Jupyter-muistikirjat, joissa on Microsoft Sentinel metsästysominaisuudet

  • Koskee seuraavia:: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Jupyter-muistikirjat yhdistävät täyden ohjelmoitavuuden valtavaan kirjastokokoelmaan koneoppimista, visualisointia ja tietojen analysointia varten. Nämä määritteet tekevät Jupyterista houkuttelevan työkalun turvallisuustutkintaan ja metsästykseen.

Microsoft Sentinel perusta on tietosäilö. Se yhdistää suorituskykyiset kyselyt, dynaamisen rakenteen ja skaalautuu valtaviin tietomääriin. Azure-portaali ja kaikki Microsoft Sentinel -työkalut käyttävät yleistä ohjelmointirajapintaa tämän tietosäilön käyttämiseen. Sama ohjelmointirajapinta on käytettävissä myös ulkoisille työkaluille, kuten Jupyter-muistikirjoille ja Pythonille.

Tärkeää

31.3.2027 jälkeen Microsoft Sentinel ei enää tueta Azure-portaali ja se on käytettävissä vain Microsoft Defender-portaalissa. Kaikki asiakkaat, jotka käyttävät Microsoft Sentinel Azure-portaali, ohjataan Defender-portaaliin ja he käyttävät Microsoft Sentinel vain Defender-portaalissa.

Jos käytät edelleen Microsoft Sentinel Azure-portaali, suosittelemme, että aloitat Defender-portaaliin siirtymisen suunnittelun, jotta siirtyminen olisi sujuvaa ja jotta voit hyödyntää täysin Microsoft Defender tarjoamaa yhtenäistä suojaustoimintokokemusta.

Milloin Jupyter-muistikirjoja kannattaa käyttää?

Vaikka portaalissa voidaan suorittaa monia yleisiä tehtäviä, Jupyter laajentaa näiden tietojen vaikutusaluetta.

Voit käyttää muistikirjoja esimerkiksi

  • Sellaisten analyysitoimintojen suorittaminen, joita ei ole saatavilla Microsoft Sentinel, kuten jotkin Python-koneoppimisominaisuudet
  • Luo tietojen visualisointeja, joita ei ole saatavilla valmiina Microsoft Sentinel, kuten mukautettuja aikajanoja ja prosessipuita
  • Integroi tietolähteitä Microsoft Sentinel ulkopuolella, kuten paikallinen tietojoukko.

Jupyter-käyttökokemus integroitiin Azure-portaali, joten muistikirjojen luominen ja suorittaminen tietojen analysoimiseksi on helppoa. Kqlmagic-kirjasto sisältää liiman, jonka avulla voit suorittaa Kusto Query Language (KQL) -kyselyjä Microsoft Sentinel ja suorittaa ne suoraan muistikirjassa.

Useat joidenkin Microsoftin tietoturva-analyytikkojen kehittämät muistikirjat on pakattu Microsoft Sentinel:

  • Jotkin näistä muistikirjoista on luotu tiettyä skenaariota varten, ja niitä voidaan käyttää sellaisenaan.
  • Muut kohteet on tarkoitettu malleiksi, jotka kuvaavat tekniikoita ja ominaisuuksia, joita voit kopioida tai mukauttaa käytettäväksi omissa muistikirjoissasi.

Tuo muut muistikirjat Microsoft Sentinel GitHub-säilöstä.

Näin Jupyter-muistikirjat toimivat

Muistikirjoissa on kaksi osaa:

  • Selainpohjainen liittymä, jossa voit syöttää ja suorittaa kyselyitä ja koodia sekä jossa suorituksen tulokset näytetään.
  • Ytimen, joka on vastuussa itse koodin jäsentämisestä ja suorittamisesta.

Microsoft Sentinel muistikirjan ydin suoritetaan Azure näennäiskoneessa. Näennäiskoneen esiintymä voi tukea useiden muistikirjojen suorittamista kerralla. Jos muistikirjoissasi on monimutkaisia koneoppimismalleja, olemassa on useita käyttöoikeusvaihtoehtoja, joiden avulla voit käyttää tehokkaampia näennäiskoneita.

Python-pakettien ymmärtäminen

Microsoft Sentinel muistikirjat käyttävät monia suosittuja Python-kirjastoja, kuten pandas, matplotlib, bokeh ja muut. Valittavanasi on monia muita Python-paketteja, jotka kattavat esimerkiksi seuraavat:

  • Visualisoinnit ja grafiikat
  • Tietojen käsittely ja analysointi
  • Tilastotiedot ja numeerinen käsittely
  • Koneoppiminen ja syväoppiminen

Jotta monitasoista ja toistuvaa koodia ei tarvitsisi kirjoittaa tai liittää muistikirjan soluihin, useimmat Python-muistikirjat ovat riippuvaisia kolmannen osapuolen kirjastoista, joita kutsutaan paketeiksi. Jos haluat käyttää pakettia muistikirjassa, sinun on sekä asennettava että tuotava paketti. Azure Automaattianalyysipalvelut sisältää yleisimmät paketit esiasennettuina. Varmista, että tuot paketin tai siihen liittyvän osan, kuten moduulin, tiedoston, funktion tai luokan.

