Jupyter-notesbøger med Microsoft Sentinel jagtmuligheder

  • Gælder for: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Jupyter-notesbøger kombinerer fuld programmering med en stor samling biblioteker til maskinel indlæring, visualisering og dataanalyse. Disse egenskaber gør Jupyter til et overbevisende værktøj til sikkerhedsundersøgelser og jagt.

Grundlaget for Microsoft Sentinel er datalageret. Det kombinerer forespørgsler med høj ydeevne, dynamisk skema og skalering til store datamængder. Værktøjerne Azure Portal og alle Microsoft Sentinel bruger en fælles API til at få adgang til dette datalager. Den samme API er også tilgængelig for eksterne værktøjer, f.eks . Jupyter-notesbøger og Python.

Vigtigt!

Efter den 31. marts 2027 understøttes Microsoft Sentinel ikke længere i Azure Portal og er kun tilgængelig på Microsoft Defender-portalen. Alle kunder, der bruger Microsoft Sentinel i Azure Portal, omdirigeres til Defender-portalen og bruger kun Microsoft Sentinel på Defender-portalen.

Hvis du stadig bruger Microsoft Sentinel i Azure Portal, anbefaler vi, at du begynder at planlægge overgangen til Defender-portalen for at sikre en problemfri overgang og drage fuld fordel af den samlede oplevelse med sikkerhedshandlinger, der tilbydes af Microsoft Defender.

Hvornår skal du bruge Jupyter-notesbøger?

Selvom mange almindelige opgaver kan udføres på portalen, udvider Jupyter omfanget af, hvad du kan gøre med disse data.

Brug f.eks. notesbøger til at:

  • Udfør analyser, der ikke leveres fra og med i Microsoft Sentinel, f.eks. nogle Python-funktioner til maskinel indlæring
  • Opret datavisualiseringer, der ikke leveres fra bunden i Microsoft Sentinel, f.eks. brugerdefinerede tidslinjer og procestræer
  • Integrer datakilder uden for Microsoft Sentinel, f.eks. et datasæt i det lokale miljø.

Vi har integreret Jupyter-oplevelsen i Azure Portal, hvilket gør det nemt for dig at oprette og køre notesbøger for at analysere dine data. Kqlmagic-biblioteket indeholder limen, så du kan tage KQL-forespørgsler (Kusto Query Language) fra Microsoft Sentinel og køre dem direkte i en notesbog.

Flere notesbøger, der er udviklet af nogle af Microsofts sikkerhedsanalytikere, er pakket med Microsoft Sentinel:

  • Nogle af disse notesbøger er udviklet til et bestemt scenarie og kan bruges, som de er.
  • Andre er beregnet som eksempler til at illustrere teknikker og funktioner, som du kan kopiere eller tilpasse til brug i dine egne notesbøger.

Importér andre notesbøger fra Microsoft Sentinel GitHub-lageret.

Sådan fungerer Jupyter-notesbøger

Notesbøger har to komponenter:

  • Den browserbaserede grænseflade, hvor du angiver og kører forespørgsler og kode, og hvor resultaterne af udførelsen vises.
  • En kerne , der er ansvarlig for fortolkning og udførelse af selve koden.

Kernen i den Microsoft Sentinel notesbog kører på en Azure virtuel maskine. Vm-forekomsten kan understøtte kørsel af mange notesbøger på én gang. Hvis dine notesbøger indeholder komplekse modeller til maskinel indlæring, findes der flere licensmuligheder til brug af mere effektive virtuelle maskiner.

Om Python-pakker

De Microsoft Sentinel notesbøger bruger mange populære Python-biblioteker, f.eks. pandas, matplotlib, bokeh og andre. Der er mange andre Python-pakker, du kan vælge imellem, og som dækker områder som:

  • Visualiseringer og grafik
  • Databehandling og analyse
  • Statistik og numerisk beregning
  • Maskinel indlæring og deep learning

For at undgå at skulle skrive eller indsætte kompleks og gentagen kode i notesbogceller er de fleste Python-notesbøger afhængige af biblioteker fra tredjepart, der kaldes pakker. Hvis du vil bruge en pakke i en notesbog, skal du både installere og importere pakken. Azure Machine Learning Compute har de mest almindelige pakker forudinstalleret. Kontrollér, at du importerer pakken eller den relevante del af pakken, f.eks. et modul, en fil, en funktion eller en klasse.

