Procure ameaças à segurança com os notebooks Jupyter
Como parte de suas investigações de segurança e caça, inicie e execute notebooks Jupyter para analisar seus dados de forma programática.
Neste artigo, você cria um espaço de trabalho do Azure Machine Learning, inicia o bloco de anotações do Microsoft Sentinel para seu espaço de trabalho do Azure Machine Learning e executa código no bloco de anotações.
Importante
O Microsoft Sentinel agora está disponível em geral na plataforma de operações de segurança unificada da Microsoft no portal Microsoft Defender. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.
Pré-requisitos
Recomendamos que você aprenda sobre os blocos de anotações do Microsoft Sentinel antes de concluir as etapas neste artigo. Consulte Usar blocos de anotações Jupyter para caçar ameaças à segurança.
Para usar blocos de anotações do Microsoft Sentinel, você deve ter as seguintes funções e permissões:
Type | Detalhes |
---|---|
Microsoft Sentinel | - A função de Colaborador do Microsoft Sentinel, para salvar e lançar notebooks do Microsoft Sentinel |
Azure Machine Learning | - Uma função de Proprietário ou Colaborador no nível do grupo de recursos, para criar um novo espaço de trabalho do Azure Machine Learning, se necessário. - Uma função de Colaborador no espaço de trabalho do Azure Machine Learning onde você executa seus blocos de anotações do Microsoft Sentinel. Para obter mais informações, consulte Gerenciar o acesso a um espaço de trabalho do Azure Machine Learning. |
Criar um espaço de trabalho do Azure Machine Learning a partir do Microsoft Sentinel
Para criar seu espaço de trabalho, selecione uma das guias a seguir, dependendo se você estiver usando um ponto de extremidade público ou privado.
- Recomendamos que você use um ponto de extremidade público quando seu espaço de trabalho do Microsoft Sentinel tiver um, para evitar possíveis problemas na comunicação de rede.
- Se você quiser usar um espaço de trabalho do Azure Machine Learning em uma rede virtual, use um ponto de extremidade privado.
Para o Microsoft Sentinel no portal do Azure, em Gerenciamento de ameaças, selecione Blocos de anotações.
Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Threat management>Notebooks.Selecione Configurar o Azure Machine Learning>Criar um novo espaço de trabalho AML.
Introduza os seguintes detalhes e, em seguida, selecione Seguinte.
Campo Descrição Subscrição Selecione a subscrição do Azure que pretende utilizar. Grupo de recursos Utilize um grupo de recursos já existente na sua subscrição ou introduza um nome para criar um grupo de recursos novo. Um grupo de recursos contém recursos relacionados para uma solução do Azure. Nome da área de trabalho Insira um nome exclusivo que identifique seu espaço de trabalho. Os nomes devem ser exclusivos em todo o grupo de recursos. Use um nome fácil de lembrar e diferenciar de espaços de trabalho criados por outras pessoas. Região Selecione o local mais próximo de seus usuários e os recursos de dados para criar seu espaço de trabalho. Conta de armazenamento Uma conta de armazenamento é usada como o armazenamento de dados padrão para o espaço de trabalho. Você pode criar um novo recurso de Armazenamento do Azure ou selecionar um existente em sua assinatura. KeyVault Um cofre de chaves é usado para armazenar segredos e outras informações confidenciais necessárias para o espaço de trabalho. Você pode criar um novo recurso do Azure Key Vault ou selecionar um existente em sua assinatura. Application Insights O espaço de trabalho usa o Azure Application Insights para armazenar informações de monitoramento sobre seus modelos implantados. Você pode criar um novo recurso do Azure Application Insights ou selecionar um existente em sua assinatura. Registo de contentor Um registro de contêiner é usado para registrar imagens do docker usadas em treinamentos e implantações. Para minimizar os custos, um novo recurso do Registro de Contêiner do Azure é criado somente depois que você cria sua primeira imagem. Como alternativa, você pode optar por criar o recurso agora ou selecionar um existente em sua assinatura, ou selecionar Nenhum se não quiser usar nenhum registro de contêiner. Na guia Rede, selecione Habilitar acesso público de todas as redes.
Defina as definições relevantes nos separadores Avançadas ou Etiquetas e, em seguida, selecione Rever + criar.
Na guia Revisar + criar, revise as informações para verificar se estão corretas e selecione Criar para começar a implantar seu espaço de trabalho. Por exemplo:
Pode levar vários minutos para criar seu espaço de trabalho na nuvem. Durante esse período, a página Visão geral do espaço de trabalho mostra o status atual da implantação e é atualizada quando a implantação é concluída.
Após a conclusão da implantação, volte para Blocos de Anotações no Microsoft Sentinel e inicie blocos de anotações do seu novo espaço de trabalho do Azure Machine Learning.
Se você tiver vários blocos de anotações, certifique-se de selecionar um espaço de trabalho AML padrão para usar ao iniciar seus blocos de anotações. Por exemplo:
Iniciar um bloco de notas na sua área de trabalho do Azure Machine Learning
Depois de criar um espaço de trabalho do Azure Machine Learning, inicie seu bloco de anotações nesse espaço de trabalho do Microsoft Sentinel. Lembre-se de que, se você tiver pontos de extremidade privados habilitados em sua conta de armazenamento do Azure, não poderá iniciar blocos de anotações no espaço de trabalho do Azure Machine Learning a partir do Microsoft Sentinel. Você deve copiar o modelo de bloco de anotações do Microsoft Sentinel e carregá-lo no estúdio do Azure Machine Learning.
Para iniciar seu bloco de anotações do Microsoft Sentinel em seu espaço de trabalho do Azure Machine Learning, conclua as etapas a seguir.
Para o Microsoft Sentinel no portal do Azure, em Gerenciamento de ameaças, selecione Blocos de anotações.
Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Threat management>Notebooks.Selecione a guia Modelos para ver os blocos de anotações fornecidos pelo Microsoft Sentinel.
Selecione um bloco de anotações para exibir sua descrição, os tipos de dados necessários e as fontes de dados.
Quando encontrar o bloco de notas que pretende utilizar, selecione Criar a partir do modelo e Guardar para o clonar na sua própria área de trabalho.
Edite o nome conforme necessário. Se o bloco de notas já existir na sua área de trabalho, substitua o bloco de notas existente ou crie um novo. Por padrão, seu bloco de anotações é salvo no diretório /Users/<Your_User_Name>/ do espaço de trabalho AML selecionado.
Depois que o bloco de anotações for salvo, o botão Salvar bloco de anotações será alterado para Iniciar bloco de anotações. Selecione Iniciar bloco de anotações para abri-lo em seu espaço de trabalho AML.
Por exemplo:
Na parte superior da página, selecione uma instância de computação para usar no servidor de bloco de anotações.
Se você não tiver uma instância de computação, crie uma nova. Se sua instância de computação for interrompida, certifique-se de iniciá-la. Para obter mais informações, consulte Executar um bloco de anotações no estúdio do Azure Machine Learning.
Somente você pode ver e usar as instâncias de computação criadas. Seus arquivos de usuário são armazenados separadamente da VM e são compartilhados entre todas as instâncias de computação no espaço de trabalho.
Se você estiver criando uma nova instância de computação para testar seus blocos de anotações, crie sua instância de computação com a categoria Propósito Geral .
O kernel também é mostrado no canto superior direito da janela do Azure Machine Learning. Se o kernel que você precisa não estiver selecionado, selecione uma versão diferente na lista suspensa.
Depois que o servidor do notebook for criado e iniciado, execute as células do notebook. Em cada célula, selecione o ícone Executar para executar o código do bloco de anotações.
Para obter mais informações, consulte Atalhos do modo de comando.
Se o seu bloco de notas travar ou se quiser começar de novo, pode reiniciar o kernel e executar novamente as células do bloco de notas desde o início. Se você reiniciar o kernel, as variáveis e outros estados serão excluídos. Execute novamente todas as células de inicialização e autenticação após a reinicialização.
Para recomeçar, selecione Operações>do kernel Reiniciar kernel. Por exemplo:
Executar código no seu bloco de notas
Execute sempre as células de código do bloco de notas em sequência. Ignorar células pode resultar em erros.
Num caderno:
- As células de Markdown têm texto, incluindo HTML, e imagens estáticas.
- As células de código contêm código. Depois de selecionar uma célula de código, execute o código na célula selecionando o ícone Reproduzir à esquerda da célula ou pressionando SHIFT+ENTER.
Por exemplo, execute a seguinte célula de código no seu bloco de notas:
# This is your first code cell. This cell contains basic Python code.
# You can run a code cell by selecting it and then selecting
# the Play button to the left of the cell, or by pressing SHIFT+ENTER.
# Code output displays below the code.
print("Congratulations, you just ran this code cell")
y = 2 + 2
print("2 + 2 =", y)
O código de exemplo produz esta saída:
Congratulations, you just ran this code cell
2 + 2 = 4
As variáveis definidas dentro de uma célula de código do bloco de anotações persistem entre as células, para que você possa encadear células. Por exemplo, a célula de código a seguir usa o valor de y
da célula anterior:
# Note that output from the last line of a cell is automatically
# sent to the output cell, without needing the print() function.
y + 2
A saída é:
6
Baixar todos os notebooks do Microsoft Sentinel
Esta seção descreve como usar o Git para baixar todos os blocos de anotações disponíveis no repositório GitHub do Microsoft Sentinel, de dentro de um bloco de anotações do Microsoft Sentinel, diretamente para seu espaço de trabalho do Azure Machine Learning.
Armazenar os blocos de anotações do Microsoft Sentinel em seu espaço de trabalho do Azure Machine Learning permite mantê-los atualizados facilmente.
A partir de um bloco de notas do Microsoft Sentinel, introduza o seguinte código numa célula vazia e, em seguida, execute a célula:
!git clone https://github.com/Azure/Azure-Sentinel-Notebooks.git azure-sentinel-nb
Uma cópia do conteúdo do repositório GitHub é criada no diretório azure-Sentinel-nb na sua pasta de usuário no espaço de trabalho do Azure Machine Learning.
Copie os blocos de notas que pretende desta pasta para o seu diretório de trabalho.
Para atualizar seus blocos de anotações com quaisquer alterações recentes do GitHub, execute:
!cd azure-sentinel-nb && git pull