Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Jupyter Notebooks kombinieren vollständige Programmierbarkeit mit einer riesigen Sammlung von Bibliotheken für maschinelles Lernen, Visualisierung und Datenanalyse. Diese Attribute machen Jupyter zu einem überzeugenden Tool für Sicherheitsuntersuchungen und -hunting.
Die Grundlage von Microsoft Sentinel ist der Datenspeicher. Er kombiniert Hochleistungsabfragen, dynamisches Schema und skaliert auf riesige Datenmengen. Die Azure-Portal und alle Microsoft Sentinel Tools verwenden eine gemeinsame API für den Zugriff auf diesen Datenspeicher. Dieselbe API ist auch für externe Tools wie Jupyter Notebooks und Python verfügbar.
Wichtig
Nach dem 31. März 2027 werden Microsoft Sentinel im Azure-Portal nicht mehr unterstützt und sind nur im Microsoft Defender-Portal verfügbar. Alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, werden zum Defender-Portal umgeleitet und verwenden Microsoft Sentinel nur im Defender-Portal.
Wenn Sie weiterhin Microsoft Sentinel im Azure-Portal verwenden, empfehlen wir Ihnen, den Übergang zum Defender-Portal zu planen, um einen reibungslosen Übergang zu gewährleisten und die von Microsoft Defender angebotenen einheitlichen Sicherheitsvorgänge in vollem Umfang zu nutzen.
Verwendung von Jupyter Notebooks
Während viele allgemeine Aufgaben im Portal ausgeführt werden können, erweitert Jupyter den Umfang der Aktionen, die Sie mit diesen Daten ausführen können.
Verwenden Sie beispielsweise Notebooks für Folgendes:
- Durchführen von Analysen, die nicht standardmäßig in Microsoft Sentinel bereitgestellt werden, z. B. einige Python-Features für maschinelles Lernen
- Erstellen von Datenvisualisierungen, die nicht standardmäßig in Microsoft Sentinel bereitgestellt werden, z. B. benutzerdefinierte Zeitachsen und Prozessstrukturen
- Integrieren Sie Datenquellen außerhalb von Microsoft Sentinel, z. B. ein lokales Dataset.
Wir haben die Jupyter-Erfahrung in die Azure-Portal integriert, sodass Sie Notebooks zum Analysieren Ihrer Daten einfach erstellen und ausführen können. Die Kqlmagic-Bibliothek stellt den Glue bereit, mit dem Sie Kusto-Abfragesprache Abfragen (KQL) aus Microsoft Sentinel direkt in einem Notebook ausführen können.
Mehrere Notebooks, die von einigen Sicherheitsanalysten von Microsoft entwickelt wurden, sind mit Microsoft Sentinel gepackt:
- Einige dieser Notebooks sind für ein bestimmtes Szenario erstellt und können unverändert verwendet werden.
- Andere sind als Beispiele gedacht, um Techniken und Features zu veranschaulichen, die Sie kopieren oder für die Verwendung in Ihren eigenen Notizbüchern anpassen können.
Importieren Sie andere Notebooks aus dem Microsoft Sentinel GitHub-Repository.
Funktionsweise von Jupyter Notebooks
Notebooks verfügen über zwei Komponenten:
- Die browserbasierte Schnittstelle, in der Sie Abfragen und Code eingeben und ausführen und wo die Ergebnisse der Ausführung angezeigt werden.
- Ein Kernel , der für das Analysieren und Ausführen des Codes selbst verantwortlich ist.
Der Kernel des Microsoft Sentinel Notebooks wird auf einem Azure virtuellen Computer (VM) ausgeführt. Die VM instance kann die gleichzeitige Ausführung vieler Notebooks unterstützen. Wenn Ihre Notebooks komplexe Machine Learning-Modelle enthalten, gibt es mehrere Lizenzierungsoptionen, um leistungsfähigere virtuelle Computer zu verwenden.
Grundlegendes zu Python-Paketen
Die Microsoft Sentinel Notebooks verwenden viele beliebte Python-Bibliotheken wie Pandas, Matplotlib, Bokeh und andere. Es gibt viele andere Python-Pakete, aus denen Sie wählen können, die bereiche wie die folgenden abdecken:
- Visualisierungen und Grafiken
- Datenverarbeitung und -analyse
- Statistik und numerisches Computing
- Machine Learning und Deep Learning
Um zu vermeiden, dass komplexer und sich wiederholender Code in Notebookzellen eingegeben oder eingefügt werden muss, basieren die meisten Python-Notebooks auf Bibliotheken von Drittanbietern, die als Pakete bezeichnet werden. Um ein Paket in einem Notebook verwenden zu können, müssen Sie das Paket sowohl installieren als auch importieren. Azure Machine Learning Compute sind die meisten gängigen Pakete vorinstalliert. Stellen Sie sicher, dass Sie das Paket oder den relevanten Teil des Pakets importieren, z. B. ein Modul, eine Datei, eine Funktion oder eine Klasse.
Microsoft Sentinel Notebooks verwenden ein Python-Paket namens MSTICPy, bei dem es sich um eine Sammlung von Cybersicherheitstools zum Abrufen, Analysieren, Anreichern und Visualisieren von Daten handelt.
MSTICPy-Tools sind speziell für die Erstellung von Notebooks für die Suche und Untersuchung konzipiert, und wir arbeiten aktiv an neuen Features und Verbesserungen. Weitere Informationen finden Sie unter:
- Dokumentation zu MSTIC Jupyter- und Python-Sicherheitstools
- Erste Schritte mit Jupyter Notebooks und MSTICPy in Microsoft Sentinel
- Erweiterte Konfigurationen für Jupyter Notebooks und MSTICPy in Microsoft Sentinel
Notizbücher suchen
Wählen Sie Microsoft Sentinel Notizbücher aus, um Notizbücher anzuzeigen, die Microsoft Sentinel bereitstellt. Erfahren Sie mehr über die Verwendung von Notebooks bei der Bedrohungssuche und -untersuchung, indem Sie Notebookvorlagen wie die Überprüfung von Anmeldeinformationen auf Azure Log Analytics und Guided Investigation – Process Alerts untersuchen.
