学习路径 8 - 实验室 1 - 练习 2 - 通过 Microsoft Sentinel 使用 Notebook 进行威胁搜寻

实验室方案

你是一位安全运营分析师,你所在公司已实现 Microsoft Sentinel。 你需要探索通过 Microsoft Sentinel 笔记本进行威胁搜寻的好处。 可以使用笔记本来:

  • 执行 Microsoft Sentinel 中未直接提供的分析,例如一些 Python 机器学习功能。
  • 创建 Microsoft Sentinel 中未直接提供的数据可视化,例如自定义时间线和流程树。
  • 集成 Microsoft Sentinel 外部的数据源(例如,本地数据集)。

注意: 我们提供 交互式实验室模拟 ,让你能以自己的节奏点击浏览实验室。 你可能会发现交互式模拟与托管实验室之间存在细微差异,但演示的核心概念和思想是相同的。

任务 1:探索笔记本

在此任务中,你将探索在 Microsoft Sentinel 中使用笔记本。

  1. 使用以下密码以管理员身份登录到 WIN1 虚拟机:Pa55w.rd

  2. 在 Microsoft Edge 浏览器中,导航到 Azure 门户 (https://portal.azure.com )。

  3. 在“登录”对话框中,复制粘贴实验室托管提供者提供的租户电子邮件帐户,然后选择“下一步” 。

  4. 在“输入密码”对话框中,复制粘贴实验室托管提供者提供的租户密码,然后选择“登录” 。

  5. 在 Azure 门户的“搜索”栏中,键入 Sentinel,然后选择 Microsoft Sentinel。

  6. 选择 Microsoft Sentinel 工作区。

  7. 在 Microsoft Sentinel 工作区的“威胁管理”区域下,选择 Notebooks。

  8. 接下来,需要创建 Azure 机器学习工作区。 选择“配置 Azure 机器学习”,然后在命令栏中选择“创建新的 Azure ML 工作区”按钮 。

  9. 在“订阅”框中,选择自己的订阅。

  10. 为资源组选择“新建”,输入“RG-MachineLearning”作为名称,然后选择“确定”。

  11. 在“工作区详细信息”部分中,执行以下任务:

    • 为工作区指定唯一的名称。
    • 将“区域”的默认值保留为“美国东部”。
    • 保存默认的“存储帐户”、“密钥保管库”和“应用程序见解”信息。
    • “容器注册表”选项可以保留为“无”。

  12. 在页面底部,选择“查看 + 创建”。 当看到“验证通过”消息时,选择“创建”。

    注意: 部署机器学习工作区可能需要几分钟时间。

  13. 显示“部署已完成”消息后,返回 Microsoft Sentinel 门户。

  14. 再次选择 Notebooks,然后在中间命令栏中选择“模板”选项卡 。

  15. 选择“Microsoft Sentinel ML Notebooks 入门指南”。

  16. 在右侧窗格中,向下滚动并选择“从模板创建”按钮。 查看默认选项,然后选择“保存”。

  17. 保存完成后,选择“启动笔记本”按钮。 系统会引导你前往 Microsoft Azure 机器学习工作室。

  18. 如果 Microsoft Azure 机器学习工作室中显示信息窗口,请选择“关闭”**

  19. 在命令栏中的“计算:”选择器的右侧,选择 + 符号,创建新的计算实例****。 提示:它可能隐藏在省略号图标 (…) 中 。

    注意: 可以通过选择汉堡菜单(左上角的 3 条水平线)隐藏 Azure ML Studio 左侧边栏选项卡,以及通过选择 « 图标折叠笔记本文件来获得更多屏幕空间。

  20. 在“计算名称”字段中输入唯一名称。 这会标识计算实例。

  21. 向下滚动并选择第一个可用选项。 提示**:工作负载类型:在笔记本(或其他 IDE)上进行的开发和轻型测试。

  22. 选择屏幕底部的“审阅 + 创建”** 按钮,然后向下滚动并选择“创建”*。 关闭可能显示的任何反馈窗口。 这将需要几分钟时间,完成后你将看到一条通知(铃铛图标),计算实例*左侧的图标会从蓝色变为绿色。

  23. 创建并运行计算后,请验证要使用的内核是否为 Python 3.8 - Pytorch 和 Tensorflow。 提示:这显示在命令栏的右侧。

  24. 选择“身份验证”按钮并等待身份验证完成。

  25. 通过从命令栏中选择“清除所有输出”(橡皮擦图标),清除笔记本中的所有结果,然后按照“入门”教程进行操作**。 提示:这可通过从命令栏中选择省略号 (…) 来找到。

  26. 查看笔记本中的“1 简介”部分,然后继续阅读“2 初始化笔记本和 MSTICPy”部分**

  27. 在“2 初始化笔记本和 MSTICPy”部分中,查看有关初始化笔记本和安装 MSTICPy 包的内容**。

  28. 运行 Python 代码,通过选择代码左侧的“运行单元格”按钮(播放图标)来初始化单元格**

  29. 运行大约需要 15 秒。 完成后,查看输出消息并忽略有关 Python 内核版本的任何警告。 如果系统左侧文件资源管理器窗格的 utils 文件夹中创建了 msticpyconfig.yaml,则代码成功运行。

    提示**:可以使用代码单元上方的“带有 x 的方块”图标清除输出消息

  30. 在左侧的文件资源管理器窗格中选择 msticpyconfig.yaml 文件以查看文件内容,然后将其关闭。

  31. 继续阅读“3 使用 MSTICPy 查询数据”** 部分并查看内容。 不要运行多个 Microsoft Sentinel 工作区代码单元,因为这个代码单元会失败,但其他代码单元可以成功运行。

注意:如果无法完成上述步骤来访问 Notebooks,可以改为根据其 GitHub 查看者页面进行操作。 Azure ML Notebooks 和 Microsoft Sentinel 入门

你已完成本实验室