Jupyter Notebooks mit Microsoft Sentinel-Hunting-Funktionen

Jupyter-Notebooks bieten sowohl umfassende Programmierbarkeit als auch eine große Sammlung von Bibliotheken für Machine Learning, Visualisierung und Datenanalyse. Dies macht Jupyter zu einem überzeugenden Tool für Sicherheitsuntersuchungen und Aufspüren von Sicherheitsrisiken.

Grundlage für Microsoft Sentinel ist der Datenspeicher. Dieser zeichnet sich durch Hochleistungsabfragen, ein dynamisches Schema und die Skalierung auf große Datenvolumen aus. Das Azure-Portal und alle Microsoft Sentinel-Tools greifen über eine gemeinsame API auf diesen Datenspeicher zu. Die gleiche API ist auch für externe Tools wie Jupyter Notebooks und Python verfügbar.

Wichtig

Microsoft Sentinel ist jetzt in der Microsoft Unified Security Operations Platform im Microsoft Defender-Portal allgemein verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Gründe für die Verwendung von Jupyter-Notebooks

Viele gängige Aufgaben können im Portal durchgeführt werden, Jupyter erweitert jedoch den Rahmen der Verarbeitung dieser Daten.

Verwenden Sie Notebooks beispielsweise für Folgendes:

  • Durchführen von Analysen, die nicht standardmäßig in Microsoft Sentinel enthalten sind, z. B. einige Python-Features für maschinelles Lernen
  • Erstellen von Datenvisualisierungen, die nicht standardmäßig in Microsoft Sentinel enthalten sind, z. B. benutzerdefinierte Zeitachsen und Prozessstrukturen
  • Integrieren von Datenquellen, die sich außerhalb von Microsoft Sentinel befinden, z. B. eines lokalen Datasets

Wir haben die Jupyter-Benutzeroberfläche in das Azure-Portal integriert, sodass Sie Notebooks auf einfache Weise erstellen und mit diesen Notebooks Daten analysieren können. Mit der Kqlmagic-Bibliothek als verbindende Komponente können Sie KQL-Abfragen (Kusto-Abfragesprache) von Microsoft Sentinel annehmen und diese direkt in einem Notebook ausführen.

Verschiedene von Microsoft-Sicherheitsanalysten entwickelte Notebooks werden mit Microsoft Sentinel verpackt:

  • Einige diese Notebooks wurden auf ein bestimmtes Szenario ausgelegt, und sie sind ohne weitere Änderungen sofort verwendungsfähig.
  • Andere sollen beispielhaft Techniken und Funktionen veranschaulichen, die Sie kopieren oder für die Verwendung in Ihren eigenen Notebooks anpassen können.

Weitere Notebooks können Sie aus dem Microsoft Sentinel-GitHub-Repository importieren.

Funktionsweise von Jupyter-Notizbüchern

Notebooks verfügen über zwei Komponenten:

  • Die browserbasierte Benutzeroberfläche, in der Sie Abfragen und Code eingeben und ausführen und in der die Ergebnisse der Ausführung angezeigt werden.
  • Einen Kernel, der für das Analysieren und Ausführen des Codes selbst zuständig ist.

Der Kernel des Notebooks in Microsoft Sentinel wird auf einer Azure-VM ausgeführt. Die VM-Instanz kann die gleichzeitige Ausführung vieler Notebooks unterstützen. Wenn Ihre Notebooks komplexe Machine Learning-Modelle umfassen, stehen auch weitere Lizenzierungsoptionen zur Verfügung, um leistungsfähigere VMs nutzen zu können.

Verstehen von Python-Paketen

Die Microsoft Sentinel-Notebooks nutzen viele beliebte Python-Bibliotheken wie pandas, matplotlib, bokeh und andere. Zahlreiche weitere Python-Pakete stehen zur Auswahl, die u.a. die folgenden Bereiche abdecken:

  • Visualisierungen und Grafiken
  • Datenverarbeitung und -analyse
  • Statistiken und numerisches Computing
  • Machine Learning und Deep Learning

Um zu vermeiden, komplexen und sich wiederholenden Code in Notebookzellen eingeben oder einfügen zu müssen, basieren die meisten Python-Notebooks auf Bibliotheken von Drittanbietern, die als Pakete bezeichnet werden. Um ein Paket in einem Notebook zu verwenden, müssen Sie das Paket installieren und importieren. Bei Azure Machine Learning Compute sind die gängigsten Pakete vorinstalliert. Stellen Sie sicher, dass Sie das Paket oder den relevanten Teil des Pakets, z. B. ein Modul, eine Datei, eine Funktion oder eine Klasse, importieren.

Microsoft Sentinel-Notebooks verwenden das Python-Paket MSTICPy, bei dem es sich um eine Sammlung von Cybersicherheitstools für den Datenabruf, die Datenanalyse, die Datenanreicherung und die Datenvisualisierung handelt.

MSTICPy-Tools sollen Sie insbesondere beim Erstellen von Notebooks zum Aufspüren und Untersuchen von Sicherheitsrisiken unterstützen, und wir arbeiten aktiv an neuen Features und Verbesserungen. Weitere Informationen finden Sie unter

Notizbücher suchen

Wählen Sie in Microsoft Sentinel Notebooks aus, um Notebooks anzuzeigen, die von Microsoft Sentinel bereitgestellt wurden. Informieren Sie sich über die Verwendung von Notebooks bei der Bedrohungssuche und -untersuchung, indem Sie sich Notebookvorlagen ansehen, z. B. Anmeldeinformationsüberprüfung in Azure Log Analytics und Interaktive Untersuchung – Prozesswarnung.

Weitere Notizbücher, die von Microsoft erstellt wurden oder von der Community beigetragen wurden, finden Sie imMicrosoft Sentinel-GitHub-Repository. Verwenden Sie beim Entwickeln Ihrer eigenen Notebooks im Microsoft Sentinel-GitHub-Repository verfügbare Notebooks als nützliche Tools, Veranschaulichungen und Codebeispiele.

  • Im Verzeichnis Sample-Notebooks befinden sich Beispielnotebooks, die mit Daten gespeichert wurden, die die beabsichtigte Ausgabe veranschaulichen.

  • Das Verzeichnis HowTos enthält Notebooks, die Konzepte wie das Festlegen der Standard-Python-Version oder das Erstellen von Microsoft Sentinel-Lesezeichen aus einem Notebook veranschaulichen.

Verwalten des Zugriffs auf Microsoft Sentinel-Notebooks

Um Jupyter Notebooks in Microsoft Sentinel verwenden zu können, müssen Sie je nach Ihrer Benutzerrolle zuerst über die richtigen Berechtigungen verfügen.

Während Sie Microsoft Sentinel-Notebooks in JupyterLab oder Jupyter (klassisch) ausführen können, werden Notebooks in Microsoft Sentinel auf einer Azure Machine Learning-Plattform ausgeführt. Für die Ausführung von Notebooks in Microsoft Sentinel müssen Sie über entsprechenden Zugriff sowohl auf den Microsoft Sentinel-Arbeitsbereich als auch auf einen Azure Machine Learning-Arbeitsbereich verfügen.

Berechtigung BESCHREIBUNG
Berechtigungen in Microsoft Sentinel Wie bei anderen Microsoft Sentinel-Ressourcen ist für den Zugriff auf Notebooks auf dem Blatt für Microsoft Sentinel-Notebooks die Rolle „Microsoft Sentinel-Leser“, „Microsoft Sentinel-Antwortberechtigter“ oder „Microsoft Sentinel-Mitwirkender“ erforderlich.

Weitere Informationen hierzu finden Sie unter Berechtigungen in Microsoft Sentinel.
Azure Machine Learning-Berechtigungen Ein Azure Machine Learning-Arbeitsbereich ist eine Azure-Ressource. Wie jede andere Azure-Ressource verfügt ein neu erstellter Azure Machine Learning-Arbeitsbereich über Standardrollen. Sie können dem Arbeitsbereich Benutzer hinzufügen und diesen eine dieser integrierten Rollen zuweisen. Weitere Informationen finden Sie unter Azure Machine Learning-Standardrollen und Integrierte Azure-Rollen.

Wichtig: Der Rollenzugriff kann für mehrere Ebenen in Azure gelten. Es kann z. B. sein, dass ein Benutzer mit Vollzugriff für einen Arbeitsbereich für die Ressourcengruppe, die diesen Arbeitsbereich enthält, keinen Vollzugriff hat. Weitere Informationen finden Sie unter Funktionsweise von Azure RBAC.

Wenn Sie Besitzer eines Azure ML-Arbeitsbereichs sind, können Sie Rollen für den Arbeitsbereich hinzufügen und entfernen und Benutzern Rollen zuweisen. Weitere Informationen finden Sie unter:
- Azure-Portal
- PowerShell
- Azure CLI
- REST-API
- Azure Resource Manager-Vorlagen
- Azure Machine Learning-CLI

Wenn die integrierten Rollen nicht ausreichend sind, können Sie auch benutzerdefinierte Rollen erstellen. Benutzerdefinierte Rollen können über Berechtigung zum Lesen, Schreiben, Löschen und für Computeressourcen in diesem Arbeitsbereich verfügen. Sie können die Rolle auf einer bestimmten Arbeitsbereichsebene, einer bestimmten Ressourcengruppenebene oder einer bestimmten Abonnementebene verfügbar machen. Weitere Informationen finden Sie unter Erstellen einer benutzerdefinierten Rolle.

Übermitteln von Feedback zu einem Notebook

Senden Sie Feedback, Featureanforderungen, Fehlerberichte oder Verbesserungen für vorhandene Notebooks. Im Microsoft Sentinel-GitHub-Repository können Sie ein Problem melden oder einen Beitrag forken und hochladen.

Blogs, Videos und andere Ressourcen finden Sie unter: