Wyszukiwanie zagrożeń bezpieczeństwa za pomocą notesów Jupyter

Dotyczy: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

W ramach badań zabezpieczeń i wyszukiwania zagrożeń uruchom i uruchom notesy Jupyter w celu programowego analizowania danych.

W tym artykule utworzysz obszar roboczy usługi Azure Machine Learning, uruchom notes z usługi Microsoft Sentinel do obszaru roboczego usługi Azure Machine Learning i uruchomisz kod w notesie.

Ważne

Usługa Microsoft Sentinel jest ogólnie dostępna w portalu Microsoft Defender, w tym dla klientów bez licencji XDR usługi Microsoft Defender lub E5.

Począwszy od lipca 2026 r., wszyscy klienci korzystający z usługi Microsoft Sentinel w witrynie Azure Portal zostaną przekierowani do portalu usługi Defender i będą używać usługi Microsoft Sentinel tylko w portalu usługi Defender. Od lipca 2025 r. wielu nowych klientów jest automatycznie dołączanych i przekierowywanych do portalu usługi Defender.

Jeśli nadal używasz usługi Microsoft Sentinel w witrynie Azure Portal, zalecamy rozpoczęcie planowania przejścia do portalu usługi Defender w celu zapewnienia bezproblemowego przejścia i pełnego wykorzystania ujednoliconego środowiska operacji zabezpieczeń oferowanego przez usługę Microsoft Defender. Aby uzyskać więcej informacji, zobacz It's Time to Move: Retiring Microsoft Sentinel's Azure Portal for greater security (Przenoszenie: wycofywanie witryny Azure Portal usługi Microsoft Sentinel w celu zwiększenia bezpieczeństwa).

Wymagania wstępne

Zalecamy zapoznanie się z notesami usługi Microsoft Sentinel przed wykonaniem kroków opisanych w tym artykule. Zobacz Wyszukiwanie zagrożeń bezpieczeństwa za pomocą notesów Jupyter.

Aby korzystać z notesów usługi Microsoft Sentinel, musisz mieć następujące role i uprawnienia:

Typ	Szczegóły
Microsoft Sentinel	— Rola współautora usługi Microsoft Sentinel w celu zapisania i uruchomienia notesów z usługi Microsoft Sentinel
Azure Machine Learning	— Rola właściciela lub współautora na poziomie grupy zasobów, aby w razie potrzeby utworzyć nowy obszar roboczy usługi Azure Machine Learning. — Rola Contributor w obszarze roboczym usługi Azure Machine Learning, w którym są uruchamiane notesy usługi Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do obszaru roboczego usługi Azure Machine Learning.

Typ

Szczegóły

Microsoft Sentinel

— Rola współautora usługi Microsoft Sentinel w celu zapisania i uruchomienia notesów z usługi Microsoft Sentinel

Azure Machine Learning

— Rola właściciela lub współautora na poziomie grupy zasobów, aby w razie potrzeby utworzyć nowy obszar roboczy usługi Azure Machine Learning.
— Rola Contributor w obszarze roboczym usługi Azure Machine Learning, w którym są uruchamiane notesy usługi Microsoft Sentinel.

Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do obszaru roboczego usługi Azure Machine Learning.

Tworzenie obszaru roboczego usługi Azure Machine Learning na podstawie usługi Microsoft Sentinel

Aby utworzyć obszar roboczy, wybierz jedną z poniższych kart, w zależności od tego, czy używasz publicznego, czy prywatnego punktu końcowego.

Zalecamy użycie publicznego punktu końcowego, gdy obszar roboczy usługi Microsoft Sentinel ma jeden, aby uniknąć potencjalnych problemów z komunikacją sieciową.
Jeśli chcesz użyć obszaru roboczego usługi Azure Machine Learning w sieci wirtualnej, użyj prywatnego punktu końcowego.