Microsoft Sentinel notesbøger bruger en Python-pakke kaldet MSTICPy, som er en samling af cybersikkerhedsværktøjer til datahentning, analyse, berigelse og visualisering.

MSTICPy-værktøjer er udviklet specielt til at hjælpe med at oprette notesbøger til jagt og undersøgelse, og vi arbejder aktivt på nye funktioner og forbedringer. Du kan finde flere oplysninger under:

Find notesbøger

I Microsoft Sentinel skal du vælge Notesbøger for at se de notesbøger, Microsoft Sentinel indeholder. Få mere at vide om brug af notesbøger, der er i trusselsjagt og undersøgelse, ved at udforske notesbogskabeloner som f.eks. Scanning af legitimationsoplysninger på Azure Log Analytics og Automatiseret undersøgelse – Procesbeskeder.

Hvis du vil have flere notesbøger, der er bygget af Microsoft eller bidraget fra community'et, skal du gå til Microsoft Sentinel GitHub-lager. Brug notesbøger, der deles i Microsoft Sentinel GitHub-lageret, som nyttige værktøjer, illustrationer og kodeeksempler, som du kan bruge, når du udvikler dine egne notesbøger.

  • Mappen Sample-Notebooks indeholder eksempelnotesbøger, der er gemt med data, som du kan bruge til at få vist det ønskede output.

  • Mappen HowTos indeholder notesbøger, der beskriver begreber som f.eks. angivelse af din Python-standardversion, oprettelse af Microsoft Sentinel bogmærker fra en notesbog m.m.

Administrer adgang til Microsoft Sentinel notesbøger

Hvis du vil bruge Jupyter-notesbøger i Microsoft Sentinel, skal du først have de rette tilladelser, afhængigt af din brugerrolle.

Mens du kan køre Microsoft Sentinel notesbøger i JupyterLab eller Jupyter classic, køres notesbøger i Microsoft Sentinel på en Azure Machine Learning-platform. Hvis du vil køre notesbøger i Microsoft Sentinel, skal du have passende adgang til både Microsoft Sentinel arbejdsområde og et Azure Machine Learning-arbejdsområde.

Tilladelse Beskrivelse
Microsoft Sentinel tilladelser På samme måde som med andre Microsoft Sentinel ressourcer er det en Microsoft Sentinel Læser, Microsoft Sentinel responder eller rollen Microsoft Sentinel bidragyder at få adgang til notesbøger på bladet Microsoft Sentinel Notesbøger Kræves.

Du kan få flere oplysninger under Tilladelser i Microsoft Sentinel.
Azure tilladelser til maskinel indlæring Et Azure Machine Learning-arbejdsområde er en Azure ressource. På samme måde som med andre Azure ressourcer leveres der standardroller, når der oprettes et nyt Azure Machine Learning-arbejdsområde. Du kan føje brugere til arbejdsområdet og tildele dem til en af disse indbyggede roller. Du kan få flere oplysninger under Azure Standardroller for maskinel indlæring og Azure indbyggede roller.

Vigtigt! Rolleadgang kan begrænses til flere niveauer i Azure. En person med ejeradgang til et arbejdsområde har muligvis ikke ejeradgang til den ressourcegruppe, der indeholder arbejdsområdet. Du kan få flere oplysninger under Sådan fungerer Azure RBAC.

Hvis du ejer et Azure ML-arbejdsområde, kan du tilføje og fjerne roller for arbejdsområdet og tildele roller til brugere. Du kan finde flere oplysninger under:
- Azure Portal
- Powershell
- Azure kommandolinjegrænsefladen
- REST API
- Azure Resource Manager skabeloner
- CLI Azure Machine Learning

Hvis de indbyggede roller ikke er tilstrækkelige, kan du også oprette brugerdefinerede roller. Brugerdefinerede roller kan have tilladelse til at læse, skrive, slette og beregne ressourcer i det pågældende arbejdsområde. Du kan gøre rollen tilgængelig på et bestemt arbejdsområdeniveau, et bestemt ressourcegruppeniveau eller et bestemt abonnementsniveau. Du kan få flere oplysninger under Opret brugerdefineret rolle.

Send feedback til en notesbog

Indsend feedback, anmodninger om funktioner, fejlrapporter eller forbedringer til eksisterende notesbøger. Gå til Microsoft Sentinel GitHub-lageret for at oprette et problem eller forgrene og uploade et bidrag.

Relateret indhold

Du kan se blogs, videoer og andre ressourcer under:

  • Last updated on