Поиск угроз безопасности с использованием записных книжек Jupyter

Статья
2025-04-17
Применяется к: Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

В рамках ваших расследований безопасности и поиска угроз запускайте и выполняйте записные книжки Jupyter для анализа данных.

В этой статье вы создадите рабочую область Машинное обучение Azure, запустите записную книжку из Microsoft Sentinel в рабочую область Машинное обучение Azure и запустите код в записной книжке.

Внимание

Microsoft Sentinel общедоступен в единой платформе операций безопасности Майкрософт на портале Microsoft Defender. В предварительной версии Microsoft Sentinel доступен на портале Defender без XDR Microsoft Defender или лицензии E5. Дополнительные сведения можно посмотреть на портале Microsoft Defender в Microsoft Sentinel.

Предварительные условия

Перед выполнением действий, описанных в этой статье, рекомендуется узнать о записных книжках Microsoft Sentinel. См. раздел Использование записных книжек Jupyter для охоты на угрозы безопасности.

Чтобы использовать записные книжки Microsoft Sentinel, необходимо иметь перечисленные ниже роли и разрешения:

Тип	Сведения
Microsoft Sentinel	– Роль Участник Microsoft Sentinel для сохранения и запуска записных книжек из Microsoft Sentinel
Машинное обучение Azure	– Для создания новой рабочей области Машинного обучения Azure при необходимости требуется роль Владелец или Участник на уровне группы ресурсов. – Роль Участник в рабочей области Машинного обучения Azure, где вы запускаете ноутбуки Microsoft Sentinel. Дополнительные сведения см. в статье Управление доступом к рабочей области Машинного обучения Azure.

Тип

Сведения

Microsoft Sentinel

– Роль Участник Microsoft Sentinel для сохранения и запуска записных книжек из Microsoft Sentinel

Машинное обучение Azure

– Для создания новой рабочей области Машинного обучения Azure при необходимости требуется роль Владелец или Участник на уровне группы ресурсов.
– Роль Участник в рабочей области Машинного обучения Azure, где вы запускаете ноутбуки Microsoft Sentinel.

Дополнительные сведения см. в статье Управление доступом к рабочей области Машинного обучения Azure.

Создание рабочей области Azure Machine Learning из Microsoft Sentinel

Чтобы создать рабочую область, выберите одну из следующих вкладок в зависимости от того, используете ли вы общедоступную или частную конечную точку.

Рекомендуется использовать общедоступную конечную точку , если в рабочей области Microsoft Sentinel есть одна, чтобы избежать потенциальных проблем в сетевом взаимодействии.
Если вы хотите использовать рабочую область Машинное обучение Azure в виртуальной сети, используйте частную конечную точку.

Общедоступная конечная точка
Частная конечная точка

Для Microsoft Sentinel в портале Azure, в разделе Управление угрозами, выберите Записные книжки.
Для Microsoft Sentinel на портале Defender выберите Microsoft SentinelУправление угрозамиЗаписные книжки.
Выберите Настроить Машинное обучение Azure>Создать новую рабочую область AML.

Задайте указанные ниже параметры и нажмите кнопку Далее.

Поле	Описание
Подписка	Выберите подписку Azure, которую нужно использовать.
Группа ресурсов	Используйте группу ресурсов, которая есть в подписке, или введите имя, чтобы создать группу ресурсов. Группа ресурсов содержит связанные ресурсы для решения Azure.
Имя рабочей области	Введите уникальное имя для идентификации рабочей области. Имена должны быть уникальными в группе ресурсов. Используйте имя, которое позволит легко запомнить рабочую область и отличить ее от областей, созданных другими пользователями.
Регион	Выберите ближайшее к пользователям и ресурсам данных расположение, чтобы создать рабочую область.
Учетная запись хранения	Учетная запись службы хранилища используется в качестве хранилища данных по умолчанию для рабочей области. Вы можете создать новый ресурс службы хранилища Azure или выбрать существующий в вашей подписке.
Хранилище ключей	Хранилище ключей используется для хранения секретов и других конфиденциальных сведений, необходимых рабочей области. Вы можете создать новый ресурс Azure Key Vault или выбрать существующий в подписке.
Application Insights.	Рабочая область использует Azure Application Insights для хранения сведений мониторинга о развернутых моделях. Вы можете создать новый ресурс Azure Application Insights или выбрать существующий в вашей подписке.
Реестр контейнеров	Реестр контейнеров используется для регистрации образов DOCKER, используемых в обучении и развертываниях. Чтобы минимизировать расходы, новый ресурс Реестра контейнеров Azure создается только после создания первого образа. В качестве альтернативы, вы можете создать ресурс сейчас или выбрать существующий в вашей подписке, или выбрать Нет, если вы не хотите использовать реестр контейнеров.

