Jakten på sikkerhetstrusler med Jupyter-notatblokker

Gjelder for: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Som en del av dine sikkerhetsundersøkelser og jakt, kan du starte og kjøre Jupyter-notatblokker for å analysere dataene dine programmatisk.

I denne artikkelen oppretter du et Azure Machine Learning-arbeidsområde, starter notatblokken fra Microsoft Sentinel til Azure Machine Learning-arbeidsområdet og kjører kode i notatblokken.

Viktig

Etter 31. mars 2027 vil Microsoft Sentinel ikke lenger støttes i Azure Portal og vil bare være tilgjengelig i Microsoft Defender-portalen. Alle kunder som bruker Microsoft Sentinel i Azure Portal, blir omdirigert til Defender-portalen og vil bare bruke Microsoft Sentinel i Defender-portalen.

Hvis du fortsatt bruker Microsoft Sentinel i Azure Portal, anbefaler vi at du begynner å planlegge overgangen til Defender-portalen for å sikre en jevn overgang og dra full nytte av opplevelsen av enhetlige sikkerhetsoperasjoner som tilbys av Microsoft Defender.

Forutsetninger

Vi anbefaler at du lærer om Microsoft Sentinel notatblokker før du fullfører trinnene i denne artikkelen. Se Bruke Jupyter-notatblokker til å lete etter sikkerhetstrusler.

Hvis du vil bruke Microsoft Sentinel notatblokker, må du ha følgende roller og tillatelser:

Type:	Detaljer
Microsoft Sentinel	– Rollen Microsoft Sentinel bidragsyter, for å lagre og starte notatblokker fra Microsoft Sentinel
Azure Machine Learning	– En eier- eller bidragsyterrolle på ressursgruppenivå for å opprette en ny Azure Machine Learning-arbeidsområdet om nødvendig. – En bidragsyterrolle på Azure Machine Learning-arbeidsområdet der du kjører Microsoft Sentinel notatblokker. Hvis du vil ha mer informasjon, kan du se Administrere tilgang til et Azure Machine Learning-arbeidsområde.

Opprett et Azure Machine Learning-arbeidsområde fra Microsoft Sentinel

Hvis du vil opprette arbeidsområdet, velger du én av følgende faner, avhengig av om du bruker et offentlig eller privat endepunkt.

Vi anbefaler at du bruker et offentlig endepunkt når Microsoft Sentinel arbeidsområdet har ett, for å unngå potensielle problemer i nettverkskommunikasjonen.
Hvis du vil bruke et Azure Machine Learning-arbeidsområde i et virtuelt nettverk, kan du bruke et privat endepunkt.

Offentlig endepunkt
Privat endepunkt

Velg Notatblokker under Trusselbehandling for Microsoft Sentinel i Azure Portal.
Hvis du vil ha Microsoft Sentinel i Defender-portalen, velger du Microsoft Sentinel>Lese notatblokker for administrasjon>.
Velg Konfigurer Azure Machine Learning>Opprett et nytt AML-arbeidsområde.

Skriv inn følgende detaljer, og velg deretter Neste.

Felt	Beskrivelse
Abonnement	Velg Azure abonnementet du vil bruke.
Ressursgruppe	Bruk en eksisterende ressursgruppe i abonnementet, eller skriv inn et navn for å opprette en ny ressursgruppe. En ressursgruppe inneholder relaterte ressurser for en Azure løsning.
Arbeidsområdenavn	Skriv inn et unikt navn som identifiserer arbeidsområdet. Navn må være unike på tvers av ressursgruppen. Bruk et navn som er enkelt å huske og å skille fra arbeidsområder som er opprettet av andre.
Regionen	Velg plasseringen nærmest brukerne og dataressursene for å opprette arbeidsområdet.
Lagringskonto	En lagringskonto brukes som standard datalager for arbeidsområdet. Du kan opprette en ny Azure Lagringsressurs eller velge en eksisterende ressurs i abonnementet.
KeyVault	Et viktig hvelv brukes til å lagre hemmeligheter og annen sensitiv informasjon som kreves av arbeidsområdet. Du kan opprette en ny Azure Key Vault ressurs eller velge en eksisterende ressurs i abonnementet.
Programinnsikt	Arbeidsområdet bruker Azure Application Insights til å lagre overvåkingsinformasjon om de distribuerte modellene. Du kan opprette en ny Azure Application Insights-ressurs eller velge en eksisterende ressurs i abonnementet.
Beholderregister	Et beholderregister brukes til å registrere docker-bilder som brukes i opplæring og distribusjoner. For å minimere kostnader opprettes en ny Azure beholderregisterressurs bare etter at du har bygget ditt første bilde. Alternativt kan du velge å opprette ressursen nå eller velge en eksisterende ressurs i abonnementet, eller velge Ingen hvis du ikke vil bruke et beholderregister.

