학습 경로 8 - 랩 1 - 연습 2 - Microsoft Sentinel이 설치된 Notebooks를 사용하여 위협 헌팅

랩 시나리오

당신은 Microsoft Sentinel을 구현한 회사에서 근무하는 보안 운영 분석가입니다. Microsoft Sentinel Notebooks를 사용하는 위협 헌팅의 이점을 파악해야 합니다. Notebook을 사용하여 다음을 수행할 수 있습니다.

  • 일부 Python 기계 학습 기능과 같이 Microsoft Sentinel에서 기본 제공되지 않는 분석을 수행합니다.
  • 사용자 지정 타임라인 및 프로세스 트리와 같이 Microsoft Sentinel에서 기본 제공되지 않는 데이터 시각화를 만듭니다.
  • Microsoft Sentinel 외부의 데이터 원본(예: 온-프레미스 데이터 세트)을 통합합니다.

참고: 대화형 랩 시뮬레이션 을 사용하여 이 랩을 원하는 속도로 클릭할 수 있습니다. 대화형 시뮬레이션과 호스트된 랩 간에 약간의 차이가 있을 수 있지만 보여주는 핵심 개념과 아이디어는 동일합니다.

작업 1: Notebooks 살펴보기

이 작업에서는 Microsoft Sentinel에서 Notebooks를 사용하는 방법을 살펴봅니다.

  1. WIN1 가상 머신에 Admin으로 로그인합니다. 암호로는 Pa55w.rd를 사용하여 로그인합니다.

  2. Microsoft Edge 브라우저에서 https://portal.azure.com의 Azure Portal로 이동합니다.

  3. 랩 호스팅 공급자가 제공한 테넌트 전자 메일 계정을 복사하여 로그인 대화 상자에 붙여 넣은 후 다음을 선택합니다.

  4. 랩 호스팅 공급자가 제공한 테넌트 암호를 복사하여 암호 입력 대화 상자에 붙여 넣은 후 로그인을 선택합니다.

  5. Azure Portal의 검색 창에 Sentinel을 입력하고 Microsoft Sentinel을 선택합니다.

  6. Microsoft Sentinel 작업 영역을 선택합니다.

  7. Microsoft Sentinel 작업 영역의 위협 관리 영역에서 Notebooks을 선택합니다.

  8. 다음으로, Azure Machine Learning 작업 영역을 만들어야 합니다. Azure Machine Learning 구성을 선택한 다음, 명령 모음에서 새 Azure ML 작업 영역 만들기 단추를 선택합니다.

  9. 구독 상자에서 구독을 선택합니다.

  10. 리소스 그룹에 대해 새로 만들기를 선택하고, 이름에 RG-MachineLearning을 입력하고, 확인을 선택합니다.

  11. 작업 영역 정보 섹션에서 다음 작업을 수행합니다.

    • 작업 영역에 고유한 이름을 지정합니다.
    • 지역 기본값으로 미국 동부를 그대로 둡니다.**
    • 기본 스토리지 계정, 키 자격 증명 모음 및 애플리케이션 인사이트 정보는 그대로 유지합니다.
    • Container Registry 옵션은 없음으로 유지하면 됩니다.

  12. 페이지의 아래쪽에서 검토 + 생성를 선택합니다. “유효성 검사 통과” 메시지가 표시되면 만들기를 선택합니다.**

    참고: Machine Learning 작업 영역을 배포하는 데 몇 분 정도 걸릴 수 있습니다.

  13. 배포가 완료됨 메시지가 나타난 후 Microsoft Sentinel 포털로 돌아갑니다.**

  14. 다시 Notebooks을 선택한 다음 가운데 명령 모음에서 템플릿 탭을 선택합니다.

  15. Microsoft Sentinel ML Notebooks에 대한 시작 가이드를 선택합니다.

  16. 오른쪽 창에서 아래로 스크롤하고 템플릿에서 만들기 단추를 선택합니다. 기본 옵션을 검토한 다음 저장을 선택합니다.