На вкладке "Сеть" выберите "Включить общедоступный доступ" из всех сетей.

Определите все необходимые параметры на вкладках Дополнительно или Теги, а затем выберите Проверить и создать.
На вкладке Проверка и создание проверьте данные, убедитесь, что они верны, а затем нажмите кнопку Создать, чтобы начать развертывание рабочей области. Например:

Создание рабочей области в облаке может занять несколько минут. При этом на странице Обзор рабочей области отображается текущее состояние развертывания, а после его завершения она обновляется.

Пошаговое описание этой процедуры включает отсылки на конкретные статьи в документации по машинному обучению Azure. Дополнительные сведения см. в статье "Как создать безопасную рабочую область Azure Machine Learning".

Создайте поле перехода виртуальной машины в виртуальной сети. Так как виртуальная сеть ограничивает доступ из общедоступного Интернета, окно перехода используется как способ подключения к ресурсам за виртуальной сетью.
Откройте окно перехода и перейдите к рабочей области Microsoft Sentinel. Для доступа к виртуальной машине рекомендуется использовать Бастион Azure.
Для Microsoft Sentinel в портале Azure в разделе Управление угрозами выберите Записные книжки.
Для Microsoft Sentinel в портале Defender выберите Microsoft Sentinel>Управление угрозами>Записные книжки.
Выберите Настроить Azure Machine Learning>Создайте новую рабочую область Azure Machine Learning (AML).

Задайте указанные ниже параметры и нажмите кнопку Далее.

Поле	Описание
Подписка	Выберите подписку Azure, которую нужно использовать.
Группа ресурсов	Используйте группу ресурсов, которая есть в подписке, или введите имя, чтобы создать группу ресурсов. Группа ресурсов содержит связанные ресурсы для решения Azure.
Имя рабочей области	Введите уникальное имя для идентификации рабочей области. Имена должны быть уникальными в группе ресурсов. Используйте имя, которое позволит легко запомнить рабочую область и отличить ее от областей, созданных другими пользователями.
Регион	Выберите ближайшее к пользователям и ресурсам данных расположение, чтобы создать рабочую область.
Учетная запись хранения	Учетная запись службы хранилища используется в качестве хранилища данных по умолчанию для рабочей области. Вы можете создать новый ресурс службы хранилища Azure или выбрать существующий в вашей подписке.
Хранилище ключей	Хранилище ключей используется для хранения секретов и других конфиденциальных сведений, необходимых рабочей области. Вы можете создать новый ресурс Azure Key Vault или выбрать существующий в подписке.
Application Insights.	Рабочая область использует Azure Application Insights для хранения сведений мониторинга о развернутых моделях. Вы можете создать новый ресурс Azure Application Insights или выбрать существующий в вашей подписке.
Реестр контейнеров	Реестр контейнеров используется для регистрации образов DOCKER, используемых в обучении и развертываниях. Чтобы минимизировать расходы, новый ресурс Реестра контейнеров Azure создается только после создания первого образа. В качестве альтернативы, вы можете создать ресурс сейчас, выбрать существующий в вашей подписке или выбрать Ничего, если не хотите использовать реестр контейнеров.

