Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Jupyter Notebooks sind ein integraler Bestandteil des Microsoft Sentinel Data Lake-Ökosystems und bieten leistungsstarke Tools für die Datenanalyse und Visualisierung. Die Notebooks werden von der Microsoft Sentinel Visual Studio Code-Erweiterung bereitgestellt, mit der Sie mithilfe von Python für Spark (PySpark) mit dem Data Lake interagieren können. Notebooks ermöglichen es Ihnen, komplexe Datentransformationen durchzuführen, Machine Learning-Modelle auszuführen und Visualisierungen direkt in der Notebook-Umgebung zu erstellen.
Die Microsoft Sentinel Visual Studio Code-Erweiterung mit Jupyter Notebooks bietet eine leistungsstarke Umgebung zum Untersuchen und Analysieren von Lake-Daten mit den folgenden Vorteilen:
- Interaktives Durchsuchen von Daten: Jupyter Notebooks bieten eine interaktive Umgebung zum Untersuchen und Analysieren von Daten. Sie können Codeausschnitte ausführen, Ergebnisse visualisieren und Ihre Ergebnisse an einem Ort dokumentieren.
- Integration in Python-Bibliotheken: Die Microsoft Sentinel-Erweiterung umfasst eine Vielzahl von Python-Bibliotheken, sodass Sie vorhandene Tools und Frameworks für Datenanalysen, maschinelles Lernen und Visualisierung verwenden können.
- Leistungsstarke Datenanalyse: Mit der Integration von Apache Spark-Computesitzungen können Sie die Leistungsfähigkeit des verteilten Computings nutzen, um große Datasets effizient zu analysieren. Auf diese Weise können Sie komplexe Transformationen und Aggregationen für Ihre Sicherheitsdaten durchführen.
- Geringe und langsame Angriffe: Analysieren Sie umfangreiche, komplexe, miteinander verbundene Daten im Zusammenhang mit Sicherheitsereignissen, Warnungen und Vorfällen, um die Erkennung komplexer Bedrohungen und Muster wie Lateral Movement oder langsame Angriffe zu ermöglichen, die herkömmliche regelbasierte Systeme umgehen können.
- KI- und ML-Integration: Integration in KI und maschinelles Lernen, um die Anomalieerkennung, Bedrohungsvorhersage und Verhaltensanalyse zu verbessern und Sicherheitsteams in die Lage zu versetzen, Agents zu erstellen, um ihre Untersuchungen zu automatisieren.
- Skalierbarkeit: Notebooks bieten die Skalierbarkeit, um große Datenmengen kostengünstig zu verarbeiten und eine umfassende Batchverarbeitung zum Aufdecken von Trends, Mustern und Anomalien zu ermöglichen.
- Visualisierungsfunktionen: Jupyter Notebooks unterstützen verschiedene Visualisierungsbibliotheken, sodass Sie Diagramme, Diagramme und andere visuelle Darstellungen Ihrer Daten erstellen können, sodass Sie Erkenntnisse gewinnen und Ergebnisse effektiv kommunizieren können.
- Zusammenarbeit und Freigabe: Jupyter Notebooks können problemlos für Kollegen freigegeben werden, sodass die Zusammenarbeit an Datenanalyseprojekten möglich ist. Sie können Notizbücher in verschiedenen Formaten exportieren, einschließlich HTML und PDF, um die Freigabe und Präsentation zu vereinfachen.
- Dokumentation und Reproduzierbarkeit: Mit Jupyter Notebooks können Sie Code, Analysen und Ergebnisse in einer einzigen Datei dokumentieren, sodass Sie Ergebnisse einfacher reproduzieren und Ihre Arbeit mit anderen teilen können.
Lake-Erkundungsszenarien für Notebooks
Die folgenden Szenarien veranschaulichen, wie Jupyter Notebooks im Microsoft Sentinel Lake verwendet werden können, um Sicherheitsvorgänge zu verbessern:
| Szenario | Beschreibung |
|---|---|
| Benutzerverhalten aufgrund fehlerhafter Anmeldungen | Richten Sie eine Baseline des normalen Benutzerverhaltens ein, indem Sie Muster von fehlgeschlagenen Anmeldeversuchen analysieren. Untersuchen Sie Vorgänge, die vor und nach den fehlgeschlagenen Anmeldungen versucht wurden, um potenzielle Kompromittierungs- oder Brute-Force-Aktivitäten zu erkennen. |
| Pfade zu vertraulichen Daten | Identifizieren sie Benutzer und Geräte, die Zugriff auf vertrauliche Datenressourcen haben. Kombinieren Sie Zugriffsprotokolle mit Organisationskontext, um die Risikogefährdung zu bewerten, Zugriffspfade zuzuordnen und Bereiche für die Sicherheitsüberprüfung zu priorisieren. |
| Analyse der Anomaliegefahr | Analysieren Sie Bedrohungen, indem Sie Abweichungen von etablierten Baselines identifizieren, z. B. Anmeldungen von ungewöhnlichen Standorten, Geräten oder Zeiten. Überlagern Sie das Benutzerverhalten mit Ressourcendaten, um risikoreiche Aktivitäten zu identifizieren, einschließlich potenzieller Insider-Bedrohungen. |
| Priorisierung der Risikobewertung | Wenden Sie benutzerdefinierte Risikobewertungsmodelle auf Sicherheitsereignisse im Data Lake an. Erweitern Sie Ereignisse mit kontextbezogenen Signalen, z. B. Ressourcenkritikalität und Benutzerrolle, um risiken zu quantifizieren, den Strahlradius zu bewerten und Vorfälle für die Untersuchung zu priorisieren. |
| Explorative Analyse und Visualisierung | Führen Sie explorative Datenanalysen über mehrere Protokollquellen hinweg durch, um Angriffszeitachsen zu rekonstruieren, Die Grundursachen zu ermitteln und benutzerdefinierte Visualisierungen zu erstellen, die den Beteiligten helfen, Ergebnisse zu kommunizieren. |
Schreiben auf die Lake- und Analyseebene
Sie können Daten mithilfe von Notebooks auf die Lake-Ebene und die Analyseebene schreiben. Die Microsoft Sentinel-Erweiterung für Visual Studio Code stellt eine PySpark Python-Bibliothek bereit, die die Komplexität des Schreibens auf die Lake- und Analyseebene abstrahiert. Sie können die -Funktion der MicrosoftSentinelProvidersave_as_table() -Klasse verwenden, um Daten in benutzerdefinierte Tabellen zu schreiben oder Daten an vorhandene Tabellen auf der Lake- oder Analyseebene anzufügen. Weitere Informationen finden Sie unter Microsoft Sentinel Anbieterklassenreferenz.
Aufträge und Planung
Mithilfe der Microsoft Sentinel-Erweiterung für Visual Studio Code können Sie Aufträge so planen, dass sie zu bestimmten Zeiten oder Intervallen ausgeführt werden. Mit Aufträgen können Sie Datenverarbeitungsaufgaben automatisieren, um Daten im Microsoft Sentinel Data Lake zusammenzufassen, zu transformieren oder zu analysieren. Verwenden Sie Aufträge, um Daten zu verarbeiten und Ergebnisse in benutzerdefinierte Tabellen auf der Lake- oder Analyseebene zu schreiben. Weitere Informationen finden Sie unter Erstellen und Verwalten von Jupyter Notebook-Aufträgen.