Jagt efter sikkerhedstrusler med Jupyter-notesbøger

Gælder for: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Som en del af dine sikkerhedsundersøgelser og -jagt skal du starte og køre Jupyter-notesbøger for at analysere dine data programmatisk.

I denne artikel skal du oprette et Azure Machine Learning-arbejdsområde, starte notesbogen fra Microsoft Sentinel til dit Azure Machine Learning-arbejdsområde og køre kode i notesbogen.

Vigtigt!

Efter den 31. marts 2027 understøttes Microsoft Sentinel ikke længere i Azure Portal og er kun tilgængelig på Microsoft Defender-portalen. Alle kunder, der bruger Microsoft Sentinel i Azure Portal, omdirigeres til Defender-portalen og bruger kun Microsoft Sentinel på Defender-portalen.

Hvis du stadig bruger Microsoft Sentinel i Azure Portal, anbefaler vi, at du begynder at planlægge overgangen til Defender-portalen for at sikre en problemfri overgang og drage fuld fordel af den samlede oplevelse med sikkerhedshandlinger, der tilbydes af Microsoft Defender.

Forudsætninger

Vi anbefaler, at du får mere at vide om Microsoft Sentinel notesbøger, før du fuldfører trinnene i denne artikel. Se Brug Jupyter-notesbøger til at søge efter sikkerhedstrusler.

Hvis du vil bruge Microsoft Sentinel notesbøger, skal du have følgende roller og tilladelser:

Type	Detaljer
Microsoft Sentinel	– Rollen Microsoft Sentinel bidragyder for at kunne gemme og starte notesbøger fra Microsoft Sentinel
Azure Machine Learning	– En rolle som ejer eller bidragyder på ressourceniveau for at oprette et nyt Azure Machine Learning-arbejdsområde, hvis det er nødvendigt. – En rolle som bidragyder i Azure Machine Learning-arbejdsområdet, hvor du kører dine Microsoft Sentinel notesbøger. Du kan få flere oplysninger under Administrer adgang til et Azure Machine Learning-arbejdsområde.

Opret et Azure Machine Learning-arbejdsområde ud fra Microsoft Sentinel

Hvis du vil oprette dit arbejdsområde, skal du vælge en af følgende faner, afhængigt af om du bruger et offentligt eller privat slutpunkt.

Vi anbefaler, at du bruger et offentligt slutpunkt, når dit Microsoft Sentinel arbejdsområde har et, for at undgå potentielle problemer i netværkskommunikationen.
Hvis du vil bruge et Azure Machine Learning-arbejdsområde i et virtuelt netværk, skal du bruge et privat slutpunkt.

Offentligt slutpunkt
Privat slutpunkt

For Microsoft Sentinel i Azure Portal skal du under Trusselsadministration vælge Notesbøger.
For Microsoft Sentinel på Defender-portalen skal du vælge Microsoft Sentinel>Nreat administrere>notesbøger.
Vælg Konfigurer Azure Machine Learning>Opret et nyt AML-arbejdsområde.

Angiv følgende oplysninger, og vælg derefter Næste.

Feltet	Beskrivelse
Abonnement	Vælg det Azure abonnement, du vil bruge.
Ressourcegruppe	Brug en eksisterende ressourcegruppe i dit abonnement, eller angiv et navn for at oprette en ny ressourcegruppe. En ressourcegruppe indeholder relaterede ressourcer til en Azure løsning.
Navn på arbejdsområde	Angiv et entydigt navn, der identificerer dit arbejdsområde. Navne skal være entydige på tværs af ressourcegruppen. Brug et navn, der er nemt at huske, og til at skelne fra arbejdsområder, der er oprettet af andre.
Region	Vælg den placering, der er tættest på brugerne og dataressourcerne for at oprette dit arbejdsområde.
Lagerkonto	En lagerkonto bruges som standarddatalager for arbejdsområdet. Du kan oprette en ny Azure Lagerressource eller vælge en eksisterende i dit abonnement.
KeyVault	En key vault bruges til at gemme hemmeligheder og andre følsomme oplysninger, der kræves af arbejdsområdet. Du kan oprette en ny Azure Key Vault ressource eller vælge en eksisterende i dit abonnement.
Application Insights	Arbejdsområdet bruger Azure Application Insights til at gemme overvågningsoplysninger om dine udrullede modeller. Du kan oprette en ny Azure Application Insights-ressource eller vælge en eksisterende i dit abonnement.
Objektbeholderregistreringsdatabase	En objektbeholderregistreringsdatabase bruges til at registrere dockerafbildninger, der bruges til oplæring og udrulninger. For at minimere omkostningerne oprettes der først en ny Azure Container Registry-ressource, når du har oprettet dit første billede. Du kan også vælge at oprette ressourcen nu eller vælge en eksisterende i dit abonnement eller vælge Ingen , hvis du ikke vil bruge en objektbeholderregistreringsdatabase.