На вкладке "Сеть" выберите "Отключить общедоступный доступ" и используйте частную конечную точку. Обязательно используйте ту же виртуальную сеть, что и в сервере перехода виртуальной машины. Например:
Определите все необходимые параметры на вкладках Дополнительно или Теги, а затем выберите Проверить и создать.
На вкладке Проверка и создание проверьте данные, убедитесь, что они верны, а затем нажмите кнопку Создать, чтобы начать развертывание рабочей области. Например:

Создание рабочей области в облаке может занять несколько минут. При этом на странице Обзор рабочей области отображается текущее состояние развертывания, а после его завершения она обновляется.
В студии машинного обучения Azure на странице Вычислительная среда создайте новую вычислительную среду. На вкладке Дополнительные параметры убедитесь, что выбрали ту же виртуальную сеть, которую вы использовали для вспомогательного хоста виртуальной машины. Дополнительные сведения см. в статье Создание вычислительного экземпляра для Машинного обучения Azure и управление им.
Настройте сетевой трафик для доступа к службы Azure Machine Learning за брандмауэром. Дополнительную информацию см. в статье Настройка входящего и исходящего сетевого трафика.

Выполните одно из следующих действий:

Если у вас есть только одна частная ссылка: теперь вы можете переходить к записным книжкам с помощью одного из следующих методов:
- Клонирование и запуск записных книжек из Microsoft Sentinel в машинном обучении Azure
- Отправка записных книжек в машинное обучение Azure вручную
- Клонируйте репозиторий записных книжек Microsoft Sentinel GitHub в терминале Машинного обучения Azure.
Если у вас есть другая частная ссылка, использующая другую виртуальную сеть, выполните следующие действия:
1. На портале Azure перейдите в группу ресурсов рабочей области машинного обучения Azure и выполните поиск ресурсов Частной зоны DNS с именами privatelink.api.azureml.ms и privatelink.notebooks.azure.ms. Например:
2. Для каждого ресурса, включая privatelink.api.azureml.ms и privatelink.notebooks.azure.ms, добавьте ссылку в виртуальной сети.
  
  Выберите ресурс >Ссылки в виртуальной сети>Добавить. Дополнительные сведения см. в статье о связывании виртуальной сети.

Дополнительные сведения см. в разделе:

После завершения развертывания вернитесь к записным книжкам в Microsoft Sentinel и запустите записные книжки из новой рабочей области Azure Machine Learning.

Если у вас несколько записных книжек, обязательно выберите для их запуска рабочую область AML по умолчанию. Например:

Выберите рабочую область AML по умолчанию для записных книжек.

Запустите блокнот в рабочей области Azure Machine Learning

После создания рабочей области Azure Machine Learning запустите ноутбук в этой области через Microsoft Sentinel. Помните, что если у вас есть частные конечные точки или ограничения на доступ к общедоступной сети, включенный в учетной записи хранения Azure, вы не сможете запускать записные книжки в рабочей области Машинное обучение Azure из Microsoft Sentinel. Необходимо скопировать шаблон записной книжки из Microsoft Sentinel и отправить записную книжку в Студия машинного обучения Azure.

Чтобы запустить записную книжку Microsoft Sentinel в рабочей области Машинное обучение Azure, выполните следующие действия.

Для Microsoft Sentinel в портале Azure в разделе "Управление угрозами" выберите "Записные книжки".
Для Microsoft Sentinel на портале Defender выберите Microsoft Sentinel>Управление угрозами>Записные книжки.
Перейдите на вкладку "Шаблоны", чтобы просмотреть записные книжки, которые предоставляет Microsoft Sentinel.
Выберите записную книжку, чтобы просмотреть ее описание, требуемые для нее типы и источники данных.
Когда вы найдете записную книжку, которую вы хотите использовать, выберите "Создать из шаблона " и "Сохранить ", чтобы клонировать ее в собственную рабочую область. Можно выбрать только рабочие области машинного обучения Azure в одной подписке.
При необходимости измените имя. Если записная книжка уже существует в рабочей области, замените существующую записную книжку или создайте новую. По умолчанию записная книжка сохраняется в каталоге /Users/<Your_User_Name>/ выбранной рабочей области AML.
После сохранения записной книжки надпись на кнопке Сохранить записную книжку меняется на Запустить записную книжку. Выберите Запустить записную книжку, чтобы открыть ее в рабочей области AML.

