Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Jupyter-notebooks combineren volledige programmeerbaarheid met een enorme verzameling bibliotheken voor machine learning, visualisatie en gegevensanalyse. Deze kenmerken maken Jupyter een aantrekkelijk hulpmiddel voor beveiligingsonderzoek en opsporing.
De basis van Microsoft Sentinel is het gegevensarchief; het combineert query's met hoge prestaties, een dynamisch schema en schaalt tot enorme gegevensvolumes. De Azure Portal en alle Microsoft Sentinel hulpprogramma's gebruiken een gemeenschappelijke API voor toegang tot dit gegevensarchief. Dezelfde API is ook beschikbaar voor externe hulpprogramma's, zoals Jupyter-notebooks en Python.
Belangrijk
Na 31 maart 2027 worden Microsoft Sentinel niet meer ondersteund in de Azure Portal en zijn ze alleen beschikbaar in de Microsoft Defender portal. Alle klanten die Microsoft Sentinel in de Azure Portal gebruiken, worden omgeleid naar de Defender-portal en gebruiken alleen Microsoft Sentinel in de Defender-portal.
Als u nog steeds Microsoft Sentinel in de Azure Portal gebruikt, wordt u aangeraden uw overgang naar de Defender-portal te plannen om een soepele overgang te garanderen en optimaal te profiteren van de geïntegreerde beveiligingsbewerkingen die door Microsoft Defender worden geboden.
Wanneer gebruikt u Jupyter-notebooks?
Hoewel veel algemene taken kunnen worden uitgevoerd in de portal, breidt Jupyter het bereik uit van wat u met deze gegevens kunt doen.
Gebruik bijvoorbeeld notebooks om het volgende te doen:
- Analyses uitvoeren die niet out-of-the-box worden geleverd in Microsoft Sentinel, zoals bepaalde Python-machine learning-functies
- Gegevensvisualisaties maken die niet out-of-the-box beschikbaar zijn in Microsoft Sentinel, zoals aangepaste tijdlijnen en processtructuren
- Integreer gegevensbronnen buiten Microsoft Sentinel, zoals een on-premises gegevensset.
We hebben de Jupyter-ervaring geïntegreerd in de Azure Portal, zodat u eenvoudig notebooks kunt maken en uitvoeren om uw gegevens te analyseren. De Kqlmagic-bibliotheek biedt de lijm waarmee u Kusto-querytaal (KQL)-query's uit Microsoft Sentinel kunt uitvoeren en deze rechtstreeks in een notebook kunt uitvoeren.
Verschillende notebooks, ontwikkeld door sommige beveiligingsanalisten van Microsoft, zijn verpakt met Microsoft Sentinel:
- Sommige van deze notebooks zijn gebouwd voor een specifiek scenario en kunnen als zodanig worden gebruikt.
- Andere zijn bedoeld als voorbeelden om technieken en functies te illustreren die u kunt kopiëren of aanpassen voor gebruik in uw eigen notitieblokken.
Importeer andere notebooks uit de Microsoft Sentinel GitHub-opslagplaats.
Hoe Jupyter-notebooks werken
Notebooks hebben twee onderdelen:
- De browserinterface, waar u query's en code invoert en uitvoert en waar de resultaten van de uitvoering worden weergegeven.
- Een kernel die verantwoordelijk is voor het parseren en uitvoeren van de code zelf.
De kernel van de Microsoft Sentinel notebook wordt uitgevoerd op een Azure virtuele machine (VM). Het VM-exemplaar kan ondersteuning bieden voor het uitvoeren van veel notebooks tegelijk. Als uw notebooks complexe machine learning-modellen bevatten, zijn er verschillende licentieopties voor het gebruik van krachtigere virtuele machines.
Python-pakketten begrijpen
De Microsoft Sentinel notebooks gebruiken veel populaire Python-bibliotheken, zoals pandas, matplotlib, bokeh en andere. Er zijn een groot aantal andere Python-pakketten waaruit u kunt kiezen, waaronder:
- Visualisaties en afbeeldingen
- Gegevensverwerking en -analyse
- Statistieken en numerieke computing
- Machine learning en deep learning
Om te voorkomen dat u complexe en terugkerende code in notebookcellen hoeft te typen of plakken, zijn de meeste Python-notebooks afhankelijk van bibliotheken van derden die pakketten worden genoemd. Als u een pakket in een notebook wilt gebruiken, moet u het pakket zowel installeren als importeren. Azure Machine Learning Compute heeft de meest voorkomende pakketten vooraf geïnstalleerd. Zorg ervoor dat u het pakket of het relevante deel van het pakket importeert, zoals een module, bestand, functie of klasse.
Microsoft Sentinel notebooks gebruiken een Python-pakket met de naam MSTICPy. Dit is een verzameling cyberbeveiligingshulpprogramma's voor het ophalen, analyseren, verrijken en visualiseren van gegevens.
