مشاركة عبر

نظرة عامة على المخططات وعوامل التشغيل

  • مقالة

توفر مخططات الرسم البياني للتعرض للمؤسسة في Microsoft Security Exposure Management معلومات سطح الهجوم، لمساعدتك على فهم كيفية وصول التهديدات المحتملة إلى الأصول القيمة واختراقها. تلخص هذه المقالة جداول مخطط الرسم البياني للتعرض وعوامل التشغيل.

إدارة التعرض الأمني حاليا في المعاينة العامة.

هام

تتعلق بعض المعلومات الواردة في هذه المقالة بالناتج الذي تم إصداره مسبقًا والذي قد يتم تعديله بشكل كبير قبل إصداره تجاريًا. لا تقدم Microsoft أي ضمانات، يتم التعبير عنها أو تضمينها، فيما يتعلق بالمعلومات المقدمة هنا.

جداول المخطط

يعتمد الرسم البياني للتعرض على الجداول التالية:

  • ExposureGraphNodes
  • ExposureGraphEdges

ExposureGraphNodes

يحتوي ExposureGraphNodes على كيانات تنظيمية وخصائصها. وتشمل هذه الكيانات مثل الأجهزة والهويات ومجموعات المستخدمين والأصول السحابية مثل الأجهزة الظاهرية والتخزين والحاويات. تتوافق كل عقدة مع كيان فردي وتغلف معلومات حول خصائصها وسماتها ورؤى الأمان ذات الصلة داخل البنية التنظيمية.

فيما يلي أسماء أعمدة ExposureGraphNodes وأنواعها ووصفها:

  • NodeId (string) - معرف عقدة فريد. مثال: "650d6aa0-10a5-587e-52f4-280bfc014a08"
  • NodeLabel (string)- تسمية العقدة. أمثلة: "microsoft.compute/virtualmachines"، "elasticloadbalancing.loadbalancer"
  • NodeName (string)- اسم عرض العقدة. مثال: "nlb-test" (اسم موازن تحميل الشبكة)
  • Categories (Dynamic (json)) - فئات العقدة. على سبيل المثال:
[
  "compute",
  "virtual_machine"
]
  • NodeProperties (Dynamic (json)) - خصائص العقدة، بما في ذلك الرؤى المتعلقة بالمورد، مثل ما إذا كان المورد معرضا للإنترنت، أو عرضة لتنفيذ التعليمات البرمجية عن بعد. القيم بتنسيق بيانات أولية (غير منظمة). على سبيل المثال:
{   
"rawData": {
"osType": "linux",   
"exposed to the internet": 
{     
"routes": [ { … } ]   
}
} 
}
  • EntityIds (Dynamic (json)) - جميع معرفات العقدة المعروفة. على سبيل المثال:
{ 
"AzureResourceId": "A1",  
"MdeMachineId": "M1", 
}

ExposureGraphEdges

يوفر مخطط ExposureGraphEdges ، جنبا إلى جنب مع مخطط ExposureGraphNodes المكمل، رؤية للعلاقات بين الكيانات والأصول في الرسم البياني. تتطلب العديد من سيناريوهات التتبع استكشاف علاقات الكيان ومسارات الهجوم. على سبيل المثال، عند البحث عن الأجهزة المعرضة لثغرة أمنية حرجة معينة، ومعرفة العلاقة بين الكيانات، يمكن أن يكشف عن الأصول التنظيمية الهامة.

فيما يلي أسماء أعمدة ExposureGraphEdges والتسميات والأوصاف:

  • EdgeId (string) - المعرف الفريد للعلاقة/الحافة.
  • EdgeLabel (string) - تسمية الحافة. أمثلة: "التأثير" و"توجيه نسبة استخدام الشبكة إلى" و"قيد التشغيل" و"contains". يمكنك عرض قائمة بتسميات الحافة عن طريق الاستعلام عن الرسم البياني. لمزيد من المعلومات، راجع سرد جميع تسميات الحافة في المستأجر الخاص بك.
  • SourceNodeId (string) - معرف العقدة لمصدر الحافة. مثال: "12346aa0-10a5-587e-52f4-280bfc014a08"
  • SourceNodeName (string) - اسم عرض العقدة المصدر. مثال: "mdvmaas-win-123"
  • SourceNodeLabel (string) - تسمية العقدة المصدر. مثال: "microsoft.compute/virtualmachines"
  • SourceNodeCategories (Dynamic (json)) - قائمة فئات العقدة المصدر.
  • TargetNodeId (string) - معرف العقدة لهدف الحافة. مثال: "45676aa0-10a5-587e-52f4-280bfc014a08"
  • TargetNodeName (string) - الاسم المعروض للعقدة الهدف. مثال: gke-test-cluster-1
  • TargetNodeLabel (string) - تسمية العقدة الهدف. مثال: "compute.instances"
  • TargetNodeCategories (Dynamic (json)) - قائمة فئات العقدة الهدف.
  • EdgeProperties (Dynamic (json)) - البيانات الاختيارية ذات الصلة بالعلاقة بين العقد. مثال: بالنسبة EdgeLabel إلى "توجيه نسبة استخدام الشبكة إلى" مع EdgeProperties من networkReachability، قم بتوفير معلومات حول نطاقات المنفذ والبروتوكول المستخدمة لنقل نسبة استخدام الشبكة من النقطة A إلى B.
{   
 "rawData": {
  "networkReachability": {
    "type": "NetworkReachability",
    "routeRules": [
      {
        "portRanges": [
          "8083"
        ],
        "protocolRanges": [
          "6"
        ]
      },
      {
        "portRanges": [
          "80"
        ],
        "protocolRanges": [
          "6"
        ]
      },
      {
        "portRanges": [
          "443"
        ],
        "protocolRanges": [
          "6"
        ]
      }
    ]
  }
}
}

عوامل تشغيل Graph Kusto Query Language (KQL)

تعتمد Microsoft Security Exposure Management على جداول الرسم البياني للتعرض وعوامل تشغيل الرسم البياني الفريدة للتعرض لتمكين العمليات عبر بنيات الرسم البياني. تم إنشاء الرسم البياني من بيانات جدولية باستخدام make-graph عامل التشغيل، ثم يتم الاستعلام عنه باستخدام عوامل تشغيل الرسم البياني.

عامل تشغيل الرسم البياني

ينشئ make-graph operator بنية رسم بياني من مدخلات جدولية من الحواف والعقد. لمزيد من المعلومات حول استخدامه وبناء الجملة، راجع عامل تشغيل الرسم البياني.

عامل تشغيل مطابقة الرسم البياني

graph-match يبحث عامل التشغيل عن جميع تكرارات نمط الرسم البياني في مصدر رسم بياني للإدخل. لمزيد من المعلومات، راجع عامل تشغيل مطابقة الرسم البياني.

الخطوات التالية

الاستعلام عن الرسم البياني للتعرض للمؤسسة.