Например:
В верхней части страницы выберите вычислительный экземпляр, который будет использоваться для сервера записной книжки.

Если у вас нет вычислительного экземпляра, вы можете его создать. Если вычислительный экземпляр остановлен, запустите его. Дополнительные сведения см. в статье о запуске записной книжки в Студии машинного обучения Azure.

Только вы можете просматривать и использовать созданные вами вычислительные операции. Ваши файлы пользователя хранятся отдельно от виртуальной машины и являются общими для всех вычислительных операций в рабочей области.

Если вы создаете новый вычислительный экземпляр для тестирования записных книжек, создайте его в категории Общего назначения.

Ядро также отображается в правом верхнем углу окна Машинное обучение Azure. Если нужное ядро не выбрано, выберите другую версию в раскрывающемся списке.
После создания и запуска сервера записной книжки запустите ячейки записной книжки. В каждой ячейке выберите значок Выполнить, чтобы запустить код записной книжки.

Дополнительные сведения см. в статье о сочетаниях клавиш режима команд.
Если записная книжка зависает или вы хотите начать заново, можно перезапустить ядро и повторно запустить ячейки записной книжки с самого начала. При перезапуске ядра переменные и состояние удаляются. Повторно запустите все ячейки инициализации и проверки подлинности после перезапуска.

Чтобы начать заново, выберите Операции ядра>Перезапустить ядро. Например:

Запуск кода в ноутбуке

Всегда выполняйте ячейки кода записной книжки по порядку. Пропуск ячеек может привести к возникновению ошибок.

В записной книжке:

Ячейки Markdown содержат текст, включая HTML, и статические изображения.
Ячейки Код содержат код. После выбора ячейки кода выполните код в ячейке, щелкнув значок Запуск слева от ячейки или нажав клавиши SHIFT + ENTER.

Например, выполните следующую ячейку кода в записной книжке:

# This is your first code cell. This cell contains basic Python code.

# You can run a code cell by selecting it and then selecting
# the Play button to the left of the cell, or by pressing SHIFT+ENTER.
# Code output displays below the code.

print("Congratulations, you just ran this code cell")

y = 2 + 2

print("2 + 2 =", y)

Пример кода выдает следующие выходные данные:

Congratulations, you just ran this code cell

2 + 2 = 4

Переменные, заданные в ячейке кода записной книжки, сохраняются между ячейками, что позволяет объединить ячейки в цепочку. Например, в следующей ячейке кода используется значение y из предыдущей ячейки:

# Note that output from the last line of a cell is automatically
# sent to the output cell, without needing the print() function.

y + 2

Результат выглядит так:

Загрузка всех записных книжек Microsoft Sentinel

В этом разделе описывается, как с помощью Git скачать все записные книжки, доступные в репозитории Microsoft Sentinel GitHub, из записной книжки Microsoft Sentinel непосредственно в рабочую область Машинное обучение Azure.

Хранение записных книжек Microsoft Sentinel в рабочей области Машинное обучение Azure позволяет легко обновлять их.

В записной книжке Microsoft Sentinel введите следующий код в пустую ячейку, а затем выполните следующую ячейку:
```
!git clone https://github.com/Azure/Azure-Sentinel-Notebooks.git azure-sentinel-nb
```
Копия содержимого репозитория GitHub создается в каталоге azure-Sentinel-nb в папке пользователя в рабочей области Машинное обучение Azure.
Скопируйте нужные записные книжки из этой папки в рабочую папку.
Чтобы обновить записные книжки в соответствии с недавними изменениями в GitHub, выполните следующее:
```
!cd azure-sentinel-nb && git pull
```

Поделиться через

Поиск угроз безопасности с использованием записных книжек Jupyter

Предварительные условия

Создание рабочей области Azure Machine Learning из Microsoft Sentinel

Запустите блокнот в рабочей области Azure Machine Learning

Запуск кода в ноутбуке

Загрузка всех записных книжек Microsoft Sentinel

Связанный контент

Обратная связь

Дополнительные ресурсы