Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Jupyter-Notizbücher sind ein integraler Bestandteil des Microsoft Sentinel-Datensee-Ökosystems, das leistungsstarke Tools für Datenanalyse und Visualisierung bietet. Die Notizbücher werden von der Microsoft Sentinel Visual Studio Code-Erweiterung bereitgestellt, mit der Sie mithilfe von Python für Spark (PySpark) mit dem Datensee interagieren können. Mit Notizbüchern können Sie komplexe Datentransformationen ausführen, Machine Learning-Modelle ausführen und Visualisierungen direkt in der Notizbuchumgebung erstellen.
Die Microsoft Sentinel Visual Studio Code-Erweiterung mit Jupyter-Notizbüchern bietet eine leistungsstarke Umgebung zum Untersuchen und Analysieren von Seedaten mit den folgenden Vorteilen:
- Interaktive Datensuche: Jupyter-Notizbücher bieten eine interaktive Umgebung zum Untersuchen und Analysieren von Daten. Sie können Codeausschnitte ausführen, Ergebnisse visualisieren und Ihre Ergebnisse an einem zentralen Ort dokumentieren.
- Integration in Python-Bibliotheken: Die Microsoft Sentinel-Erweiterung umfasst eine breite Palette von Python-Bibliotheken, mit denen Sie vorhandene Tools und Frameworks für Datenanalyse, maschinelles Lernen und Visualisierung verwenden können.
- Leistungsstarke Datenanalyse: Mit der Integration von Apache Spark Compute Sessions können Sie die Leistungsfähigkeit des verteilten Computing nutzen, um große Datasets effizient zu analysieren. Auf diese Weise können Sie komplexe Transformationen und Aggregationen für Ihre Sicherheitsdaten ausführen.
- Niedrige und langsame Angriffe: Analysieren Sie große, komplexe, miteinander verbundene Daten im Zusammenhang mit Sicherheitsereignissen, Warnungen und Vorfällen, wodurch komplexe Bedrohungen und Muster wie Lateralbewegung oder langsame Angriffe erkannt werden können, die herkömmliche regelbasierte Systeme umgehen können.
- KI- und ML-Integration: Integration in KI und maschinelles Lernen, um Anomalieerkennung, Bedrohungsvorhersage und Verhaltensanalyse zu verbessern und Sicherheitsteams zu ermöglichen, Agenten zu erstellen, um ihre Untersuchungen zu automatisieren.
- Skalierbarkeit: Notizbücher bieten die Skalierbarkeit für die effiziente Verarbeitung großer Datenmengen und ermöglichen eine umfassende Batchverarbeitung zur Aufdeckung von Trends, Mustern und Anomalien.
- Visualisierungsfunktionen: Jupyter-Notizbücher unterstützen verschiedene Visualisierungsbibliotheken, sodass Sie Diagramme, Diagramme und andere visuelle Darstellungen Ihrer Daten erstellen können, sodass Sie Erkenntnisse gewinnen und Erkenntnisse effektiv kommunizieren können.
- Zusammenarbeit und Freigabe: Jupyter-Notebooks können ganz einfach mit Kollegen geteilt werden, wodurch die Zusammenarbeit an Datenanalyseprojekten erleichtert wird. Sie können Notizbücher in verschiedenen Formaten exportieren, einschließlich HTML und PDF, um einfache Freigabe und Präsentation zu ermöglichen.
- Dokumentation und Reproduzierbarkeit: Jupyter-Notizbücher ermöglichen es Ihnen, Ihren Code, Ihre Analyse und Ergebnisse in einer einzigen Datei zu dokumentieren, sodass Sie Die Ergebnisse einfacher reproduzieren und Ihre Arbeit mit anderen teilen können.
See-Erkundungsszenarien für Laptops
Die folgenden Szenarien veranschaulichen, wie Jupyter-Notizbücher im Microsoft Sentinel Lake verwendet werden können, um Sicherheitsvorgänge zu verbessern:
| Szenario | BESCHREIBUNG |
|---|---|
| Benutzerverhalten bei fehlgeschlagenen Anmeldungen | Richten Sie einen Basisplan für normales Benutzerverhalten ein, indem Sie Muster von fehlgeschlagenen Anmeldeversuchen analysieren. Untersuchen Sie Vorgänge, die vor und nach den fehlgeschlagenen Anmeldungen versucht wurden, um potenzielle Kompromittierungen oder Brute-Force-Aktivitäten zu erkennen. |
| Vertrauliche Datenpfade | Identifizieren Sie Benutzer und Geräte, die Zugriff auf vertrauliche Datenobjekte haben. Kombinieren Sie Zugriffsprotokolle mit dem Organisationskontext, um die Risikogefährdung zu bewerten, Zugriffspfade zuzuordnen und Bereiche für die Sicherheitsüberprüfung zu priorisieren. |
| Anomalie-Bedrohungsanalyse | Analysieren Sie Bedrohungen, indem Sie Abweichungen von etablierten Basiswerten identifizieren, z. B. Anmeldungen von ungewöhnlichen Standorten, Geräten oder Zeiten. Überlagern Sie das Benutzerverhalten mit Bestandsdaten, um aktivitäten mit hohem Risiko zu identifizieren, einschließlich potenzieller Insider-Bedrohungen. |
| Priorisierung von Risikobewertungen | Wenden Sie benutzerdefinierte Risikobewertungsmodelle auf Sicherheitsereignisse im Datensee an. Bereichern Sie Ereignisse mit kontextbezogenen Signalen wie Asset-Kritikalität und Benutzerrolle, um Risiken zu quantifizieren, den Explosionsradius zu bewerten und Vorfälle für die Untersuchung zu priorisieren. |
| Explorative Analyse und Visualisierung | Führen Sie explorative Datenanalysen über mehrere Protokollquellen hinweg aus, um Angriffszeitachsen zu rekonstruieren, Die Ursachen zu ermitteln und benutzerdefinierte Visualisierungen zu erstellen, mit denen Erkenntnisse an Projektbeteiligte vermittelt werden können. |
Schreiben in den Data Lake und die Analytics-Ebene
Sie können Daten mithilfe von Notizbüchern in die Seeebene und die Analyseebene schreiben. Die Microsoft Sentinel-Erweiterung für Visual Studio Code stellt eine PySpark-Python-Bibliothek bereit, die die Komplexität beim Schreiben in den Data Lake und die Analyse-Ebenen abstrahiert. Sie können die Funktion der MicrosoftSentinelProvider Klasse save_as_table() verwenden, um Daten in benutzerdefinierte Tabellen zu schreiben oder Daten an vorhandene Tabellen auf seeebene oder Analyseebene anzufügen. Weitere Informationen finden Sie in der Referenz zur Microsoft Sentinel-Anbieterklasse.
Aufträge und Planung
Sie können Aufträge für die Ausführung zu bestimmten Zeiten oder Intervallen mithilfe der Microsoft Sentinel-Erweiterung für Visual Studio Code planen. Mit Jobs können Sie Datenverarbeitungsaufgaben automatisieren, um Daten im Microsoft Sentinel Datensee zusammenzufassen, zu transformieren oder zu analysieren. Verwenden Sie Aufträge, um Daten zu verarbeiten und Ergebnisse in benutzerdefinierte Tabellen in der Lake- oder Analyse-Ebene zu schreiben. Weitere Informationen finden Sie unter Erstellen und Verwalten von Jupyter-Notizbuchaufträgen.