Sémák és operátorok áttekintése
A Microsoft Security Exposure Management vállalati expozíciós gráfsémái támadási felületi információkat biztosítanak, amelyek segítenek megérteni, hogyan érhetik el a potenciális fenyegetéseket, és hogyan sérülhetnek az értékes eszközök. Ez a cikk az expozíciós gráf sématábláit és operátorait foglalja össze.
A Security Exposure Management jelenleg nyilvános előzetes verzióban érhető el.
Fontos
A cikkben található információk egy része egy előzetesen kiadott termékre vonatkozik, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal kifejezett vagy hallgatólagos szavatosságot az itt megadott információkra vonatkozóan.
Sématáblák
Az expozíciós diagram a következő táblázatokra támaszkodik:
- ExposureGraphNodes
- ExposureGraphEdges
ExposureGraphNodes
Az ExposureGraphNodes szervezeti entitásokat és azok tulajdonságait tartalmazza. Ezek közé tartoznak az olyan entitások, mint az eszközök, az identitások, a felhasználói csoportok és a felhőbeli eszközök, például a virtuális gépek, a tárolók és a tárolók. Minden csomópont egy adott entitásnak felel meg, és a szervezeti struktúrán belül információkat foglal magában a jellemzőiről, attribútumairól és a biztonsággal kapcsolatos megállapításairól.
Az alábbiakban az ExposureGraphNodes oszlopneveket, -típusokat és -leírásokat ismertetjük:
-
NodeId
(string
) – Egy egyedi csomópont-azonosító. Példa: "650d6aa0-10a5-587e-52f4-280bfc014a08" -
NodeLabel
(string
)- A csomópont címkéje. Példák: "microsoft.compute/virtualmachines", "elasticloadbalancing.loadbalancer" -
NodeName
(string
)– A csomópont megjelenítendő neve. Példa: "nlb-test" (hálózati terheléselosztó neve) -
Categories
(Dynamic
(json)) – A csomópont kategóriái. Példa:
[
"compute",
"virtual_machine"
]
-
NodeProperties
(Dynamic
(json)) – A csomópont tulajdonságai, beleértve az erőforrással kapcsolatos megállapításokat, például hogy az erőforrás ki van-e téve az internetnek, vagy sebezhető a távoli kódvégrehajtással szemben. Az értékek nyers (strukturálatlan) formátumúak. Példa:
{
"rawData": {
"osType": "linux",
"exposed to the internet":
{
"routes": [ { … } ]
}
}
}
- EntityIds (
Dynamic
(json)) – Az összes ismert csomópont-azonosító. Példa:
{
"AzureResourceId": "A1",
"MdeMachineId": "M1",
}
ExposureGraphEdges
Az ExposureGraphEdges séma és a hozzá tartozó ExposureGraphNodes séma betekintést nyújt a gráf entitásai és eszközei közötti kapcsolatokba. Számos veszélyforrás-keresési forgatókönyv megköveteli az entitáskapcsolatok és a támadási útvonalak feltárását. Ha például egy adott kritikus biztonsági résnek kitett eszközökre vadászik, az entitások közötti kapcsolat ismeretében felfedheti a kritikus szervezeti eszközöket.
Az alábbiakban az ExposureGraphEdges oszlopneveket, -címkéket és -leírásokat ismertetjük:
-
EdgeId
(string
) – A kapcsolat/peremhálózat egyedi azonosítója. -
EdgeLabel
(string
) – Az élcímke. Például: "befolyásoló", "átirányítja a forgalmat", "fut" és "tartalmazza". Az élfeliratok listáját a gráf lekérdezésével tekintheti meg. További információ: A bérlő összes élcímkéjének listázása. -
SourceNodeId
(string
) – Az él forrásának csomópontazonosítója. Példa: "12346aa0-10a5-587e-52f4-280bfc014a08" -
SourceNodeName
(string
) – A forráscsomópont megjelenítendő neve. Példa: "mdvmaas-win-123" -
SourceNodeLabel
(string
) – A forráscsomópont címkéje. Példa: "microsoft.compute/virtualmachines" -
SourceNodeCategories
(Dynamic
(json)) – A forráscsomópont kategórialistája. -
TargetNodeId
(string
) – Az él célcsomópont-azonosítója. Példa: "45676aa0-10a5-587e-52f4-280bfc014a08" -
TargetNodeName
(string
) – A célcsomópont megjelenítendő neve. Példa: gke-test-cluster-1 -
TargetNodeLabel
(string
) – A célcsomópont címkéje. Példa: "compute.instances" -
TargetNodeCategories
(Dynamic
(json)) – A célcsomópont kategórialistája. -
EdgeProperties
(Dynamic
(json)) – A csomópontok közötti kapcsolat szempontjából releváns opcionális adatok. Példa: AEdgeLabel
"forgalom átirányításanetworkReachability
" elemhezEdgeProperties
a használatával adja meg az A-ból B-be irányuló forgalom átviteléhez használt port- és protokolltartományokat.
{
"rawData": {
"networkReachability": {
"type": "NetworkReachability",
"routeRules": [
{
"portRanges": [
"8083"
],
"protocolRanges": [
"6"
]
},
{
"portRanges": [
"80"
],
"protocolRanges": [
"6"
]
},
{
"portRanges": [
"443"
],
"protocolRanges": [
"6"
]
}
]
}
}
}
Graph Kusto lekérdezésnyelv (KQL) operátorok
A Microsoft Security Exposure Management az expozíciós gráftáblákra és az egyedi expozíciós gráfoperátorokra támaszkodik a gráfstruktúrákon végzett műveletek engedélyezéséhez. A gráf táblázatos adatokból épül fel az make-graph
operátorral, majd gráfoperátorokkal kérdezhető le.
A make-graph operátor
A make-graph operator
gráfstruktúrát hoz létre az élek és csomópontok táblázatos bemeneteiből. További információ a használatáról és szintaxisáról: make-graph operátor.
A gráfegyezés operátor
Az graph-match
operátor egy gráfminta minden előfordulását megkeresi egy bemeneti gráfforrásban. További információ: Graph-match operátor.