Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les notebooks Jupyter font partie intégrante de l’écosystème de lac de données Microsoft Sentinel et offrent des outils puissants pour l’analyse et la visualisation des données. Les notebooks sont fournis par l’extension Microsoft Sentinel Visual Studio Code qui vous permet d’interagir avec le lac de données à l’aide de Python pour Spark (PySpark). Les notebooks vous permettent d’effectuer des transformations de données complexes, d’exécuter des modèles Machine Learning et de créer des visualisations directement dans l’environnement de notebook.
L’extension Microsoft Sentinel Visual Studio Code avec les notebooks Jupyter fournit un environnement puissant pour l’exploration et l’analyse des données de lac avec les avantages suivants :
- Exploration interactive des données : les notebooks Jupyter fournissent un environnement interactif pour l’exploration et l’analyse des données. Vous pouvez exécuter des extraits de code, visualiser les résultats et documenter vos résultats au même endroit.
- Intégration aux bibliothèques Python : l’extension Microsoft Sentinel inclut un large éventail de bibliothèques Python, ce qui vous permet d’utiliser des outils et des frameworks existants pour l’analyse des données, le Machine Learning et la visualisation.
- Analyse puissante des données : avec l’intégration des sessions de calcul Apache Spark, vous pouvez utiliser la puissance de l’informatique distribuée pour analyser efficacement les jeux de données volumineux. Cela vous permet d’effectuer des transformations et des agrégations complexes sur vos données de sécurité.
- Attaques faibles et lentes : analysez les données à grande échelle, complexes et interconnectées liées aux événements, alertes et incidents de sécurité, ce qui permet de détecter les menaces et les modèles sophistiqués, tels que les mouvements latéraux ou les attaques faibles et lentes qui peuvent échapper aux systèmes traditionnels basés sur des règles.
- Intégration de l’IA et du ML : intégrez l’IA et le Machine Learning pour améliorer la détection des anomalies, la prédiction des menaces et l’analyse comportementale, ce qui permet aux équipes de sécurité de créer des agents pour automatiser leurs investigations.
- Scalabilité : les notebooks offrent la scalabilité nécessaire pour traiter efficacement de grandes quantités de données et permettre un traitement par lots approfondi pour découvrir les tendances, les modèles et les anomalies.
- Fonctionnalités de visualisation : les notebooks Jupyter prennent en charge différentes bibliothèques de visualisation, ce qui vous permet de créer des graphiques, des graphiques et d’autres représentations visuelles de vos données, ce qui vous permet d’obtenir des insights et de communiquer efficacement les résultats.
- Collaboration et partage : les notebooks Jupyter peuvent être facilement partagés avec des collègues, ce qui permet de collaborer sur des projets d’analyse de données. Vous pouvez exporter des blocs-notes dans différents formats, notamment HTML et PDF, pour faciliter le partage et la présentation.
- Documentation et reproductibilité : les notebooks Jupyter vous permettent de documenter votre code, votre analyse et vos résultats dans un seul fichier, ce qui facilite la reproduction des résultats et le partage de votre travail avec d’autres personnes.
Scénarios d’exploration de lac pour les notebooks
Les scénarios suivants illustrent comment les notebooks Jupyter du Microsoft Sentinel Lake peuvent être utilisés pour améliorer les opérations de sécurité :
| Scénario | Description |
|---|---|
| Comportement de l’utilisateur à partir d’échecs de connexion | Établissez une base de référence du comportement normal de l’utilisateur en analysant les modèles de tentatives de connexion ayant échoué. Examinez les opérations tentées avant et après les échecs de connexion pour détecter une activité potentielle de compromission ou de force brute. |
| Chemins d’accès aux données sensibles | Identifiez les utilisateurs et les appareils qui ont accès aux ressources de données sensibles. Combinez les journaux d’accès avec le contexte organisationnel pour évaluer l’exposition aux risques, mapper les chemins d’accès et hiérarchiser les zones pour la révision de la sécurité. |
| Analyse des menaces d’anomalies | Analysez les menaces en identifiant les écarts par rapport aux bases de référence établies, telles que les connexions à partir d’emplacements, d’appareils ou d’heures inhabituels. Superposer le comportement de l’utilisateur avec des données de ressources pour identifier les activités à haut risque, y compris les menaces internes potentielles. |
| Hiérarchisation du scoring des risques | Appliquez des modèles de scoring des risques personnalisés aux événements de sécurité dans le lac de données. Enrichissez les événements avec des signaux contextuels tels que la criticité des ressources et le rôle d’utilisateur pour quantifier les risques, évaluer le rayon d’explosion et hiérarchiser les incidents à des fins d’investigation. |
| Analyse et visualisation exploratoires | Effectuez une analyse exploratoire des données sur plusieurs sources de journaux pour reconstruire les chronologies des attaques, déterminer les causes racines et créer des visualisations personnalisées qui aident à communiquer les résultats aux parties prenantes. |
Écriture dans le niveau lac et analytique
Vous pouvez écrire des données dans le niveau lac et le niveau analytique à l’aide de notebooks. L’extension Microsoft Sentinel pour Visual Studio Code fournit une bibliothèque Python PySpark qui fait abstraction de la complexité de l’écriture dans les niveaux lac et analytique. Vous pouvez utiliser la fonction de la MicrosoftSentinelProvider classe pour écrire des save_as_table() données dans des tables personnalisées ou ajouter des données à des tables existantes dans le niveau lac ou le niveau analytique. Pour plus d’informations, consultez Microsoft Sentinel informations de référence sur la classe Provider.
Travaux et planification
Vous pouvez planifier l’exécution des travaux à des heures ou des intervalles spécifiques à l’aide de l’extension Microsoft Sentinel pour Visual Studio Code. Les travaux vous permettent d’automatiser les tâches de traitement des données pour synthétiser, transformer ou analyser des données dans le lac de données Microsoft Sentinel. Utilisez des travaux pour traiter des données et écrire des résultats dans des tables personnalisées au niveau lac ou analytique. Pour plus d’informations, consultez Créer et gérer des travaux de notebook Jupyter.