你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Jupyter 笔记本将完全可编程性与用于机器学习、可视化和数据分析的大量库集合相结合。 这些属性使 Jupyter 成为一个引人注目的安全调查和搜寻工具。
Microsoft Sentinel的基础是数据存储;它结合了高性能查询、动态架构和缩放到大量数据。 Azure 门户和所有Microsoft Sentinel工具都使用通用 API 来访问此数据存储。 同一 API 也可用于 Jupyter 笔记本和 Python 等外部工具。
重要
2027 年 3 月 31 日之后,Azure 门户将不再支持Microsoft Sentinel,并且仅在Microsoft Defender门户中可用。 在Azure 门户中使用Microsoft Sentinel的所有客户都将重定向到 Defender 门户,并且仅在 Defender 门户中使用Microsoft Sentinel。
如果仍在Azure 门户中使用Microsoft Sentinel,建议开始规划到 Defender 门户的转换,以确保平稳过渡,并充分利用 Microsoft Defender 提供的统一安全操作体验。
何时使用 Jupyter 笔记本
虽然可以在门户中执行许多常见任务,但 Jupyter 扩展了可对此数据执行的操作的范围。
例如,使用笔记本来:
- 执行Microsoft Sentinel中未提供现成的分析,例如某些 Python 机器学习功能
- 创建Microsoft Sentinel中未现成提供的数据可视化效果,例如自定义时间线和进程树
- 在Microsoft Sentinel外部集成数据源,例如本地数据集。
我们已将 Jupyter 体验集成到 Azure 门户,使你能够轻松创建和运行笔记本来分析数据。 Kqlmagic 库提供了粘附,使你可以从Microsoft Sentinel获取Kusto 查询语言 (KQL) 查询,并直接在笔记本中运行它们。
由Microsoft的一些安全分析师开发的多个笔记本与Microsoft Sentinel打包:
- 其中一些笔记本是针对特定方案生成的,可以按原样使用。
- 其他示例旨在说明可以复制或改编为在自己的笔记本中使用的技术和功能。
从 Microsoft Sentinel GitHub 存储库导入其他笔记本。
Jupyter 笔记本的工作原理
笔记本有两个组件:
- 基于浏览器的界面,可在其中输入和运行查询和代码,以及显示执行结果的位置。
- 负责分析和执行代码本身的内核。
Microsoft Sentinel笔记本的内核在Azure虚拟机 (VM) 上运行。 VM 实例可以支持同时运行多个笔记本。 如果笔记本包含复杂的机器学习模型,则存在多个许可选项来使用功能更强大的虚拟机。
了解 Python 包
Microsoft Sentinel笔记本使用许多常用的 Python 库,例如 pandas、matplotlib、bokeh 等。 还有许多其他 Python 包可供选择,包括以下方面:
- 可视化效果和图形
- 数据处理和分析
- 统计信息和数值计算
- 机器学习和深度学习
为了避免在笔记本单元格中键入或粘贴复杂且重复的代码,大多数 Python 笔记本依赖于名为 包的第三方库。 若要在笔记本中使用包,需要安装和导入包。 Azure机器学习计算预安装了最常见的包。 请确保导入包或包的相关部分,例如模块、文件、函数或类。
Microsoft Sentinel笔记本使用名为 MSTICPy 的 Python 包,它是用于数据检索、分析、扩充和可视化的网络安全工具的集合。
MSTICPy 工具专门用于帮助创建用于搜寻和调查的笔记本,我们正在积极开发新功能和改进。 有关更多信息,请参阅:
- MSTIC Jupyter 和 Python 安全工具文档
- 在 Microsoft Sentinel 中开始使用 Jupyter 笔记本和 MSTICPy
- Microsoft Sentinel中 Jupyter 笔记本和 MSTICPy 的高级配置
查找笔记本
在“Microsoft Sentinel”中,选择“笔记本”以查看Microsoft Sentinel提供的笔记本。 详细了解如何在威胁搜寻和调查中使用笔记本,方法是浏览 Azure Log Analytics 上的凭据扫描和引导式调查 - 处理警报等笔记本模板。
有关由社区Microsoft构建或贡献的更多笔记本,请转到Microsoft Sentinel GitHub 存储库。 将 Microsoft Sentinel GitHub 存储库中共享的笔记本用作开发自己的笔记本时可以使用的有用工具、插图和代码示例。
目录
Sample-Notebooks包含保存的示例笔记本,其中包含可用于显示预期输出的数据。目录
HowTos包含描述概念的笔记本,例如设置默认 Python 版本、从笔记本创建Microsoft Sentinel书签等。
管理对Microsoft Sentinel笔记本的访问权限
若要在 Microsoft Sentinel 中使用 Jupyter 笔记本,必须首先具有正确的权限,具体取决于用户角色。
虽然可以在 JupyterLab 或 Jupyter 经典版中运行Microsoft Sentinel笔记本,但在Microsoft Sentinel,笔记本在Azure机器学习平台上运行。 若要在 Microsoft Sentinel 中运行笔记本,必须具有对Microsoft Sentinel工作区和Azure机器学习工作区的相应访问权限。
| 权限 | 说明 |
|---|---|
| Microsoft Sentinel权限 | 与其他Microsoft Sentinel资源一样,若要访问Microsoft Sentinel笔记本边栏选项卡上的笔记本,Microsoft Sentinel读者、Microsoft Sentinel响应者或Microsoft Sentinel参与者角色为必填。 有关详细信息,请参阅 Microsoft Sentinel 中的权限。 |
| Azure机器学习权限 | Azure机器学习工作区是一种Azure资源。 与其他Azure资源一样,在创建新的Azure机器学习工作区时,它附带默认角色。 可以将用户添加到工作区,并将其分配给其中一个内置角色。 有关详细信息,请参阅Azure机器学习默认角色和Azure内置角色。 重要说明:角色访问的范围可以限定为Azure中的多个级别。 例如,对工作区具有所有者访问权限的人可能无权访问包含工作区的资源组。 有关详细信息,请参阅 Azure RBAC 的工作原理。 如果你是 Azure ML 工作区的所有者,则可以为工作区添加和删除角色,并将角色分配给用户。 有关更多信息,请参阅: - Azure 门户 - PowerShell - Azure CLI - REST API - Azure 资源管理器模板 - Azure机器学习 CLI 如果内置角色不足,还可以创建自定义角色。 自定义角色可能在该工作区中具有读取、写入、删除和计算资源权限。 可以在特定工作区级别、特定资源组级别或特定订阅级别提供角色。 有关详细信息,请参阅 创建自定义角色。 |
提交笔记本的反馈
提交对现有笔记本的反馈、功能请求、bug 报告或改进。 转到 gitHub 存储库Microsoft Sentinel创建问题,或者创建分叉并上传贡献。
相关内容
- 使用 Jupyter 笔记本搜寻安全威胁
- 在 Microsoft Sentinel 中开始使用 Jupyter 笔记本和 MSTICPy
- 主动搜寻威胁
- 使用Microsoft Sentinel在搜寻期间跟踪数据
有关博客、视频和其他资源,请参阅: