Tietoturvauhkien etsiminen Jupyter-muistikirjoilla

Koskee seuraavia:: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Käynnistä ja suorita Jupyter-muistikirjoja tietojesi ohjelmallisesti analysoimiseksi osana tietoturvatutkimuksia ja metsästystä.

Tässä artikkelissa luodaan Azure Automaattianalyysipalvelut-työtila, käynnistetään muistikirja Microsoft Sentinel Azure Automaattianalyysipalvelut-työtilaan ja suoritetaan koodi muistikirjassa.

Tärkeää

31.3.2027 jälkeen Microsoft Sentinel ei enää tueta Azure-portaali ja se on käytettävissä vain Microsoft Defender-portaalissa. Kaikki asiakkaat, jotka käyttävät Microsoft Sentinel Azure-portaali, ohjataan Defender-portaaliin ja he käyttävät Microsoft Sentinel vain Defender-portaalissa.

Jos käytät edelleen Microsoft Sentinel Azure-portaali, suosittelemme, että aloitat Defender-portaaliin siirtymisen suunnittelun, jotta siirtyminen olisi sujuvaa ja jotta voit hyödyntää täysin Microsoft Defender tarjoamaa yhtenäistä suojaustoimintokokemusta.

Ennakkovaatimukset

Suosittelemme, että tutustut Microsoft Sentinel muistikirjoihin ennen tämän artikkelin vaiheiden suorittamista. Katso Suojausuhkien etsiminen Jupyter-muistikirjojen avulla.

Jotta voit käyttää Microsoft Sentinel muistikirjoja, sinulla on oltava seuraavat roolit ja oikeudet:

Kirjoita	Tiedot
Microsoft Sentinel	- osallistujan Microsoft Sentinel rooli muistikirjojen tallentamiseksi ja käynnistämiseksi Microsoft Sentinel
Azure koneoppiminen	– Resurssiryhmätason omistajan tai osallistujan rooli, jotta voit tarvittaessa luoda uuden Azure automaattianalyysipalveluiden työtilaan. – Osallistujan rooli Azure automaattianalyysipalveluiden työtilassa, jossa suoritat Microsoft Sentinel muistikirjat. Lisätietoja on artikkelissa Azure Automaattianalyysipalvelut-työtilan käyttöoikeuksien hallinta.

Azure automaattianalyysipalveluiden työtilan luominen Microsoft Sentinel

Voit luoda työtilan valitsemalla jonkin seuraavista välilehdistä sen mukaan, käytätkö julkista vai yksityistä päätepistettä.

Suosittelemme, että käytät julkista päätepistettä, kun Microsoft Sentinel työtilassasi on sellainen, jotta vältät verkkoviestinnän mahdolliset ongelmat.
Jos haluat käyttää Azure Automaattianalyysipalvelut-työtilaa näennäisverkossa, käytä yksityistä päätepistettä.

Julkinen päätepiste
Yksityinen päätepiste

Valitse Azure-portaali Microsoft Sentinel Kohdassa Uhkien hallintaMuistikirjat.
Jos haluat Microsoft Sentinel Defender-portaalissa, valitse Microsoft Sentinel>Uhkiahallintamuistikirjat>.
Valitse Määritä Azure Koneoppiminen>Luo uusi AML-työtila.

Anna seuraavat tiedot ja valitse sitten Seuraava.

Kenttä	Kuvaus
Tilaus	Valitse Azure tilaus, jota haluat käyttää.
Resurssiryhmä	Käytä olemassa olevaa resurssiryhmää tilauksessasi tai anna nimi uuden resurssiryhmän luomiseksi. Resurssiryhmä sisältää Azure ratkaisun liittyvät resurssit.
Työtilan nimi	Anna yksilöivä nimi, joka määrittää työtilasi. Nimien on oltava yksilöllisiä koko resurssiryhmässä. Käytä nimeä, joka on helppo peruuttaa ja erottaa muiden luomista työtiloista.
Alue	Luo työtila valitsemalla sijainti, joka on lähimpänä käyttäjiäsi ja tietoresursseja.
Tallennustili	Tallennustiliä käytetään työtilan oletustietosäilönä. Voit luoda uuden Azure Säilöresurssi tai valita olemassa olevan tilauksesi.
KeyVault	Avainsäilöä käytetään salaisten koodien ja muiden luottamuksellisten tietojen tallentamiseen, joita työtila tarvitsee. Voit luoda uuden Azure Key Vault resurssin tai valita olemassa olevan resurssin tilauksestasi.
Sovelluksen merkitykselliset tiedot	Työtila käyttää Azure Application Insightsia käyttöön otettujen mallien valvontatietojen tallentamiseen. Voit luoda uuden Azure Application Insights -resurssin tai valita olemassa olevan tilauksesi resurssin.
Säilörekisteri	Säilörekisteriä käytetään harjoittamisessa ja käyttöönotoissa käytettävien docker-kuvien rekisteröimiseen. Kustannusten minimoimiseksi uusi Azure säilörekisteriresurssi luodaan vasta ensimmäisen kuvan muodostamisen jälkeen. Vaihtoehtoisesti voit luoda resurssin nyt tai valita olemassa olevan resurssin tilauksessasi tai valita Ei mitään , jos et halua käyttää mitään säilörekisteriä.

Valitse Verkkopalvelu-välilehdeltäOta julkinen käyttö käyttöön kaikissa verkoissa.

Määritä tarvittavat asetukset Lisäasetukset - tai Tunnisteet-välilehdissä ja valitse sitten Tarkista + luo.
Tarkista Tarkista + luo -välilehdessä tiedot ja varmista, että ne ovat oikein, ja aloita sitten työtilan käyttöönotto valitsemalla Luo . Esimerkki:

Työtilan luominen pilvipalvelussa voi kestää useita minuutteja. Tänä aikana työtilan Yleiskatsaus-sivulla näkyy nykyinen käyttöönoton tila ja päivitykset, kun käyttöönotto on valmis.

Tämän menettelyn vaiheet viittaavat tiettyihin artikkeleihin Azure automaattianalyysipalveluiden dokumentaatiossa tarvittaessa. Lisätietoja on artikkelissa Suojatun Azure koneoppimistyötilan luominen.

Näennäiskoneen (VM) hyppyruudun luominen näennäisverkossa. Koska näennäisverkko rajoittaa pääsyä julkisesta Internetistä, hyppyruutua käytetään keinona muodostaa yhteys näennäisverkon takana oleviin resursseihin.
Käytä hyppyruutua ja siirry sitten Microsoft Sentinel työtilaan. Suosittelemme käyttämään Azure Bastionia näennäiskoneen käyttämiseen.
Valitse Azure-portaali Microsoft Sentinel Kohdassa Uhkien hallintaMuistikirjat.
Jos haluat Microsoft Sentinel Defender-portaalissa, valitse Microsoft Sentinel>Uhkiahallintamuistikirjat>.
Valitse Määritä Azure Koneoppiminen>Luo uusi AML-työtila.

Anna seuraavat tiedot ja valitse sitten Seuraava.

Kenttä	Kuvaus
Tilaus	Valitse Azure tilaus, jota haluat käyttää.
Resurssiryhmä	Käytä olemassa olevaa resurssiryhmää tilauksessasi tai anna nimi uuden resurssiryhmän luomiseksi. Resurssiryhmä sisältää Azure ratkaisun liittyvät resurssit.
Työtilan nimi	Anna yksilöivä nimi, joka määrittää työtilasi. Nimien on oltava yksilöllisiä koko resurssiryhmässä. Käytä nimeä, joka on helppo peruuttaa ja erottaa muiden luomista työtiloista.
Alue	Luo työtila valitsemalla sijainti, joka on lähimpänä käyttäjiäsi ja tietoresursseja.
Tallennustili	Tallennustiliä käytetään työtilan oletustietosäilönä. Voit luoda uuden Azure Säilöresurssi tai valita olemassa olevan tilauksesi.
KeyVault	Avainsäilöä käytetään salaisten koodien ja muiden luottamuksellisten tietojen tallentamiseen, joita työtila tarvitsee. Voit luoda uuden Azure Key Vault resurssin tai valita olemassa olevan resurssin tilauksestasi.
Sovelluksen merkitykselliset tiedot	Työtila käyttää Azure Application Insightsia käyttöön otettujen mallien valvontatietojen tallentamiseen. Voit luoda uuden Azure Application Insights -resurssin tai valita olemassa olevan tilauksesi resurssin.
Säilörekisteri	Säilörekisteriä käytetään harjoittamisessa ja käyttöönotoissa käytettävien docker-kuvien rekisteröimiseen. Kustannusten minimoimiseksi uusi Azure säilörekisteriresurssi luodaan vasta ensimmäisen kuvan muodostamisen jälkeen. Vaihtoehtoisesti voit luoda resurssin nyt tai valita olemassa olevan resurssin tilauksessasi tai valita Ei mitään , jos et halua käyttää mitään säilörekisteriä.

Valitse Verkkopalvelu-välilehdeltäPoista julkinen käyttö ja käytä yksityistä päätepistettä. Varmista, että käytät samaa näennäisverkkoa kuin näennäiskoneen hyppyruudussa. Esimerkki:
Määritä tarvittavat asetukset Lisäasetukset - tai Tunnisteet-välilehdissä ja valitse sitten Tarkista + luo.
Tarkista Tarkista + luo -välilehdessä tiedot ja varmista, että ne ovat oikein, ja aloita sitten työtilan käyttöönotto valitsemalla Luo . Esimerkki:

Työtilan luominen pilvipalvelussa voi kestää useita minuutteja. Tänä aikana työtilan Yleiskatsaus-sivulla näkyy nykyinen käyttöönoton tila ja päivitykset, kun käyttöönotto on valmis.
Luo uusi käsittely Azure Automaattianalyysistudion Käsittely-sivulla. Varmista Lisäasetukset-välilehdessä , että valitset saman näennäisverkon, jota olet käyttänyt näennäiskoneen siirtymisruudussa. Lisätietoja on artikkelissa Azure koneoppimisen käsittelyesiintymän luominen ja hallinta.
Määritä verkkoliikenne käyttämään Azure Automaattianalyysipalvelut palomuurin takaa. Lisätietoja on kohdassa Saapuvan ja lähtevän verkkoliikenteen määrittäminen.

Jatka jollakin seuraavista vaiheista:

Jos sinulla on vain yksi yksityinen linkki: Voit nyt käyttää muistikirjoja jollakin seuraavista tavoista:
- Kloonaa ja käynnistä muistikirjoja Microsoft Sentinel Azure koneoppimiseen
- Lataa muistikirjat Azure automaattianalyysipalveluihin manuaalisesti
- Kloonaa Microsoft Sentinel muistikirjojen GitHub-säilö Azure automaattianalyysipalveluiden päätteessä
Jos sinulla on toinen yksityinen linkki, joka käyttää eri VNET:tä, toimi seuraavasti:
1. Siirry Azure-portaali Azure Automaattianalyysipalvelut-työtilan resurssiryhmään ja etsi sitten Yksityinen DNS-vyöhyke vyöhykkeen resursseja nimeltä privatelink.api.azureml.ms ja privatelink.notebooks.azure.ms. Esimerkki:
2. Lisää kullekin resurssille, mukaan lukien sekä privatelink.api.azureml.msettä privatelink.notebooks.azure.ms, näennäisverkkolinkki.
  
  Valitse resurssin >näennäisverkkolinkit>Lisää. Lisätietoja on kohdassa Näennäisverkon linkittäminen.

Lisätietoja on seuraavissa artikkeleissa:

Kun käyttöönotto on valmis, palaa takaisin Microsoft Sentinel muistikirjoihin ja käynnistä muistikirjat uudesta Azure Automaattianalyysipalvelut-työtilasta.

Jos sinulla on useita muistikirjoja, muista valita oletusarvoinen AML-työtila, jota käytetään muistikirjojen käynnistämiseen. Esimerkki:

Valitse muistikirjoille oletusarvoinen AML-työtila.

Käynnistä muistikirja Azure Automaattianalyysipalvelut-työtilassa

Kun olet luonut Azure Automaattianalyysipalvelut-työtilan, käynnistä muistikirjasi kyseisessä työtilassa Microsoft Sentinel. Huomaa, että jos Azure-tallennustililläsi on käytössä yksityiset päätepisteet tai julkisen verkon käyttörajoitukset, et voi käynnistää Azure Automaattianalyysipalvelut-työtilassa olevia muistikirjoja Microsoft Sentinel. Sinun on kopioitava muistikirjamalli Microsoft Sentinel ja ladattava muistikirja Azure Automaattianalyysistudioon.

Voit käynnistää Microsoft Sentinel-muistikirjan Azure Automaattianalyysipalvelut-työtilassa seuraavasti.

Valitse Azure-portaali Microsoft Sentinel Kohdassa Uhkien hallintaMuistikirjat.
Jos haluat Microsoft Sentinel Defender-portaalissa, valitse Microsoft Sentinel>Uhkiahallintamuistikirjat>.
Valitsemalla Mallit-välilehden voit tarkastella Microsoft Sentinel tarjoamia muistikirjoja.
Valitse muistikirja, jos haluat tarkastella sen kuvausta, vaadittuja tietotyyppejä ja tietolähteitä.
Kun löydät muistikirjan, jota haluat käyttää, valitse Luo mallista ja Tallenna kloonataksesi sen omaan työtilaasi. Vain Azure samassa tilauksessa olevat koneoppimistyötilat voidaan valita.
Muokkaa nimeä tarpeen mukaan. Jos muistikirja on jo olemassa työtilassasi, korvaa aiemmin luotu muistikirja tai luo uusi. Oletusarvon mukaan muistikirja tallennetaan valitun AML-työtilan /Users/<Your_User_Name>/ -hakemistoon.
Kun muistikirja on tallennettu, Tallenna muistikirja -painike muuttuu Käynnistä muistikirja -painikkeeksi. Avaa muistikirja AML-työtilassa valitsemalla Käynnistä muistikirja .

Esimerkki:
Valitse sivun yläreunasta Käsittely-esiintymä , jota käytetään muistikirjapalvelimessasi.

Jos sinulla ei ole käsittelyesiintymää, luo uusi esiintymä. Jos käsittelyesiintymä pysäytetään, varmista, että käynnistät sen. Lisätietoja on artikkelissa Muistikirjan suorittaminen Azure Automaattianalyysistudiossa.

Vain sinä voit tarkastella ja käyttää luomiasi käsittelyesiintymiä. Käyttäjätiedostosi tallennetaan erillään näennäiskoneeseen, ja ne jaetaan työtilan kaikkien käsittelyesiintymien kesken.

Jos olet luomassa uutta käsittelyesiintymää muistikirjojen testaamista varten, luo käsittelyesiintymä Yleiskäsittely-luokassa.

Ydin näkyy myös Azure Automaattianalyysipalvelut-ikkunan oikeassa yläkulmassa. Jos tarvitsemaasi ydintä ei ole valittu, valitse toinen versio avattavasta luettelosta.
Kun muistikirjapalvelin on luotu ja käynnistetty, suorita muistikirjan solut. Suorita muistikirjakoodi valitsemalla kussakin solussa Suorita-kuvake.

Lisätietoja on kohdassa Komentotilan pikakuvakkeet.
Jos muistikirja jumitt tai haluat aloittaa alusta, voit käynnistää ytimen uudelleen ja suorittaa muistikirjan solut alusta alkaen. Jos käynnistät ytimen uudelleen, muuttujat ja muu tila poistetaan. Suorita kaikki alustus- ja todennussolut uudelleen uudelleenkäynnistyksen jälkeen.

Aloita alusta valitsemalla Ydintoiminnot>Käynnistä ydin uudelleen. Esimerkki:

Suorita koodi muistikirjassa

Suorita muistikirjan koodisolut aina järjestyksessä. Solujen ohittaminen voi aiheuttaa virheitä.

Muistikirjassa:

Markdown-soluissa on tekstiä, kuten HTML ja staattisia kuvia.
Koodisolut sisältävät koodia. Kun olet valinnut koodisolun, suorita koodi solussa valitsemalla Toista-kuvake solun vasemmalla puolella tai painamalla VAIHTO+ENTER.

Suorita esimerkiksi seuraava koodisolu muistikirjassasi:

# This is your first code cell. This cell contains basic Python code.

# You can run a code cell by selecting it and then selecting
# the Play button to the left of the cell, or by pressing SHIFT+ENTER.
# Code output displays below the code.

print("Congratulations, you just ran this code cell")

y = 2 + 2

print("2 + 2 =", y)

Mallikoodi tuottaa tämän tuloksen:

Congratulations, you just ran this code cell

2 + 2 = 4

Muistikirjan koodisolussa määritetyt muuttujat pysyvät solujen välillä, joten voit ketjuttaa soluja yhteen. Esimerkiksi seuraava koodisolu käyttää edellisen solun y arvoa:

# Note that output from the last line of a cell is automatically
# sent to the output cell, without needing the print() function.

y + 2

Tuloste on:

Lataa kaikki Microsoft Sentinel muistikirjat

Tässä osiossa kuvataan, miten voit käyttää Git-toimintoa kaikkien GitHub Microsoft Sentinel säilössä käytettävissä olevien muistikirjojen lataamiseen Microsoft Sentinel-muistikirjan sisältä suoraan Azure Automaattianalyysipalvelut-työtilaan.

Kun tallennat Microsoft Sentinel muistikirjat Azure Automaattianalyysipalvelut-työtilaan, voit pitää ne helposti ajan tasalla.

Kirjoita seuraava koodi tyhjään soluun Microsoft Sentinel muistikirjasta ja suorita sitten solu:
```
!git clone https://github.com/Azure/Azure-Sentinel-Notebooks.git azure-sentinel-nb
```
GitHub-säilön sisällön kopio luodaan azure-Sentinel-nb-hakemistoon Azure Machine Learning -työtilan käyttäjäkansioon.
Kopioi haluamasi muistikirjat tästä kansiosta työhakemistoon.
Päivitä GitHubin uusimmat muutokset muistikirjoihin suorittamalla:
```
!cd azure-sentinel-nb && git pull
```

Palaute

Onko tästä sivusta apua?

Last updated on 2026-04-23