Under fanen Netværk skal du vælge Aktivér offentlig adgang fra alle netværk.

Definer eventuelle relevante indstillinger under fanerne Avanceret eller Mærker , og vælg derefter Gennemse + opret.
Under fanen Gennemse + opret skal du gennemse oplysningerne for at bekræfte, at det er korrekt, og derefter vælge Opret for at begynde at udrulle dit arbejdsområde. Det kan f.eks. være:

Det kan tage flere minutter at oprette dit arbejdsområde i cloudmiljøet. I denne periode vises den aktuelle installationsstatus på siden Oversigt for arbejdsområdet, og den opdateres, når installationen er fuldført.

Trinnene i denne procedure refererer til bestemte artikler i dokumentationen til Azure Machine Learning, når det er relevant. Du kan få flere oplysninger under Sådan opretter du et sikkert Azure Machine Learning-arbejdsområde.

Opret et springfelt for en virtuel maskine (VM) i et virtuelt netværk. Da det virtuelle netværk begrænser adgangen fra det offentlige internet, bruges springfeltet som en måde at oprette forbindelse til ressourcer bag det virtuelle netværk på.
Få adgang til springfeltet, og gå derefter til dit Microsoft Sentinel arbejdsområde. Vi anbefaler, at du bruger Azure Bastion til at få adgang til vm'en.
For Microsoft Sentinel i Azure Portal skal du under Trusselsadministration vælge Notesbøger.
For Microsoft Sentinel på Defender-portalen skal du vælge Microsoft Sentinel>Nreat administrere>notesbøger.
Vælg Konfigurer Azure Machine Learning>Opret et nyt AML-arbejdsområde.

Angiv følgende oplysninger, og vælg derefter Næste.

Feltet	Beskrivelse
Abonnement	Vælg det Azure abonnement, du vil bruge.
Ressourcegruppe	Brug en eksisterende ressourcegruppe i dit abonnement, eller angiv et navn for at oprette en ny ressourcegruppe. En ressourcegruppe indeholder relaterede ressourcer til en Azure løsning.
Navn på arbejdsområde	Angiv et entydigt navn, der identificerer dit arbejdsområde. Navne skal være entydige på tværs af ressourcegruppen. Brug et navn, der er nemt at huske, og til at skelne fra arbejdsområder, der er oprettet af andre.
Region	Vælg den placering, der er tættest på brugerne og dataressourcerne for at oprette dit arbejdsområde.
Lagerkonto	En lagerkonto bruges som standarddatalager for arbejdsområdet. Du kan oprette en ny Azure Lagerressource eller vælge en eksisterende i dit abonnement.
KeyVault	En key vault bruges til at gemme hemmeligheder og andre følsomme oplysninger, der kræves af arbejdsområdet. Du kan oprette en ny Azure Key Vault ressource eller vælge en eksisterende i dit abonnement.
Application Insights	Arbejdsområdet bruger Azure Application Insights til at gemme overvågningsoplysninger om dine udrullede modeller. Du kan oprette en ny Azure Application Insights-ressource eller vælge en eksisterende i dit abonnement.
Objektbeholderregistreringsdatabase	En objektbeholderregistreringsdatabase bruges til at registrere dockerafbildninger, der bruges til oplæring og udrulninger. For at minimere omkostningerne oprettes der først en ny Azure Container Registry-ressource, når du har oprettet dit første billede. Du kan også vælge at oprette ressourcen nu eller vælge en eksisterende i dit abonnement eller vælge Ingen , hvis du ikke vil bruge en objektbeholderregistreringsdatabase.

