Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les notebooks Jupyter font partie intégrante de l’écosystème de lac de données Microsoft Sentinel, offrant des outils puissants pour l’analyse et la visualisation des données. Les carnets sont fournis par l’extension Microsoft Sentinel Visual Studio Code, qui vous permet d’interagir avec le data lake à l’aide de PySpark. Les notebooks vous permettent d’effectuer des transformations de données complexes, d’exécuter des modèles Machine Learning et de créer des visualisations directement dans l’environnement de notebook.
L’extension Microsoft Sentinel Visual Studio Code avec des notebooks Jupyter offre un environnement puissant permettant d’explorer et d’analyser les données de lac avec les avantages suivants :
- Exploration interactive des données : les notebooks Jupyter fournissent un environnement interactif pour l’exploration et l’analyse des données. Vous pouvez exécuter des extraits de code, visualiser des résultats et documenter vos résultats en un seul endroit.
- Intégration aux bibliothèques Python : l’extension Microsoft Sentinel inclut un large éventail de bibliothèques Python, ce qui vous permet d’utiliser des outils et des infrastructures existants pour l’analyse des données, le Machine Learning et la visualisation.
- Analyse puissante des données : grâce à l’intégration des sessions de calcul Apache Spark, vous pouvez utiliser la puissance du calcul distribué pour analyser efficacement les jeux de données volumineux. Cela vous permet d’effectuer des transformations et des agrégations complexes sur vos données de sécurité.
- Attaques à faible échelle et lentes : analysez les données à grande échelle, complexes, interconnectées liées aux événements de sécurité, aux alertes et aux incidents, ce qui permet de détecter des menaces et des modèles sophistiqués, tels que le mouvement latéral ou les attaques à faible et lentes qui peuvent échapper aux systèmes traditionnels basés sur des règles.
- Intégration de l’IA et du ML : intégrez l’IA et le Machine Learning pour améliorer la détection des anomalies, la prédiction des menaces et l’analyse comportementale, ce qui permet aux équipes de sécurité de créer des agents pour automatiser leurs enquêtes.
- Scalabilité : les notebooks fournissent l’extensibilité pour traiter de vastes quantités de données rentables et permettre un traitement par lots approfondi pour découvrir les tendances, les modèles et les anomalies.
- Fonctionnalités de visualisation : les notebooks Jupyter prennent en charge différentes bibliothèques de visualisation, ce qui vous permet de créer des graphiques, des graphiques et d’autres représentations visuelles de vos données, ce qui vous aide à obtenir des insights et à communiquer efficacement les résultats.
- Collaboration et partage : les notebooks Jupyter peuvent être facilement partagés avec des collègues, ce qui permet de collaborer sur des projets d’analyse des données. Vous pouvez exporter des blocs-notes dans différents formats, notamment HTML et PDF, pour faciliter le partage et la présentation.
- Documentation et reproductibilité : les notebooks Jupyter vous permettent de documenter votre code, votre analyse et vos résultats dans un seul fichier, ce qui facilite la reproduction des résultats et le partage de votre travail avec d’autres personnes.
Scénarios d’exploration du lac pour notebooks
Les scénarios suivants illustrent comment les notebooks Jupyter dans Microsoft Sentinel Lake peuvent être utilisés pour améliorer les opérations de sécurité :
| Scénario | Descriptif |
|---|---|
| Comportement de l’utilisateur à partir des connexions ayant échoué | Établissez une ligne de base du comportement normal de l’utilisateur en analysant les modèles de tentatives de connexion ayant échoué. Examinez les opérations tentées avant et après les échecs de connexion pour détecter une activité potentielle de compromission ou de force brute. |
| Chemins de données sensibles | Identifiez les utilisateurs et les appareils qui ont accès aux ressources de données sensibles. Combinez les journaux d’accès avec le contexte organisationnel pour évaluer l’exposition des risques, mapper les chemins d’accès et hiérarchiser les zones de révision de sécurité. |
| Analyse des menaces liées aux anomalies | Analysez les menaces en identifiant les écarts par rapport aux lignes de base établies, telles que les connexions à partir d’emplacements inhabituels, d’appareils ou de temps. Associez le comportement de l’utilisateur aux données des actifs pour identifier les activités à haut risque, y compris les menaces internes potentielles. |
| Hiérarchisation du scoring des risques | Appliquez des modèles de scoring de risque personnalisés aux événements de sécurité dans le lac de données. Enrichissez les événements avec des signaux contextuels tels que l’importance critique des ressources et le rôle utilisateur pour quantifier les risques, évaluer le rayon d’explosion et hiérarchiser les incidents à des fins d’investigation. |
| Analyse exploratoire et visualisation | Effectuez une analyse exploratoire des données sur plusieurs sources de journaux pour reconstruire les chronologies des attaques, déterminer les causes racines et créer des visualisations personnalisées qui permettent de communiquer les résultats aux parties prenantes. |
Écriture au niveau lac et analytique
Vous pouvez écrire des données dans les niveaux lac et analytique à l’aide de notebooks. L’extension Microsoft Sentinel pour Visual Studio Code offre une bibliothèque Python PySpark qui fait abstraction de la complexité de l’écriture dans les niveaux lac et analytique. Vous pouvez utiliser la fonction MicrosoftSentinelProvider de la classe save_as_table() pour écrire des données dans des tables personnalisées ou ajouter des données à des tables existantes dans le niveau Lake ou le niveau Analytique. Pour plus d’informations, consultez la référence de la classe fournisseur Microsoft Sentinel.
Travaux et planification
Vous pouvez planifier l’exécution de travaux à des moments ou intervalles spécifiques à l’aide de l’extension Microsoft Sentinel pour Visual Studio Code. Les travaux vous permettent d’automatiser les tâches de traitement des données pour synthétiser, transformer ou analyser des données dans le lac de données Microsoft Sentinel. Utilisez des travaux pour traiter des données et écrire des résultats dans des tables personnalisées dans les niveaux lac ou analytique. Pour plus d’informations, consultez Créer et gérer des travaux de notebook Jupyter.