Velg Aktiver offentlig tilgang fra alle nettverk på Nettverk-fanen.

Definer eventuelle relevante innstillinger i fanene Avansert eller Koder , og velg deretter Se gjennom og opprett.
Se gjennom informasjonen på se gjennom + opprett-fanen for å bekrefte at den er riktig, og velg deretter Opprett for å begynne å distribuere arbeidsområdet. Eksempel:

Det kan ta flere minutter å opprette arbeidsområdet i skyen. I løpet av denne tiden viser oversiktssiden for arbeidsområdet gjeldende distribusjonsstatus og oppdateringer når distribusjonen er fullført.

Trinnene i denne prosedyren refererer til bestemte artikler i Azure Machine Learning-dokumentasjonen når det er relevant. Hvis du vil ha mer informasjon, kan du se Slik oppretter du et sikkert Azure Machine Learning-arbeidsområde.

Opprett en virtuell maskin (VM)-hoppboks i et virtuelt nettverk. Siden det virtuelle nettverket begrenser tilgangen fra offentlig Internett, brukes hoppboksen som en måte å koble til ressurser bak det virtuelle nettverket på.
Få tilgang til hoppboksen, og gå deretter til Microsoft Sentinel arbeidsområdet. Vi anbefaler at du bruker Azure Bastion til å få tilgang til den virtuelle maskinen.
Velg Notatblokker under Trusselbehandling for Microsoft Sentinel i Azure Portal.
Hvis du vil ha Microsoft Sentinel i Defender-portalen, velger du Microsoft Sentinel>Lese notatblokker for administrasjon>.
Velg Konfigurer Azure Machine Learning>Opprett et nytt AML-arbeidsområde.

Skriv inn følgende detaljer, og velg deretter Neste.

Felt	Beskrivelse
Abonnement	Velg Azure abonnementet du vil bruke.
Ressursgruppe	Bruk en eksisterende ressursgruppe i abonnementet, eller skriv inn et navn for å opprette en ny ressursgruppe. En ressursgruppe inneholder relaterte ressurser for en Azure løsning.
Arbeidsområdenavn	Skriv inn et unikt navn som identifiserer arbeidsområdet. Navn må være unike på tvers av ressursgruppen. Bruk et navn som er enkelt å huske og å skille fra arbeidsområder som er opprettet av andre.
Regionen	Velg plasseringen nærmest brukerne og dataressursene for å opprette arbeidsområdet.
Lagringskonto	En lagringskonto brukes som standard datalager for arbeidsområdet. Du kan opprette en ny Azure Lagringsressurs eller velge en eksisterende ressurs i abonnementet.
KeyVault	Et viktig hvelv brukes til å lagre hemmeligheter og annen sensitiv informasjon som kreves av arbeidsområdet. Du kan opprette en ny Azure Key Vault ressurs eller velge en eksisterende ressurs i abonnementet.
Programinnsikt	Arbeidsområdet bruker Azure Application Insights til å lagre overvåkingsinformasjon om de distribuerte modellene. Du kan opprette en ny Azure Application Insights-ressurs eller velge en eksisterende ressurs i abonnementet.
Beholderregister	Et beholderregister brukes til å registrere docker-bilder som brukes i opplæring og distribusjoner. For å minimere kostnader opprettes en ny Azure beholderregisterressurs bare etter at du har bygget ditt første bilde. Alternativt kan du velge å opprette ressursen nå eller velge en eksisterende ressurs i abonnementet, eller velge Ingen hvis du ikke vil bruke et beholderregister.