Under fanen Netværk skal du vælge Deaktiver offentlig adgang og bruge privat slutpunkt. Sørg for at bruge det samme virtuelle netværk, som du har i feltet SPRING TIL VM. Det kan f.eks. være:
Definer eventuelle relevante indstillinger under fanerne Avanceret eller Mærker , og vælg derefter Gennemse + opret.
Under fanen Gennemse + opret skal du gennemse oplysningerne for at bekræfte, at det er korrekt, og derefter vælge Opret for at begynde at udrulle dit arbejdsområde. Det kan f.eks. være:

Det kan tage flere minutter at oprette dit arbejdsområde i cloudmiljøet. I denne periode vises den aktuelle installationsstatus på siden Oversigt for arbejdsområdet, og den opdateres, når installationen er fuldført.
Opret en ny beregning på siden Compute i Azure Machine Learning Studio. På fanen Avancerede indstillinger skal du sørge for at vælge det samme virtuelle netværk, som du havde brugt til feltet med vm-spring. Du kan få flere oplysninger under Opret og administrer en Azure Machine Learning-beregningsforekomst.
Konfigurer netværkstrafikken for at få adgang Azure Machine Learning bag en firewall. Du kan få flere oplysninger under Konfigurer indgående og udgående netværkstrafik.

Fortsæt med et af følgende sæt trin:

Hvis du kun har ét privat link: Du kan nu få adgang til notesbøgerne via en af følgende metoder:
- Klon og start notesbøger fra Microsoft Sentinel til Azure Machine Learning
- Overfør notesbøger til Azure Machine Learning manuelt
- Klon GitHub-lageret Microsoft Sentinel notesbøger på Azure Machine Learning-terminalen
Hvis du har et andet privat link, der bruger et andet VNET, skal du gøre følgende:
1. I Azure Portal skal du gå til ressourcegruppen for dit Azure Machine Learning-arbejdsområde og derefter søge efter de Privat DNS zoneressourcer med navnet privatelink.api.azureml.ms og privatelink.notebooks.azure.ms. Det kan f.eks. være:
2. Tilføj et virtuelt netværkslink for hver ressource, herunder både privatelink.api.azureml.ms og privatelink.notebooks.azure.ms.
  
  Vælg tilføj links til virtuelle netværk>for ressourcer>. Du kan få flere oplysninger under Link det virtuelle netværk.

Du kan finde flere oplysninger under:

Når udrulningen er fuldført, skal du gå tilbage til Notesbøger i Microsoft Sentinel og starte notesbøger fra dit nye Azure Machine Learning-arbejdsområde.

Hvis du har flere notesbøger, skal du sørge for at vælge et AML-standardarbejdsområde, der skal bruges, når du starter dine notesbøger. Det kan f.eks. være:

Vælg et AML-standardarbejdsområde til dine notesbøger.

Start en notesbog i dit Azure Machine Learning-arbejdsområde

Når du har oprettet et Azure Machine Learning-arbejdsområde, skal du starte din notesbog i det pågældende arbejdsområde fra Microsoft Sentinel. Vær opmærksom på, at hvis du har private slutpunkter eller begrænsninger for den offentlige netværksadgang aktiveret på din Azure lagerkonto, kan du ikke starte notesbøger i Azure Machine Learning-arbejdsområdet fra Microsoft Sentinel. Du skal kopiere notesbogskabelonen fra Microsoft Sentinel og uploade notesbogen til Azure Machine Learning Studio.

Hvis du vil starte din Microsoft Sentinel notesbog i dit Azure Machine Learning-arbejdsområde, skal du fuldføre følgende trin.

For Microsoft Sentinel i Azure Portal skal du under Trusselsadministration vælge Notesbøger.
For Microsoft Sentinel på Defender-portalen skal du vælge Microsoft Sentinel>Nreat administrere>notesbøger.
Vælg fanen Skabeloner for at se de notesbøger, Microsoft Sentinel indeholder.
Vælg en notesbog for at få vist beskrivelsen, de påkrævede datatyper og datakilder.
Når du finder den notesbog, du vil bruge, skal du vælge Opret fra skabelon og Gem for at klone den til dit eget arbejdsområde. Det er kun Azure Machine Learning-arbejdsområder i det samme abonnement, der kan vælges.
Rediger navnet efter behov. Hvis notesbogen allerede findes i dit arbejdsområde, skal du overskrive den eksisterende notesbog eller oprette en ny. Din notesbog gemmes som standard i /Users/<Your_User_Name>/directory for det valgte AML-arbejdsområde.
Når notesbogen er gemt, ændres knappen Gem notesbog til Start notesbog. Vælg Start notesbog for at åbne den i dit AML-arbejdsområde.

