Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Jupyter-notatblokker er en integrert del av Microsoft Sentinel data lake-økosystem, og tilbyr kraftige verktøy for dataanalyse og visualisering. Notatblokkene leveres av Microsoft Sentinel Visual Studio Code-utvidelsen som lar deg samhandle med datasjøen ved hjelp av Python for Spark (PySpark). Med notatblokker kan du utføre komplekse datatransformasjoner, kjøre maskinlæringsmodeller og opprette visualiseringer direkte i notatblokkmiljøet.
Utvidelsen Microsoft Sentinel Visual Studio Code med Jupyter-notatblokker gir et kraftig miljø for utforsking og analyse av innsjødata med følgende fordeler:
- Interaktiv datautforsking: Jupyter-notatblokker gir et interaktivt miljø for å utforske og analysere data. Du kan kjøre kodesnutter, visualisere resultater og dokumentere resultatene på ett sted.
- Integrering med Python-biblioteker: Utvidelsen Microsoft Sentinel inkluderer en rekke Python-biblioteker, slik at du kan bruke eksisterende verktøy og rammeverk for dataanalyse, maskinlæring og visualisering.
- Kraftig dataanalyse: Med integreringen av Apache Spark-databehandlingsøkter kan du bruke kraften til distribuert databehandling til å analysere store datasett effektivt. Dette gjør at du kan utføre komplekse transformasjoner og aggregasjoner på sikkerhetsdataene.
- Lav-og-langsom angrep: Analyser store, komplekse, sammenkoblede data relatert til sikkerhetshendelser, varsler og hendelser, noe som muliggjør gjenkjenning av sofistikerte trusler og mønstre, for eksempel lateral bevegelse eller lav-og-langsom angrep som kan unngå tradisjonelle regelbaserte systemer.
- AI- og ML-integrering: Integrer med KUNSTIG INTELLIGENS og maskinlæring for å forbedre avviksregistrering, trusselprognose og atferdsanalyse, slik at sikkerhetsteamene kan bygge agenter for å automatisere undersøkelsene sine.
- Skalerbarhet: Notatblokker gir skalerbarhet til å behandle store mengder data på en effektiv måte og muliggjøre dyp satsvis behandling for å avdekke trender, mønstre og avvik.
- Visualiseringsfunksjoner: Jupyter-notatblokker støtter ulike visualiseringsbiblioteker, slik at du kan opprette diagrammer, grafer og andre visuelle fremstillinger av dataene dine, slik at du får innsikt og kommuniserer resultatene effektivt.
- Samarbeid og deling: Jupyter-notatblokker kan enkelt deles med kolleger, slik at du kan samarbeide om dataanalyseprosjekter. Du kan eksportere notatblokker i ulike formater, inkludert HTML og PDF, for enkel deling og presentasjon.
- Dokumentasjon og reproduserbarhet: Jupyter-notatblokker lar deg dokumentere kode, analyse og funn i én enkelt fil, noe som gjør det enklere å reprodusere resultater og dele arbeidet ditt med andre.
Utforskingsscenarioer for Lake for notatblokker
Følgende scenarioer illustrerer hvordan Jupyter-notatblokker i Microsoft Sentinel Lake kan brukes til å forbedre sikkerhetsoperasjoner:
| Scenario | Beskrivelse |
|---|---|
| Brukervirkemåte fra mislykkede pålogginger | Opprett en opprinnelig plan for normal brukervirkemåte ved å analysere mønstre for mislykkede påloggingsforsøk. Undersøk operasjoner som ble forsøkt før og etter de mislykkede påloggingene for å oppdage mulig risiko- eller brute-force-aktivitet. |
| Sensitive databaner | Identifiser brukere og enheter som har tilgang til sensitive dataressurser. Kombiner tilgangslogger med organisasjonskontekst for å vurdere risikoeksponering, tilordne tilgangsbaner og prioritere områder for sikkerhetsgjennomgang. |
| Avvikstrusselanalyse | Analyser trusler ved å identifisere avvik fra etablerte grunnlinjer, for eksempel pålogginger fra uvanlige steder, enheter eller klokkeslett. Overlegg brukeratferd med aktivadata for å identifisere aktivitet med høy risiko, inkludert potensielle innsidetrusler. |
| Prioritering av risikopoeng | Bruk egendefinerte resultatmodeller for risiko på sikkerhetshendelser i datasjøen. Berike hendelser med kontekstuelle signaler som ressurskritisk og brukerrolle for å kvantifisere risiko, vurdere eksplosjonsradius og prioritere hendelser for undersøkelse. |
| Utforskende analyse og visualisering | Utfør utforskende dataanalyser på tvers av flere loggkilder for å rekonstruere angrepstidslinjene, finne hovedårsaker og bygge egendefinerte visualiseringer som bidrar til å kommunisere funn til interessenter. |
Skrive til innsjø- og analysenivået
Du kan skrive data til skalaenhet og analysenivå ved hjelp av notatblokker. Den Microsoft Sentinel utvidelsen for Visual Studio Code gir et PySpark Python-bibliotek som abstraherer kompleksiteten ved å skrive til innsjø- og analysenivåene. Du kan bruke MicrosoftSentinelProvider klassens save_as_table() funksjon til å skrive data til egendefinerte tabeller eller tilføye data til eksisterende tabeller i lake-nivået eller analysenivået. Hvis du vil ha mer informasjon, kan du se Microsoft Sentinel Leverandørklassereferanse.
Jobber og planlegging
Du kan planlegge at jobber skal kjøres på bestemte tidspunkter eller intervaller ved hjelp av Microsoft Sentinel-utvidelsen for Visual Studio Code. Med jobber kan du automatisere databehandlingsoppgaver for å oppsummere, transformere eller analysere data i Microsoft Sentinel datasjøen. Bruk jobber til å behandle data og skrive resultater til egendefinerte tabeller i lake-nivået eller analysenivået. Hvis du vil ha mer informasjon, kan du se Opprette og administrere Jupyter-notatblokkjobber.