Velg Deaktiver offentlig tilgang påNettverk-fanen, og bruk privat endepunkt. Pass på at du bruker det samme virtuelle nettverket som du har i hoppboksen for virtuell maskin. Eksempel:
Definer eventuelle relevante innstillinger i fanene Avansert eller Koder , og velg deretter Se gjennom og opprett.
Se gjennom informasjonen på se gjennom + opprett-fanen for å bekrefte at den er riktig, og velg deretter Opprett for å begynne å distribuere arbeidsområdet. Eksempel:

Det kan ta flere minutter å opprette arbeidsområdet i skyen. I løpet av denne tiden viser oversiktssiden for arbeidsområdet gjeldende distribusjonsstatus og oppdateringer når distribusjonen er fullført.
Opprett en ny databehandling på Databehandling-siden i Azure Machine Learning Studio. Pass på at du velger det samme virtuelle nettverket som du hadde brukt til vm-hoppboksen, på fanen Avanserte innstillinger . Hvis du vil ha mer informasjon, kan du se Opprette og administrere en Azure Machine Learning-databehandlingsforekomst.
Konfigurer nettverkstrafikken for å få tilgang til Azure Machine Learning bak en brannmur. Hvis du vil ha mer informasjon, kan du se Konfigurere inngående og utgående nettverkstrafikk.

Fortsett med ett av følgende sett med trinn:

Hvis du bare har én privat kobling: Nå kan du få tilgang til notatblokkene via en av følgende metoder:
- Klon og start notatblokker fra Microsoft Sentinel til Azure Machine Learning
- Laste opp notatblokker for å Azure Machine Learning manuelt
- Klon gitHub-repositoriet for Microsoft Sentinel notatblokker på Azure Machine Learning-terminalen
Hvis du har en annen privat kobling, som bruker et annet VNET, gjør du følgende:
1. Gå til ressursgruppen i arbeidsområdet Azure Machine Learning i Azure Portal, og søk deretter etter privat DNS soneressurser som heter privatelink.api.azureml.ms og privatelink.notebooks.azure.ms. Eksempel:
2. Legg til en virtuell nettverkskobling for hver ressurs, inkludert både privatelink.api.azureml.ms og privatelink.notebooks.azure.ms.
  
  Velg de virtuelle nettverkskoblingene for ressursen>>Legg til. Hvis du vil ha mer informasjon, kan du se Koble det virtuelle nettverket.

Hvis du vil ha mer informasjon, kan du se:

Når distribusjonen er fullført, går du tilbake til notatblokker i Microsoft Sentinel og starter notatblokker fra det nye Azure Machine Learning-arbeidsområdet.

Hvis du har flere notatblokker, må du velge et standard AML-arbeidsområde som skal brukes når du starter notatblokkene. Eksempel:

Velg et standard AML-arbeidsområde for notatblokkene.

Start en notatblokk i arbeidsområdet Azure Machine Learning

Når du har opprettet et Azure Machine Learning-arbeidsområde, starter du notatblokken i arbeidsområdet fra Microsoft Sentinel. Vær oppmerksom på at hvis du har private endepunkter eller begrensninger på tilgang til det offentlige nettverket aktivert i Azure lagringskonto, kan du ikke starte notatblokker i Azure Machine Learning-arbeidsområdet fra Microsoft Sentinel. Du må kopiere notatblokkmalen fra Microsoft Sentinel og laste opp notatblokken til Azure Machine Learning Studio.

Følg fremgangsmåten nedenfor for å starte Microsoft Sentinel notatblokken i Azure Machine Learning-arbeidsområdet.

Velg Notatblokker under Trusselbehandling for Microsoft Sentinel i Azure Portal.
Hvis du vil ha Microsoft Sentinel i Defender-portalen, velger du Microsoft Sentinel>Lese notatblokker for administrasjon>.
Velg Maler-fanen for å se notatblokkene som Microsoft Sentinel inneholder.
Velg en notatblokk for å vise beskrivelsen, nødvendige datatyper og datakilder.
Når du finner notatblokken du vil bruke, velger du Opprett fra mal ogLagre for å klone den til ditt eget arbeidsområde. Bare Azure arbeidsområder for maskinlæring i samme abonnement kan velges.
Rediger navnet etter behov. Hvis notatblokken allerede finnes i arbeidsområdet, overskriver du den eksisterende notatblokken eller oppretter en ny. Som standard lagres notatblokken i /Brukere/<Your_User_Name>/ katalogen til det valgte AML-arbeidsområdet.
Når notatblokken er lagret, endres Lagre notatblokk-knappen til Start notatblokk. Velg Start notatblokk for å åpne den i AML-arbeidsområdet.

