Jupyter Notebook は Microsoft Sentinel データ レイク エコシステムの不可欠な部分であり、データ分析と視覚化のための強力なツールを提供します。 ノートブックは、Python for Spark (PySpark) を使用してデータ レイクと対話できる Microsoft Sentinel Visual Studio Code 拡張機能によって提供されます。 ノートブックを使用すると、複雑なデータ変換を実行したり、機械学習モデルを実行したり、ノートブック環境内で直接視覚化を作成したりできます。
Jupyter Notebook を使用した Microsoft Sentinel Visual Studio Code 拡張機能は、次の利点を持つレイク データを探索および分析するための強力な環境を提供します。
- 対話型データ探索: Jupyter ノートブックは、データを探索および分析するための対話型環境を提供します。 コード スニペットを実行し、結果を視覚化し、結果をすべて 1 か所で文書化できます。
- Python ライブラリとの統合: Microsoft Sentinel 拡張機能には、さまざまな Python ライブラリが含まれており、データ分析、機械学習、視覚化に既存のツールとフレームワークを使用できます。
- 強力なデータ分析: Apache Spark コンピューティング セッションの統合により、分散コンピューティングの機能を使用して大規模なデータセットを効率的に分析できます。 これにより、セキュリティ データに対して複雑な変換と集計を実行できます。
- 低速度攻撃: セキュリティ イベント、アラート、インシデントに関連する大規模で複雑で相互接続されたデータを分析し、従来のルールベースのシステムを回避できる横移動や低速攻撃などの高度な脅威とパターンを検出できるようにします。
- AI と ML の統合: AI と機械学習と統合して異常検出、脅威予測、行動分析を強化し、セキュリティ チームが調査を自動化するエージェントを構築できるようにします。
- スケーラビリティ: ノートブックは、膨大な量のデータ コストを効率的に処理し、傾向、パターン、異常を明らかにするための深いバッチ処理を可能にするスケーラビリティを提供します。
- 視覚化機能: Jupyter Notebook では、さまざまな視覚化ライブラリがサポートされており、グラフ、グラフ、その他のデータの視覚的表現を作成できるため、分析情報を得て、結果を効果的に伝えるのに役立ちます。
- コラボレーションと共有: Jupyter ノートブックを同僚と簡単に共有できるため、データ分析プロジェクトでのコラボレーションが可能になります。 ノートブックは、HTML や PDF など、さまざまな形式でエクスポートして、簡単に共有およびプレゼンテーションできます。
- ドキュメントと再現性: Jupyter Notebook を使用すると、コード、分析、および結果を 1 つのファイルに文書化できるため、結果の再現や他のユーザーとの作業の共有が容易になります。
ノートブックのレイク探索シナリオ
次のシナリオは、Microsoft Sentinel Lake の Jupyter ノートブックを使用してセキュリティ操作を強化する方法を示しています。
| シナリオ | 説明 |
|---|---|
| 失敗したサインインからのユーザーの動作 | 失敗したサインイン試行のパターンを分析して、通常のユーザー動作のベースラインを確立します。 失敗したログインの前後に試行された操作を調査して、潜在的な侵害またはブルート フォース アクティビティを検出します。 |
| 機密データ パス | 機密データ資産にアクセスできるユーザーとデバイスを特定します。 アクセス ログと組織のコンテキストを組み合わせて、リスクにさらされるリスクを評価し、アクセス パスをマップし、セキュリティ レビューの領域に優先順位を付けます。 |
| 異常な脅威分析 | 通常とは異なる場所、デバイス、時刻からのログインなど、確立されたベースラインからの逸脱を特定することで、脅威を分析します。 ユーザーの動作を資産データと重ねて、潜在的なインサイダー脅威を含むリスクの高いアクティビティを特定します。 |
| リスク スコアリングの優先順位付け | データ レイクのセキュリティ イベントにカスタム リスク スコアリング モデルを適用します。 リスクを定量化し、爆発半径を評価し、調査のためにインシデントに優先順位を付けるために、資産の重要度やユーザー ロールなどのコンテキストシグナルを使用してイベントを強化します。 |
| 探索的分析と視覚化 | 複数のログ ソース間で探索的データ分析を実行して、攻撃タイムラインを再構築し、根本原因を特定し、結果を関係者に伝えるのに役立つカスタム視覚化を構築します。 |
レイクと分析レベルへの書き込み
ノートブックを使用して、レイク層と分析層にデータを書き込むことができます。 Visual Studio Code 用の Microsoft Sentinel 拡張機能には、レイク層と分析層への書き込みの複雑さを抽象化する PySpark Python ライブラリが用意されています。
MicrosoftSentinelProvider クラスのsave_as_table()関数を使用して、カスタム テーブルにデータを書き込んだり、レイク層または分析層の既存のテーブルにデータを追加したりできます。 詳細については、「 Microsoft Sentinel プロバイダー クラス リファレンス」を参照してください。
ジョブとスケジュール
Visual Studio Code 用の Microsoft Sentinel 拡張機能を使用して、特定の時間または間隔でジョブを実行するようにスケジュールできます。 ジョブを使用すると、データ処理タスクを自動化して、Microsoft Sentinel データ レイク内のデータを集計、変換、または分析できます。 ジョブを使用してデータを処理し、結果をレイク層または分析層のカスタム テーブルに書き込みます。 詳細については、「 Jupyter Notebook ジョブの作成と管理」を参照してください。