Det kan f.eks. være:
Øverst på siden skal du vælge en beregningsforekomst , der skal bruges til din notesbogserver.

Hvis du ikke har en beregningsforekomst, skal du oprette en ny. Hvis din beregningsforekomst er stoppet, skal du sørge for at starte den. Du kan få flere oplysninger under Kør en notesbog i Azure Machine Learning Studio.

Det er kun dig, der kan se og bruge de beregningsforekomster, du opretter. Dine brugerfiler gemmes separat fra den virtuelle maskine og deles mellem alle beregningsforekomster i arbejdsområdet.

Hvis du opretter en ny beregningsforekomst for at teste dine notesbøger, skal du oprette din beregningsforekomst med kategorien Generel.

Kernen vises også øverst til højre i dit Azure Machine Learning-vindue. Hvis den kerne, du har brug for, ikke er valgt, skal du vælge en anden version på rullelisten.
Når notesbogserveren er oprettet og startet, skal du køre dine notesbogceller. I hver celle skal du vælge ikonet Kør for at køre notesbogkoden.

Du kan få flere oplysninger under Genveje i kommandotilstand.
Hvis din notesbog hænger, eller du vil starte forfra, kan du genstarte kernen og køre cellerne i notesbogen igen fra begyndelsen. Hvis du genstarter kernen, slettes variabler og andre tilstande. Kør alle initialiserings- og godkendelsesceller igen, når du har genstartet.

Hvis du vil starte forfra, skal du vælge Kernehandlinger>Genstart kerne. Det kan f.eks. være:

Kør kode i din notesbog

Kør altid kodeceller i notesbogen i rækkefølge. Hvis du springer celler over, kan det medføre fejl.

I en notesbog:

Markdown-celler har tekst, herunder HTML og statiske billeder.
Kodeceller indeholder kode. Når du har valgt en kodecelle, skal du køre koden i cellen ved at vælge ikonet Afspil til venstre for cellen eller ved at trykke på SKIFT+ENTER.

Kør f.eks. følgende kodecelle i din notesbog:

# This is your first code cell. This cell contains basic Python code.

# You can run a code cell by selecting it and then selecting
# the Play button to the left of the cell, or by pressing SHIFT+ENTER.
# Code output displays below the code.

print("Congratulations, you just ran this code cell")

y = 2 + 2

print("2 + 2 =", y)

Eksempelkoden giver dette output:

Congratulations, you just ran this code cell

2 + 2 = 4

Variabler, der er angivet i en kodecelle i en notesbog, bevares mellem celler, så du kan sammenkæde celler. Følgende kodecelle bruger f.eks. værdien af y fra den forrige celle:

# Note that output from the last line of a cell is automatically
# sent to the output cell, without needing the print() function.

y + 2

Outputtet er:

Download alle Microsoft Sentinel notesbøger

I dette afsnit beskrives det, hvordan du bruger Git til at downloade alle de notesbøger, der er tilgængelige i Microsoft Sentinel GitHub-lageret, fra en Microsoft Sentinel notesbog direkte til dit Azure Machine Learning-arbejdsområde.

Hvis du gemmer de Microsoft Sentinel notesbøger i dit Azure Machine Learning-arbejdsområde, kan du nemt holde dem opdateret.

Angiv følgende kode i en tom celle fra en Microsoft Sentinel notesbog, og kør derefter cellen:
```
!git clone https://github.com/Azure/Azure-Sentinel-Notebooks.git azure-sentinel-nb
```
Der oprettes en kopi af indholdet af GitHub-lageret i mappen azure-Sentinel-nb i brugermappen i dit Azure Machine Learning-arbejdsområde.
Kopiér de ønskede notesbøger fra denne mappe til arbejdsmappen.
Hvis du vil opdatere dine notesbøger med eventuelle seneste ændringer fra GitHub, skal du køre:
```
!cd azure-sentinel-nb && git pull
```

Feedback

Var denne side nyttig?

Last updated on 2026-04-23