Jupyter Notebooks med Microsoft Sentinel jaktfunktioner

  • Gäller för: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Jupyter Notebooks kombinerar fullständig programmering med en stor samling bibliotek för maskininlärning, visualisering och dataanalys. De här attributen gör Jupyter till ett övertygande verktyg för säkerhetsundersökning och jakt.

Grunden för Microsoft Sentinel är datalagret. Det kombinerar frågor med höga prestanda, dynamiskt schema och skalor till enorma datavolymer. Azure Portal och alla Microsoft Sentinel verktyg använder ett gemensamt API för att komma åt det här datalagret. Samma API är också tillgängligt för externa verktyg som Jupyter Notebooks och Python.

Viktigt

Efter den 31 mars 2027 kommer Microsoft Sentinel inte längre att stödjas i Azure Portal och kommer endast att vara tillgängligt i Microsoft Defender-portalen. Alla kunder som använder Microsoft Sentinel i Azure Portal omdirigeras till Defender-portalen och använder endast Microsoft Sentinel i Defender-portalen.

Om du fortfarande använder Microsoft Sentinel i Azure Portal rekommenderar vi att du börjar planera övergången till Defender-portalen för att säkerställa en smidig övergång och dra full nytta av den enhetliga säkerhetsåtgärdsupplevelse som erbjuds av Microsoft Defender.

När du ska använda Jupyter Notebooks

Många vanliga uppgifter kan utföras i portalen, men Jupyter utökar omfattningen av vad du kan göra med dessa data.

Använd till exempel notebook-filer för att:

  • Utföra analyser som inte tillhandahålls direkt i Microsoft Sentinel, till exempel vissa Maskininlärningsfunktioner i Python
  • Skapa datavisualiseringar som inte tillhandahålls direkt i Microsoft Sentinel, till exempel anpassade tidslinjer och processträd
  • Integrera datakällor utanför Microsoft Sentinel, till exempel en lokal datauppsättning.

Vi integrerade Jupyter-upplevelsen i Azure Portal, vilket gör det enkelt för dig att skapa och köra notebook-filer för att analysera dina data. Kqlmagic-biblioteket innehåller limmet som gör att du kan ta Kusto-frågespråk frågor (KQL) från Microsoft Sentinel och köra dem direkt i en notebook-fil.

Flera notebook-filer, som utvecklats av några av Microsofts säkerhetsanalytiker, är paketerade med Microsoft Sentinel:

  • Vissa av de här notebook-filerna är byggda för ett specifikt scenario och kan användas som de är.
  • Andra är avsedda som exempel för att illustrera tekniker och funktioner som du kan kopiera eller anpassa för användning i dina egna notebook-filer.

Importera andra notebook-filer från Microsoft Sentinel GitHub-lagringsplats.

Så här fungerar Jupyter Notebooks

Notebook-filer har två komponenter:

  • Det webbläsarbaserade gränssnittet, där du anger och kör frågor och kod, och där resultatet av körningen visas.
  • En kernel som ansvarar för att parsa och köra själva koden.

Kerneln för den Microsoft Sentinel notebook-filen körs på en Azure virtuell dator (VM). Den virtuella datorinstansen har stöd för att köra många notebook-filer samtidigt. Om dina notebook-filer innehåller komplexa maskininlärningsmodeller finns det flera licensieringsalternativ för att använda mer kraftfulla virtuella datorer.

Förstå Python-paket

De Microsoft Sentinel notebook-filerna använder många populära Python-bibliotek som pandas, matplotlib, bokeh och andra. Det finns många andra Python-paket som du kan välja bland, som omfattar områden som:

  • Visualiseringar och grafik
  • Databearbetning och analys
  • Statistik och numerisk databehandling
  • Maskininlärning och djupinlärning

För att undvika att behöva skriva eller klistra in komplex och repetitiv kod i notebook-celler förlitar sig de flesta Python-notebook-filer på bibliotek från tredje part som kallas paket. Om du vill använda ett paket i en notebook-fil måste du både installera och importera paketet. Azure Machine Learning Compute har de vanligaste paketen förinstallerade. Kontrollera att du importerar paketet eller den relevanta delen av paketet, till exempel en modul, fil, funktion eller klass.