Publiczny punkt końcowy
Prywatny punkt końcowy

Dla Microsoft Sentinel w Azure portal, w sekcji Zarządzanie zagrożeniami, wybierz Notatniki.
W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz Microsoft Sentinel>, zarządzanie zagrożeniami>, Notesy.
Wybierz pozycję Konfiguruj usługę Azure Machine Learning>Utwórz nowy obszar roboczy AML.

Wprowadź następujące szczegóły, a następnie wybierz pozycję Dalej.

Pole	opis
Subskrypcja	Wybierz subskrypcję platformy Azure, której chcesz użyć.
Grupa zasobów	Użyj grupy zasobów istniejącej w Twojej subskrypcji lub wprowadź nazwę, aby utworzyć nową grupę zasobów. Grupa zasobów zawiera powiązane zasoby dla rozwiązania platformy Azure.
Nazwa obszaru roboczego	Wprowadź unikatową nazwę identyfikującą obszar roboczy. Nazwy muszą być unikatowe w całej grupie zasobów. Użyj nazwy, która jest łatwa do zapamiętania i odróżnia się od obszarów roboczych utworzonych przez innych.
Region	Wybierz lokalizację znajdującą się najbliżej użytkowników i zasobów danych, aby utworzyć obszar roboczy.
Konto magazynu	Konto przechowywania jest używane jako domyślny magazyn danych dla obszaru roboczego. Możesz utworzyć nowy zasób usługi Azure Storage lub wybrać istniejący w subskrypcji.
KeyVault	Magazyn kluczy służy do przechowywania tajemnic i innych poufnych informacji potrzebnych w obszarze roboczym. Możesz utworzyć nowy zasób usługi Azure Key Vault lub wybrać istniejący w subskrypcji.
Application Insights	Obszar roboczy używa Azure Application Insights do przechowywania informacji monitorujących dotyczących wdrożonych modeli. Możesz utworzyć nowy zasób Application Insights systemu Azure lub wybrać istniejący w subskrypcji.
Rejestr kontenerów	Rejestr kontenerów służy do rejestrowania obrazów Docker używanych w szkoleniach i wdrożeniach. Aby zminimalizować koszty, nowy zasób usługi Azure Container Registry jest tworzony dopiero po utworzeniu pierwszego obrazu. Alternatywnie możesz utworzyć zasób teraz lub wybrać istniejący w subskrypcji albo wybrać pozycję Brak , jeśli nie chcesz używać żadnego rejestru kontenerów.

Na karcie Sieć wybierz pozycję Włącz dostęp publiczny ze wszystkich sieci.

Zdefiniuj odpowiednie ustawienia na kartach Zaawansowane lub Tagi , a następnie wybierz pozycję Przejrzyj i utwórz.
Na karcie Przeglądanie + tworzenie przejrzyj informacje, aby sprawdzić, czy są poprawne, a następnie wybierz pozycję Utwórz , aby rozpocząć wdrażanie obszaru roboczego. Na przykład:

Utworzenie obszaru roboczego w chmurze może potrwać kilka minut. W tym czasie na stronie Przegląd obszaru roboczego jest wyświetlany bieżący stan wdrożenia i aktualizacje po zakończeniu wdrażania.

Kroki opisane w tej procedurze odwołują się do określonych artykułów w dokumentacji usługi Azure Machine Learning, jeśli jest to istotne. Aby uzyskać więcej informacji, zobacz Jak utworzyć bezpieczny obszar roboczy usługi Azure Machine Learning.

Utwórz punkt dostępu maszyny wirtualnej w sieci wirtualnej. Ponieważ sieć wirtualna ogranicza dostęp z publicznego Internetu, serwer przesiadkowy jest używany jako sposób łączenia się z zasobami za siecią wirtualną.
Uzyskaj dostęp do konsoli skokowej, a następnie przejdź do obszaru roboczego w Microsoft Sentinel. Zalecamy używanie usługi Azure Bastion do uzyskiwania dostępu do maszyny wirtualnej.
Dla Microsoft Sentinel w Azure portal, w sekcji Zarządzanie zagrożeniami, wybierz Notatniki.
W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz Microsoft Sentinel>, zarządzanie zagrożeniami>, Notesy.
Wybierz pozycję Konfiguruj usługę Azure Machine Learning>Utwórz nowy obszar roboczy AML.