Eksempel:
Velg en databehandlingsforekomst som skal brukes for notatblokkserveren, øverst på siden.

Hvis du ikke har en databehandlingsforekomst, oppretter du en ny. Hvis databehandlingsforekomsten er stoppet, må du passe på å starte den. Hvis du vil ha mer informasjon, kan du se Kjøre en notatblokk i Azure Machine Learning Studio.

Bare du kan se og bruke databehandlingsforekomstene du oppretter. Brukerfilene lagres separat fra den virtuelle maskinen og deles mellom alle databehandlingsforekomster i arbeidsområdet.

Hvis du oppretter en ny databehandlingsforekomst for å teste notatblokkene, oppretter du databehandlingsforekomsten med kategorien generell bruk.

Kjernen vises også øverst til høyre i Azure Machine Learning-vinduet. Hvis kjernen du trenger ikke er valgt, velger du en annen versjon fra rullegardinlisten.
Når notatblokkserveren er opprettet og startet, kjører du notatblokkcellene. Velg Kjør-ikonet i hver celle for å kjøre notatblokkkoden.

Hvis du vil ha mer informasjon, kan du se kommandomodussnarveier.
Hvis notatblokken henger eller du vil starte på nytt, kan du starte kjernen på nytt og kjøre notatblokkcellene på nytt fra begynnelsen. Hvis du starter kjernen på nytt, slettes variabler og annen tilstand. Kjør eventuelle initialiserings- og godkjenningsceller på nytt når du starter på nytt.

Hvis du vil starte på nytt, velger du Kjerneoperasjoner>Start kjernen på nytt. Eksempel:

Kjøre kode i notatblokken

Kjør alltid kodeceller for notatblokken i rekkefølge. Hvis du hopper over celler, kan det føre til feil.

I en notatblokk:

Markdown-celler har tekst, inkludert HTML og statiske bilder.
Kodeceller inneholder kode. Når du har merket en kodecelle, kjører du koden i cellen ved å velge Avspilling-ikonet til venstre for cellen, eller ved å trykke SKIFT+ENTER.

Kjør for eksempel følgende kodecelle i notatblokken:

# This is your first code cell. This cell contains basic Python code.

# You can run a code cell by selecting it and then selecting
# the Play button to the left of the cell, or by pressing SHIFT+ENTER.
# Code output displays below the code.

print("Congratulations, you just ran this code cell")

y = 2 + 2

print("2 + 2 =", y)

Eksempelkoden produserer disse utdataene:

Congratulations, you just ran this code cell

2 + 2 = 4

Variabler som er angitt i en kodecelle for notatblokken, beholdes mellom cellene, slik at du kan kjede celler sammen. Følgende kodecelle bruker for eksempel verdien y fra den forrige cellen:

# Note that output from the last line of a cell is automatically
# sent to the output cell, without needing the print() function.

y + 2

Utdataene er:

Last ned alle Microsoft Sentinel notatblokker

Denne delen beskriver hvordan du bruker Git til å laste ned alle notatblokkene som er tilgjengelige i Microsoft Sentinel GitHub-repositorium, fra innsiden av en Microsoft Sentinel notatblokk, direkte til Azure Machine Learning-arbeidsområdet.

Når du lagrer Microsoft Sentinel notatblokker i Azure Machine Learning-arbeidsområdet, kan du holde dem oppdatert på en enkel måte.

Skriv inn følgende kode i en tom celle fra en Microsoft Sentinel notatblokk, og kjør deretter cellen:
```
!git clone https://github.com/Azure/Azure-Sentinel-Notebooks.git azure-sentinel-nb
```
En kopi av Innholdet i GitHub-repositoriet opprettes i azure-Sentinel-nb-katalogen på brukermappen i Azure Machine Learning-arbeidsområdet.
Kopier notatblokkene du vil bruke, fra denne mappen til arbeidskatalogen.
Hvis du vil oppdatere notatblokkene med eventuelle nylige endringer fra GitHub, kjører du:
```
!cd azure-sentinel-nb && git pull
```

Tilbakemeldinger

Var denne siden nyttig?

Last updated on 2026-04-23