio.

   Det är bara du som kan se och använda de beräkningsinstanser som du skapar. Dina användarfiler lagras separat från den virtuella datorn och delas mellan alla beräkningsinstanser på arbetsytan.

   Om du skapar en ny beräkningsinstans för att testa dina notebook-filer skapar du din beräkningsinstans med kategorin Generell användning .

   Kerneln visas också längst upp till höger i Azure Machine Learning-fönstret. Om den kernel du behöver inte är markerad väljer du en annan version från listrutan.

8. När notebook-servern har skapats och startats kör du notebook-cellerna. I varje cell väljer du ikonen Kör för att köra notebook-koden.

   Mer information finns i Genvägar i kommandoläge.

9. Om anteckningsboken låser sig eller om du vill börja om kan du starta om kerneln och köra notebook-cellerna igen från början. Om du startar om kerneln tas variabler och annat tillstånd bort. Kör alla initierings- och autentiseringsceller igen när du har startat om.

   Börja om genom att välja Kernel-åtgärder>Starta om kernel. Till exempel:

   

Kör kod i notebook-filen

Kör alltid notebook-kodceller i sekvens. Om du hoppar över celler kan det leda till fel.

I en notebook-fil:

• Markdown-celler har text, inklusive HTML och statiska bilder.
• Kodceller innehåller kod. När du har valt en kodcell kör du koden i cellen genom att välja ikonen Spela upp till vänster i cellen eller genom att trycka på SKIFT+RETUR.

Kör till exempel följande kodcell i anteckningsboken:

# This is your first code cell. This cell contains basic Python code.

# You can run a code cell by selecting it and then selecting
# the Play button to the left of the cell, or by pressing SHIFT+ENTER.
# Code output displays below the code.

print("Congratulations, you just ran this code cell")

y = 2 + 2

print("2 + 2 =", y)

Exempelkoden genererar följande utdata:

Congratulations, you just ran this code cell

2 + 2 = 4

Variabler som anges i en notebook-kodcell bevaras mellan celler, så att du kan länka ihop celler. I följande kodcell används till exempel värdet y för från den föregående cellen:

# Note that output from the last line of a cell is automatically
# sent to the output cell, without needing the print() function.

y + 2

Resultatet är:

6

Ladda ned alla Microsoft Sentinel-anteckningsböcker

I det här avsnittet beskrivs hur du använder Git för att ladda ned alla notebook-filer som är tillgängliga på Microsoft Sentinel GitHub-lagringsplatsen, inifrån en Microsoft Sentinel-notebook-fil, direkt till din Azure Machine Learning-arbetsyta.

Om du lagrar Microsoft Sentinel-anteckningsböckerna på din Azure Machine Learning-arbetsyta kan du enkelt hålla dem uppdaterade.

1. Från en Microsoft Sentinel-anteckningsbok anger du följande kod i en tom cell och kör sedan cellen:

   !git clone https://github.com/Azure/Azure-Sentinel-Notebooks.git azure-sentinel-nb
   

   En kopia av Innehållet i GitHub-lagringsplatsen skapas i katalogen azure-Sentinel-nb i användarmappen på din Azure Machine Learning-arbetsyta.

2. Kopiera de anteckningsböcker som du vill ha från den här mappen till arbetskatalogen.

3. Om du vill uppdatera dina notebook-filer med de senaste ändringarna från GitHub kör du:

   !cd azure-sentinel-nb && git pull
   

Relaterat innehåll

• Jupyter Notebooks med Microsoft Sentinel-jaktfunktioner
• Kom igång med Jupyter Notebooks och MSTICPy i Microsoft Sentinel