MSTICPy-hulpprogramma's zijn speciaal ontworpen om te helpen bij het maken van notebooks voor opsporing en onderzoek en we werken actief aan nieuwe functies en verbeteringen. Zie voor meer informatie:
- Documentatie voor MSTIC Jupyter en Python Security Tools
- Aan de slag met Jupyter-notebooks en MSTICPy in Microsoft Sentinel
- Geavanceerde configuraties voor Jupyter-notebooks en MSTICPy in Microsoft Sentinel
Notitieblokken zoeken
Selecteer in Microsoft Sentinel Notitieblokken om notitieblokken te zien die Microsoft Sentinel biedt. Meer informatie over het gebruik van notebooks bij het opsporen en onderzoeken van bedreigingen door notebooksjablonen te verkennen, zoals Credential Scan op Azure Log Analytics en Guided Investigation - Process Alerts.
Ga naar Microsoft Sentinel GitHub-opslagplaats voor meer notebooks die door Microsoft zijn gemaakt of door de community zijn bijgedragen. Gebruik notitieblokken die worden gedeeld in de Microsoft Sentinel GitHub-opslagplaats als handige hulpprogramma's, illustraties en codevoorbeelden die u kunt gebruiken bij het ontwikkelen van uw eigen notitieblokken.
De
Sample-Notebooksmap bevat voorbeeldnotitieblokken die zijn opgeslagen met gegevens die u kunt gebruiken om de beoogde uitvoer weer te geven.De
HowTosmap bevat notebooks waarin concepten worden beschreven, zoals het instellen van uw standaard Python-versie, het maken van Microsoft Sentinel bladwijzers op basis van een notitieblok en meer.
Toegang tot Microsoft Sentinel-notitieblokken beheren
Als u Jupyter-notebooks in Microsoft Sentinel wilt gebruiken, moet u eerst over de juiste machtigingen beschikken, afhankelijk van uw gebruikersrol.
Hoewel u Microsoft Sentinel notebooks kunt uitvoeren in JupyterLab of Jupyter classic, worden notebooks in Microsoft Sentinel uitgevoerd op een Azure Machine Learning-platform. Als u notitieblokken in Microsoft Sentinel wilt uitvoeren, moet u de juiste toegang hebben tot zowel Microsoft Sentinel werkruimte als een Azure Machine Learning-werkruimte.
| Machtiging | Beschrijving |
|---|---|
| machtigingen Microsoft Sentinel | Net als andere Microsoft Sentinel resources, is een Microsoft Sentinel lezer, Microsoft Sentinel responder of Microsoft Sentinel inzender voor toegang tot notitieblokken op Microsoft Sentinel blade Notitieblokken Vereist. Zie Machtigingen in Microsoft Sentinel voor meer informatie. |
| Machine Learning-machtigingen Azure | Een Azure Machine Learning-werkruimte is een Azure resource. Net als bij andere Azure resources wordt er standaardrollen geleverd wanneer een nieuwe Azure Machine Learning-werkruimte wordt gemaakt. U kunt gebruikers toevoegen aan de werkruimte en deze toewijzen aan een van deze ingebouwde rollen. Zie Azure standaardrollen voor Machine Learning en Azure ingebouwde rollen voor meer informatie. Belangrijk: Roltoegang kan worden beperkt tot meerdere niveaus in Azure. Iemand met eigenaarstoegang tot een werkruimte heeft bijvoorbeeld geen eigenaarstoegang tot de resourcegroep die de werkruimte bevat. Zie Hoe Azure RBAC werkt voor meer informatie. Als u eigenaar bent van een Azure ML-werkruimte, kunt u rollen voor de werkruimte toevoegen en verwijderen en rollen toewijzen aan gebruikers. Zie voor meer informatie: - Azure Portal - Powershell - cli Azure - REST API - Azure Resource Manager sjablonen - Azure Machine Learning CLI Als de ingebouwde rollen onvoldoende zijn, kunt u ook aangepaste rollen maken. Aangepaste rollen hebben mogelijk machtigingen voor lees-, schrijf-, verwijder- en rekenresources in die werkruimte. U kunt de rol beschikbaar maken op een specifiek werkruimteniveau, een specifiek niveau van een resourcegroep of een specifiek abonnementsniveau. Zie Aangepaste rol maken voor meer informatie. |
Feedback verzenden voor een notitieblok
Dien feedback, aanvragen voor functies, bugrapporten of verbeteringen in bestaande notebooks in. Ga naar de Microsoft Sentinel GitHub-opslagplaats om een probleem te maken, of fork en upload een bijdrage.
Verwante onderwerpen
- Beveiligingsrisico's opsporen met Jupyter-notebooks
- Aan de slag met Jupyter-notebooks en MSTICPy in Microsoft Sentinel
- Proactief zoeken naar bedreigingen
- Gegevens bijhouden tijdens het opsporen met Microsoft Sentinel
Zie voor blogs, video's en andere bronnen:
- Uw eerste Microsoft Sentinel-notitieblok maken (blogserie)
- Zelfstudie: notitieblokken Microsoft Sentinel - Aan de slag (video)
- Zelfstudie: Jupyter-notebooks bewerken en uitvoeren zonder Azure Machine Learning-studio te verlaten (video)
- Referentielekken detecteren met Azure Sentinel Notebooks (video)
- Webinar: basisprincipes van Microsoft Sentinel notebooks (video)
- Jupyter, msticpy en Microsoft Sentinel