  17. 저장이 완료되면 Notebook 시작 단추를 선택합니다. 그러면 Microsoft Azure Machine Learning Studio로 연결됩니다.

  18. Microsoft Azure Machine Learning Studio에 정보 창이 나타나면 닫기를 선택합니다.

  19. 명령 모음의 컴퓨팅: 선택기 오른쪽에 있는 + 기호를 선택하여 새 컴퓨팅 인스턴스를 만듭니다. 힌트: 줄임표 아이콘 (…) 안에 숨겨져 있을 수 있습니다.

    참고: 햄버거 메뉴(왼쪽 위에 있는 3개의 가로줄)을 선택하고 « 아이콘을 선택하여 Notebooks 파일을 축소하여 Azure ML Studio 왼쪽 블레이드를 숨김으로써 더 많은 화면 공간을 확보할 수 있습니다.

  20. 컴퓨팅 이름 필드에 고유한 이름을 입력합니다.** 컴퓨팅 인스턴스를 식별합니다.

  21. 아래로 스크롤하여 사용 가능한 첫 번째 옵션을 선택합니다. 힌트: 워크로드 유형: Notebook(또는 다른 IDE)에서 개발 및 경량화 테스트.

  22. 화면 아래쪽에서 검토 + 만들기 단추를 선택한 다음 아래로 스크롤하여 만들기를 선택합니다. 표시할 수 있는 피드백 창을 닫습니다. 이 작업은 몇 분 정도 소요됩니다. 완료되면 알림(종 모양 아이콘)이 표시되고 컴퓨팅 인스턴스 왼쪽 아이콘이 파란색에서 녹색으로 변합니다.

  23. 컴퓨팅이 만들어지고 실행되면 사용할 커널이 Python 3.8 - Pytorch 및 Tensorflow인지 확인합니다. 힌트: 명령 모음의 오른쪽에 표시됩니다.

  24. 인증 단추를 선택하고 인증이 완료되기를 기다립니다.

  25. 명령 모음에서 모든 출력 지우기(지우기 아이콘)를 선택하여 Notebook의 모든 결과를 지우고 시작 자습서를 따릅니다. 힌트: 명령 모음에서 줄임표(…)를 선택하여 찾을 수 있습니다.

  26. Notebook에서 섹션 1 소개를 검토하고 2 Notebook 및 MSTICPy 초기화 섹션으로 진행합니다.

  27. 2 Notebook 및 MSTICPy 초기화 섹션에서 Notebook을 초기화하고 MSTICPy 패키지를 설치하는 내용을 검토합니다.

  28. 코드 왼쪽에 있는 셀 실행 버튼(재생 아이콘)을 선택하여 Python 코드를 실행하여 셀을 초기화합니다.

  29. 실행하는 데 약 15초가 걸립니다. 완료되면 출력 메시지를 검토하고 Python 커널 버전에 대한 경고를 무시합니다. 왼쪽의 파일 탐색기 창에 있는 유틸리티 폴더에 msticpyconfig.yaml을 만든 경우 코드가 성공적으로 실행되었습니다.

    힌트: 코드 셀 위에 있는 x 아이콘이 있는 사각형을 사용하여 출력 메시지를 지울 수 있습니다.

  30. 왼쪽의 파일 탐색기 창에서 msticpyconfig.yaml 파일을 선택하여 파일 내용을 검토한 다음 닫습니다.

  31. 3 MSTICPy로 데이터 쿼리 섹션으로 이동하여 내용을 검토합니다. 여러 Microsoft Sentinel 작업 영역 코드 셀은 실패하므로 실행하지 마세요. 다른 코드 셀은 성공적으로 실행할 수 있습니다.

참고: 위의 단계를 완료하여 Notebook에 액세스할 수 없는 경우 대신 GitHub 뷰어 페이지에서 이를 따를 수 있습니다. Azure ML Notebooks 및 Microsoft Sentinel 시작

이 랩을 완료했습니다.