Microsoft Sentinel notebook-filer använder ett Python-paket med namnet MSTICPy, som är en samling cybersäkerhetsverktyg för datahämtning, analys, berikning och visualisering.

MSTICPy-verktyg är särskilt utformade för att hjälpa till med att skapa notebook-filer för jakt och undersökning och vi arbetar aktivt med nya funktioner och förbättringar. Mer information finns i:

Hitta anteckningsböcker

I Microsoft Sentinel väljer du Notebooks för att se notebook-filer som Microsoft Sentinel tillhandahåller. Läs mer om hur du använder notebook-filer i hotjakt och undersökning genom att utforska notebook-mallar som Genomsökning av autentiseringsuppgifter på Azure Log Analytics och Guidad undersökning – Processaviseringar.

Om du vill ha fler notebook-filer som skapats av Microsoft eller bidragit från communityn går du till Microsoft Sentinel GitHub-lagringsplats. Använd notebook-filer som delas på Microsoft Sentinel GitHub-lagringsplats som användbara verktyg, illustrationer och kodexempel som du kan använda när du utvecklar dina egna notebook-filer.

  • Katalogen Sample-Notebooks innehåller exempelanteckningsböcker som sparas med data som du kan använda för att visa avsedda utdata.

  • Katalogen HowTos innehåller notebook-filer som beskriver begrepp som att ställa in din standardversion av Python, skapa Microsoft Sentinel bokmärken från en notebook-fil med mera.

Hantera åtkomst till Microsoft Sentinel notebook-filer

Om du vill använda Jupyter Notebooks i Microsoft Sentinel måste du först ha rätt behörigheter, beroende på din användarroll.

Du kan köra Microsoft Sentinel notebook-filer i den klassiska JupyterLab- eller Jupyter-datorn, men i Microsoft Sentinel körs notebook-filer på en Azure Machine Learning-plattform. Om du vill köra notebook-filer i Microsoft Sentinel måste du ha lämplig åtkomst till både Microsoft Sentinel arbetsyta och en Azure Machine Learning-arbetsyta.

Behörighet Beskrivning
Microsoft Sentinel behörigheter Precis som andra Microsoft Sentinel resurser är det en Microsoft Sentinel läsare, Microsoft Sentinel svarare eller Microsoft Sentinel deltagare för att komma åt notebook-filer på bladet Microsoft Sentinel Notebooks. Krävs.

Mer information finns i Behörigheter i Microsoft Sentinel.
Azure Machine Learning-behörigheter En Azure Machine Learning-arbetsyta är en Azure resurs. Precis som andra Azure resurser kommer den med standardroller när en ny Azure Machine Learning-arbetsyta skapas. Du kan lägga till användare på arbetsytan och tilldela dem till någon av dessa inbyggda roller. Mer information finns i Azure Standardroller för Machine Learning och Azure inbyggda roller.

Viktigt! Rollåtkomst kan begränsas till flera nivåer i Azure. Till exempel kanske någon med ägaråtkomst till en arbetsyta inte har ägaråtkomst till den resursgrupp som innehåller arbetsytan. Mer information finns i Så här fungerar Azure RBAC.

Om du är ägare till en Azure ML-arbetsyta kan du lägga till och ta bort roller för arbetsytan och tilldela roller till användare. Mer information finns i:
- Azure Portal
- Powershell
- Azure CLI
- REST API
- Azure Resource Manager mallar
- Azure Machine Learning CLI

Om de inbyggda rollerna är otillräckliga kan du också skapa anpassade roller. Anpassade roller kan ha läs-, skriv-, borttagnings- och beräkningsresursbehörigheter på arbetsytan. Du kan göra rollen tillgänglig på en specifik arbetsytenivå, en specifik resursgruppsnivå eller en viss prenumerationsnivå. Mer information finns i Skapa anpassad roll.

Skicka feedback för en notebook-fil

Skicka feedback, begäranden om funktioner, buggrapporter eller förbättringar av befintliga notebook-filer. Gå till Microsoft Sentinel GitHub-lagringsplats för att skapa ett problem eller förgrena och ladda upp ett bidrag.

Relaterat innehåll

Bloggar, videor och andra resurser finns i:

  • Last updated on