Wprowadź następujące szczegóły, a następnie wybierz pozycję Dalej.

Pole	opis
Subskrypcja	Wybierz subskrypcję platformy Azure, której chcesz użyć.
Grupa zasobów	Użyj grupy zasobów istniejącej w Twojej subskrypcji lub wprowadź nazwę, aby utworzyć nową grupę zasobów. Grupa zasobów zawiera powiązane zasoby dla rozwiązania platformy Azure.
Nazwa obszaru roboczego	Wprowadź unikatową nazwę identyfikującą obszar roboczy. Nazwy muszą być unikatowe w całej grupie zasobów. Użyj nazwy, która jest łatwa do zapamiętania i odróżnia się od obszarów roboczych utworzonych przez innych.
Region	Wybierz lokalizację znajdującą się najbliżej użytkowników i zasobów danych, aby utworzyć obszar roboczy.
Konto magazynu	Konto przechowywania jest używane jako domyślny magazyn danych dla obszaru roboczego. Możesz utworzyć nowy zasób usługi Azure Storage lub wybrać istniejący w subskrypcji.
KeyVault	Magazyn kluczy służy do przechowywania tajemnic i innych poufnych informacji potrzebnych w obszarze roboczym. Możesz utworzyć nowy zasób usługi Azure Key Vault lub wybrać istniejący w subskrypcji.
Application Insights	Obszar roboczy używa Azure Application Insights do przechowywania informacji monitorujących dotyczących wdrożonych modeli. Możesz utworzyć nowy zasób Application Insights systemu Azure lub wybrać istniejący w subskrypcji.
Rejestr kontenerów	Rejestr kontenerów służy do rejestrowania obrazów Docker używanych w szkoleniach i wdrożeniach. Aby zminimalizować koszty, nowy zasób usługi Azure Container Registry jest tworzony dopiero po utworzeniu pierwszego obrazu. Alternatywnie możesz utworzyć zasób teraz lub wybrać istniejący w subskrypcji albo wybrać pozycję Brak , jeśli nie chcesz używać żadnego rejestru kontenerów.

Na karcie Sieć wybierz pozycję Wyłącz dostęp publiczny i użyj prywatnego punktu końcowego. Upewnij się, że używasz tej samej sieci wirtualnej, co masz w skrzynce przesiadkowej maszyny wirtualnej. Na przykład:
Zdefiniuj odpowiednie ustawienia na kartach Zaawansowane lub Tagi , a następnie wybierz pozycję Przejrzyj i utwórz.
Na karcie Przeglądanie + tworzenie przejrzyj informacje, aby sprawdzić, czy są poprawne, a następnie wybierz pozycję Utwórz , aby rozpocząć wdrażanie obszaru roboczego. Na przykład:

Utworzenie obszaru roboczego w chmurze może potrwać kilka minut. W tym czasie na stronie Przegląd obszaru roboczego jest wyświetlany bieżący stan wdrożenia i aktualizacje po zakończeniu wdrażania.
W usłudze Azure Machine Learning Studio na stronie Obliczenia utwórz nowe środowisko obliczeniowe. Na karcie Ustawienia zaawansowane upewnij się, że wybrałeś tę samą sieć wirtualną, którą używałeś dla maszyny pośredniczącej VM. Aby uzyskać więcej informacji, zobacz Tworzenie wystąpienia obliczeniowego usługi Azure Machine Learning i zarządzanie nim.
Skonfiguruj ruch sieciowy w celu uzyskania dostępu do usługi Azure Machine Learning zza zapory. Aby uzyskać więcej informacji, zobacz Konfigurowanie ruchu przychodzącego i wychodzącego ruchu sieciowego.