Weitere Notebooks, die von Microsoft erstellt wurden oder aus der Community stammen, finden Sie Microsoft Sentinel GitHub-Repository. Verwenden Sie Notebooks, die im Microsoft Sentinel GitHub-Repository freigegeben sind, als nützliche Tools, Illustrationen und Codebeispiele, die Sie bei der Entwicklung Ihrer eigenen Notebooks verwenden können.
Das
Sample-NotebooksVerzeichnis enthält Beispielnotebooks, die mit Daten gespeichert werden, mit denen Sie die beabsichtigte Ausgabe anzeigen können.Das
HowTosVerzeichnis enthält Notebooks, die Konzepte wie das Festlegen Ihrer Python-Standardversion, das Erstellen von Microsoft Sentinel Lesezeichen aus einem Notebook usw. beschreiben.
Verwalten des Zugriffs auf Microsoft Sentinel Notebooks
Um Jupyter Notebooks in Microsoft Sentinel verwenden zu können, müssen Sie je nach Benutzerrolle zuerst über die richtigen Berechtigungen verfügen.
Während Sie Microsoft Sentinel Notebooks in JupyterLab oder Jupyter Classic ausführen können, werden Notebooks in Microsoft Sentinel auf einer Azure Machine Learning-Plattform ausgeführt. Zum Ausführen von Notebooks in Microsoft Sentinel müssen Sie sowohl auf Microsoft Sentinel Arbeitsbereich als auch auf einen Azure Machine Learning-Arbeitsbereich verfügen.
| Berechtigung | Beschreibung |
|---|---|
| Microsoft Sentinel Berechtigungen | Für den Zugriff auf Notizbücher auf Microsoft Sentinel Blatt "Notizbücher" gilt wie bei anderen Microsoft Sentinel Ressourcen die Rolle Microsoft Sentinel Leser, Microsoft Sentinel Responder oder Microsoft Sentinel Mitwirkender. Erforderlich. Weitere Informationen finden Sie unter Berechtigungen in Microsoft Sentinel. |
| Azure Machine Learning-Berechtigungen | Ein Azure Machine Learning-Arbeitsbereich ist eine Azure Ressource. Wenn ein neuer Azure Machine Learning-Arbeitsbereich erstellt wird, enthält er wie andere Azure-Ressourcen Standardrollen. Sie können dem Arbeitsbereich Benutzer hinzufügen und sie einer dieser integrierten Rollen zuweisen. Weitere Informationen finden Sie unter Azure Machine Learning-Standardrollen und Azure integrierten Rollen. Wichtig: Der Rollenzugriff kann in Azure auf mehrere Ebenen festgelegt werden. Beispielsweise hat eine Person mit Besitzerzugriff auf einen Arbeitsbereich möglicherweise keinen Besitzerzugriff auf die Ressourcengruppe, die den Arbeitsbereich enthält. Weitere Informationen finden Sie unter Funktionsweise Azure RBAC. Wenn Sie Besitzer eines Azure ML-Arbeitsbereichs sind, können Sie Rollen für den Arbeitsbereich hinzufügen und entfernen und Benutzern Rollen zuweisen. Weitere Informationen finden Sie unter: - Azure-Portal - Powershell - Azure CLI - REST-API - Azure Resource Manager Vorlagen - Azure Machine Learning CLI Wenn die integrierten Rollen nicht ausreichen, können Sie auch benutzerdefinierte Rollen erstellen. Benutzerdefinierte Rollen verfügen möglicherweise über Lese-, Schreib-, Lösch- und Computeressourcenberechtigungen in diesem Arbeitsbereich. Sie können die Rolle auf einer bestimmten Arbeitsbereichsebene, auf einer bestimmten Ressourcengruppenebene oder auf einer bestimmten Abonnementebene verfügbar machen. Weitere Informationen finden Sie unter Erstellen einer benutzerdefinierten Rolle. |
Übermitteln von Feedback für ein Notizbuch
Übermitteln Sie Feedback, Anforderungen für Features, Fehlerberichte oder Verbesserungen an vorhandenen Notebooks. Wechseln Sie zum Microsoft Sentinel GitHub-Repository, um ein Issue zu erstellen, oder forken Sie, und laden Sie einen Beitrag hoch.
Verwandte Inhalte
- Suchen nach Sicherheitsbedrohungen mit Jupyter Notebooks
- Erste Schritte mit Jupyter Notebooks und MSTICPy in Microsoft Sentinel
- Vorbeugende Suche nach Bedrohungen
- Nachverfolgen von Daten während der Suche mit Microsoft Sentinel
Blogs, Videos und andere Ressourcen finden Sie unter:
- Erstellen Ihres ersten Microsoft Sentinel Notebooks (Blogreihe)
- Tutorial: Microsoft Sentinel Notebooks – Erste Schritte (Video)
- Tutorial: Bearbeiten und Ausführen von Jupyter Notebooks, ohne Azure Machine Learning Studio zu verlassen (Video)
- Erkennen von Anmeldeinformationsverlusten mithilfe von Azure Sentinel Notebooks (Video)
- Webinar: Grundlagen zu Microsoft Sentinel Notebooks (Video)
- Jupyter, msticpy und Microsoft Sentinel