Microsoft Sentinel muistikirjat käyttävät MSTICPy-nimistä Python-pakettia, joka on kokoelma kyberturvallisuustyökaluja tietojen noutamiseen, analysointiin, rikastamiseen ja visualisointiin.

MSTICPy-työkalut on suunniteltu erityisesti auttamaan muistikirjojen luomisessa metsästystä ja tutkintaa varten, ja pyrimme aktiivisesti uusiin ominaisuuksiin ja parannuksiin. Lisätietoja on seuraavissa artikkeleissa:

Etsi muistikirjat

Valitse Microsoft Sentinel Muistikirjat, niin näet Microsoft Sentinel muistikirjat. Lue lisätietoja muistikirjojen käytöstä uhkien metsästyksessä ja tutkinnassa tutustumalla muistikirjamalleihin, kuten tunnistetietojen tarkistukseen Azure Log Analyticsiin ja ohjattuun tutkintaan – Prosessihälytykset.

Jos haluat lisää Microsoftin luomia tai yhteisöltä saamia muistikirjoja, siirry Microsoft Sentinel GitHub-säilöön. Käytä Microsoft Sentinel GitHub -säilössä jaettuja muistikirjoja hyödyllisinä työkaluina, kuvituksina ja koodiesimertteinä, joita voit käyttää omia muistikirjoja kehittäessäsi.

  • Sample-Notebooks Hakemisto sisältää mallimuistikirjat, jotka on tallennettu tiedoilla, joiden avulla voit näyttää tarkoitetut tulokset.

  • HowTos Hakemisto sisältää muistikirjoja, jotka kuvaavat muun muassa oletus-Python-version määrittämista, Microsoft Sentinel kirjanmerkkien luomista muistikirjasta.

Microsoft Sentinel muistikirjojen käyttöoikeuksien hallinta

Jotta voit käyttää Jupyter-muistikirjoja Microsoft Sentinel, sinulla on ensin oltava oikeat käyttöoikeudet käyttäjäroolistasi riippuen.

Voit suorittaa Microsoft Sentinel muistikirjoja perinteisen JupyterLabin tai Jupyterin avulla, mutta Microsoft Sentinel muistikirjoja käytetään Azure automaattianalyysipalvelussa. Jos haluat suorittaa muistikirjoja Microsoft Sentinel, sinulla on oltava sekä Microsoft Sentinel työtila että Azure Automaattianalyysipalvelut-työtila.

Lupaa Kuvaus
Microsoft Sentinel oikeuksia Muiden Microsoft Sentinel resurssien tavoin muistikirjojen käyttäminen Microsoft Sentinel Muistikirjat-ruudussa, Microsoft Sentinel Reader-, Microsoft Sentinel Responder- tai Microsoft Sentinel Osallistuja -rooli on Tarvitaan.

Lisätietoja on artikkelissa Microsoft Sentinel käyttöoikeudet.
Azure automaattianalyysipalveluiden käyttöoikeudet Azure Automaattianalyysipalvelut-työtila on Azure resurssi. Muiden Azure resurssien tavoin, kun uusi Azure Automaattianalyysipalvelut-työtila luodaan, siihen liittyy oletusrooleja. Voit lisätä käyttäjiä työtilaan ja määrittää heidät johonkin näistä valmiista rooleista. Lisätietoja on artikkelissa Azure Automaattianalyysipalveluiden oletusroolit ja Azure sisäiset roolit.

Tärkeää: roolin käyttöoikeus voidaan rajata useille tasoille Azure. Esimerkiksi henkilöllä, jolla on työtilan omistajan käyttöoikeus, ei ehkä ole työtilan sisältävän resurssiryhmän omistajan käyttöoikeuksia. Lisätietoja on artikkelissa Azure RBAC:n toiminta.

Jos olet Azure koneoppimistyötilan omistaja, voit lisätä ja poistaa työtilan rooleja ja määrittää käyttäjille rooleja. Lisätietoja on seuraavissa artikkeleissa:
- Azure-portaali
- Powershell
- Azure komentorivikäyttöliittymä
- REST-ohjelmointirajapinta
- Azure Resource Manager mallit
- Azure-automaattianalyysipalveluiden komentorivikäyttöliittymä

Jos sisäiset roolit eivät riitä, voit myös luoda mukautettuja rooleja. Mukautetuilla rooleilla voi olla resurssin luku-, kirjoitus-, poisto- ja laskentaoikeudet kyseisessä työtilassa. Voit määrittää roolin käytettäväksi tietyllä työtilatasolla, tietyllä resurssiryhmätasolla tai tietyllä tilaustasolla. Lisätietoja on artikkelissa Mukautetun roolin luominen.

Palautteen lähettäminen muistikirjasta

Lähetä palautetta, toimintopyyntöjä, virheraportteja tai parannuksia aiemmin luotuihin muistikirjoihin. Siirry Microsoft Sentinel GitHub-säilöön ongelman luomiseksi tai tee haarauma ja lataa osa.

Aiheeseen liittyvä sisältö

Katso blogit, videot ja muut resurssit kohdasta:

  • Last updated on