Kontynuuj pracę z jednym z następujących zestawów kroków:

Jeśli masz tylko jeden link prywatny: Teraz możesz uzyskać dostęp do notesów za pomocą dowolnej z następujących metod:
- Klonowanie i uruchamianie notesów z usługi Microsoft Sentinel do usługi Azure Machine Learning
- Ręczne przekazywanie notesów do usługi Azure Machine Learning
- Klonowanie repozytorium GitHub notesów usługi Microsoft Sentinel w terminalu usługi Azure Machine Learning
Jeśli masz inny link prywatny, który używa innej sieci wirtualnej, wykonaj następujące czynności:
1. W witrynie Azure Portal przejdź do grupy zasobów obszaru roboczego usługi Azure Machine Learning, a następnie wyszukaj zasoby prywatnej strefy DNS o nazwie privatelink.api.azureml.ms i privatelink.notebooks.azure.ms. Na przykład:
2. Dla każdego zasobu, w tym zarówno privatelink.api.azureml.ms, jak i privatelink.notebooks.azure.ms, dodaj link do sieci wirtualnej.
  
  Wybierz zasób >Łącza sieci> wirtualnejDodaj. Aby uzyskać więcej informacji, zobacz Łączenie sieci wirtualnej.

Aby uzyskać więcej informacji, zobacz:

Po zakończeniu wdrażania wróć do Notatników w Microsoft Sentinel i uruchom notatniki z nowego obszaru roboczego usługi Azure Machine Learning.

Jeśli masz wiele notesów, wybierz domyślny obszar roboczy AML do użycia podczas uruchamiania notesów. Na przykład:

Wybierz domyślny obszar roboczy AML dla notatników.

Uruchamianie notesu w obszarze roboczym usługi Azure Machine Learning

Po utworzeniu obszaru roboczego usługi Azure Machine Learning uruchom notes w tym obszarze roboczym z usługi Microsoft Sentinel. Należy pamiętać, że jeśli masz prywatne punkty końcowe lub ograniczenia dostępu do sieci publicznej włączone na koncie usługi Azure Storage, nie możesz uruchamiać notesów w obszarze roboczym usługi Azure Machine Learning z usługi Microsoft Sentinel. Musisz skopiować szablon notesu z usługi Microsoft Sentinel i przekazać notes do usługi Azure Machine Learning Studio.

Aby uruchomić notes usługi Microsoft Sentinel w obszarze roboczym usługi Azure Machine Learning, wykonaj następujące kroki.

Dla Microsoft Sentinel w Azure portal, w sekcji Zarządzanie zagrożeniami, wybierz Notatniki.
W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz Microsoft Sentinel>, zarządzanie zagrożeniami>, Notesy.
Wybierz kartę Szablony, aby zobaczyć notesy udostępnione przez Microsoft Sentinel.
Wybierz notes, aby wyświetlić jego opis, wymagane typy danych i źródła danych.
Po znalezieniu notatnika, którego chcesz użyć, wybierz opcję Utwórz z szablonu i Zapisz, aby sklonować go do swojego obszaru roboczego. Można wybrać tylko obszary robocze usługi Azure Machine Learning w tej samej subskrypcji.
Edytuj nazwę zgodnie z potrzebami. Jeśli notes już istnieje w obszarze roboczym, zastąp istniejący notes lub utwórz nowy. Domyślnie notes jest zapisywany w katalogu /Users/<Your_User_Name>/ wybranego obszaru roboczego AML.
Po zapisaniu notesu przycisk Zapisz notes zmieni się na Uruchom notes. Wybierz Uruchom notes, aby otworzyć go w obszarze roboczym AML.

Na przykład:
Na górze strony wybierz instancję obliczeniową do użycia jako serwer notesu.

Jeśli nie masz instancji obliczeniowej, utwórz nową. Jeśli instancja obliczeniowa została zatrzymana, upewnij się, że je uruchomisz. Aby uzyskać więcej informacji, zobacz Uruchamianie notesu w usłudze Azure Machine Learning Studio.

Tylko Ty możesz zobaczyć i używać utworzonych przez siebie wystąpień obliczeniowych. Pliki użytkownika są przechowywane oddzielnie od maszyny wirtualnej i współużytkowane przez wszystkie wystąpienia obliczeniowe w obszarze roboczym.

Jeśli tworzysz nową instancję obliczeniową w celu przetestowania swoich notesów, utwórz instancję obliczeniową w kategorii Ogólne.

Jądro jest również wyświetlane w prawym górnym rogu okna usługi Azure Machine Learning. Jeśli potrzebne jądro nie jest zaznaczone, wybierz inną wersję z listy rozwijanej.
Po utworzeniu i uruchomieniu serwera notatnika uruchom komórki notatnika. W każdej komórce wybierz ikonę Uruchom , aby uruchomić kod notesu.

Aby uzyskać więcej informacji, zobacz Skróty trybu poleceń.
Jeśli notes zawiesza się lub chcesz zacząć od nowa, możesz ponownie uruchomić jądro i ponownie uruchomić komórki notesu od początku. Jeśli ponownie uruchomisz jądro, zmienne i inny stan zostaną usunięte. Uruchom ponownie wszystkie komórki inicjowania i uwierzytelniania po ponownym uruchomieniu.

Aby rozpocząć od nowa, wybierz Operacje jądra>Uruchom ponownie jądro. Na przykład:

Uruchamianie kodu w notesie

Zawsze uruchamiaj komórki kodu w notesie po kolei. Pomijanie komórek może spowodować błędy.

W notesie:

Komórki markdown mają tekst, w tym html i obrazy statyczne.
Komórki kodu zawierają kod. Po wybraniu komórki kodu uruchom kod, wybierając ikonę Play po lewej stronie komórki lub naciskając SHIFT+ENTER.

Na przykład uruchom następującą komórkę kodu w notesie:

# This is your first code cell. This cell contains basic Python code.

# You can run a code cell by selecting it and then selecting
# the Play button to the left of the cell, or by pressing SHIFT+ENTER.
# Code output displays below the code.

print("Congratulations, you just ran this code cell")

y = 2 + 2

print("2 + 2 =", y)

Przykładowy kod generuje następujące dane wyjściowe:

Congratulations, you just ran this code cell

2 + 2 = 4

Zmienne ustawione w komórce kodu notesu są utrwalane między komórkami, dzięki czemu można łączyć komórki ze sobą. Na przykład następująca komórka kodu używa wartości y z poprzedniej komórki:

# Note that output from the last line of a cell is automatically
# sent to the output cell, without needing the print() function.

y + 2

Dane wyjściowe to:

Pobierz wszystkie notesy Microsoft Sentinel

W tej sekcji opisano sposób pobierania wszystkich notesów dostępnych w repozytorium GitHub usługi Microsoft Sentinel z poziomu notesu usługi Microsoft Sentinel bezpośrednio do obszaru roboczego usługi Azure Machine Learning.

Przechowywanie notesów usługi Microsoft Sentinel w obszarze roboczym usługi Azure Machine Learning umożliwia łatwe aktualizowanie notesów.

W notesie usługi Microsoft Sentinel wprowadź następujący kod w pustej komórce, a następnie uruchom komórkę:
```
!git clone https://github.com/Azure/Azure-Sentinel-Notebooks.git azure-sentinel-nb
```
Kopia zawartości repozytorium GitHub jest tworzona w katalogu azure-Sentinel-nb w folderze użytkownika w obszarze roboczym usługi Azure Machine Learning.
Skopiuj notatniki, które chcesz, z tego folderu do katalogu roboczego.
Aby zaktualizować notesy przy użyciu najnowszych zmian z usługi GitHub, uruchom polecenie:
```
!cd azure-sentinel-nb && git pull
```

Sprzężenie zwrotne

Czy ta strona była pomocna?

Last updated on 2025-07-16