Megosztás a következőn keresztül:

Sémák és operátorok áttekintése

  • Cikk

A Microsoft Security Exposure Management vállalati expozíciós gráfsémái támadási felületi információkat biztosítanak, amelyek segítenek megérteni, hogyan érhetik el a potenciális fenyegetéseket, és hogyan sérülhetnek az értékes eszközök. Ez a cikk az expozíciós gráf sématábláit és operátorait foglalja össze.

A Security Exposure Management jelenleg nyilvános előzetes verzióban érhető el.

Fontos

A cikkben található információk egy része egy előzetesen kiadott termékre vonatkozik, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal kifejezett vagy hallgatólagos szavatosságot az itt megadott információkra vonatkozóan.

Sématáblák

Az expozíciós diagram a következő táblázatokra támaszkodik:

  • ExposureGraphNodes
  • ExposureGraphEdges

ExposureGraphNodes

Az ExposureGraphNodes szervezeti entitásokat és azok tulajdonságait tartalmazza. Ezek közé tartoznak az olyan entitások, mint az eszközök, az identitások, a felhasználói csoportok és a felhőbeli eszközök, például a virtuális gépek, a tárolók és a tárolók. Minden csomópont egy adott entitásnak felel meg, és a szervezeti struktúrán belül információkat foglal magában a jellemzőiről, attribútumairól és a biztonsággal kapcsolatos megállapításairól.

Az alábbiakban az ExposureGraphNodes oszlopneveket, -típusokat és -leírásokat ismertetjük:

  • NodeId (string) – Egy egyedi csomópont-azonosító. Példa: "650d6aa0-10a5-587e-52f4-280bfc014a08"
  • NodeLabel (string)- A csomópont címkéje. Példák: "microsoft.compute/virtualmachines", "elasticloadbalancing.loadbalancer"
  • NodeName (string)– A csomópont megjelenítendő neve. Példa: "nlb-test" (hálózati terheléselosztó neve)
  • Categories (Dynamic (json)) – A csomópont kategóriái. Példa:
[
  "compute",
  "virtual_machine"
]
  • NodeProperties (Dynamic (json)) – A csomópont tulajdonságai, beleértve az erőforrással kapcsolatos megállapításokat, például hogy az erőforrás ki van-e téve az internetnek, vagy sebezhető a távoli kódvégrehajtással szemben. Az értékek nyers (strukturálatlan) formátumúak. Példa:
{   
"rawData": {
"osType": "linux",   
"exposed to the internet": 
{     
"routes": [ { … } ]   
}
} 
}
  • EntityIds (Dynamic (json)) – Az összes ismert csomópont-azonosító. Példa:
{ 
"AzureResourceId": "A1",  
"MdeMachineId": "M1", 
}

ExposureGraphEdges

Az ExposureGraphEdges séma és a hozzá tartozó ExposureGraphNodes séma betekintést nyújt a gráf entitásai és eszközei közötti kapcsolatokba. Számos veszélyforrás-keresési forgatókönyv megköveteli az entitáskapcsolatok és a támadási útvonalak feltárását. Ha például egy adott kritikus biztonsági résnek kitett eszközökre vadászik, az entitások közötti kapcsolat ismeretében felfedheti a kritikus szervezeti eszközöket.

Az alábbiakban az ExposureGraphEdges oszlopneveket, -címkéket és -leírásokat ismertetjük:

  • EdgeId (string) – A kapcsolat/peremhálózat egyedi azonosítója.
  • EdgeLabel (string) – Az élcímke. Például: "befolyásoló", "átirányítja a forgalmat", "fut" és "tartalmazza". Az élfeliratok listáját a gráf lekérdezésével tekintheti meg. További információ: A bérlő összes élcímkéjének listázása.
  • SourceNodeId (string) – Az él forrásának csomópontazonosítója. Példa: "12346aa0-10a5-587e-52f4-280bfc014a08"
  • SourceNodeName (string) – A forráscsomópont megjelenítendő neve. Példa: "mdvmaas-win-123"
  • SourceNodeLabel (string) – A forráscsomópont címkéje. Példa: "microsoft.compute/virtualmachines"
  • SourceNodeCategories (Dynamic (json)) – A forráscsomópont kategórialistája.
  • TargetNodeId (string) – Az él célcsomópont-azonosítója. Példa: "45676aa0-10a5-587e-52f4-280bfc014a08"
  • TargetNodeName (string) – A célcsomópont megjelenítendő neve. Példa: gke-test-cluster-1
  • TargetNodeLabel (string) – A célcsomópont címkéje. Példa: "compute.instances"
  • TargetNodeCategories (Dynamic (json)) – A célcsomópont kategórialistája.
  • EdgeProperties (Dynamic (json)) – A csomópontok közötti kapcsolat szempontjából releváns opcionális adatok. Példa: A EdgeLabel "forgalom átirányításanetworkReachability" elemhez EdgeProperties a használatával adja meg az A-ból B-be irányuló forgalom átviteléhez használt port- és protokolltartományokat.
{   
 "rawData": {
  "networkReachability": {
    "type": "NetworkReachability",
    "routeRules": [
      {
        "portRanges": [
          "8083"
        ],
        "protocolRanges": [
          "6"
        ]
      },
      {
        "portRanges": [
          "80"
        ],
        "protocolRanges": [
          "6"
        ]
      },
      {
        "portRanges": [
          "443"
        ],
        "protocolRanges": [
          "6"
        ]
      }
    ]
  }
}
}

Graph Kusto lekérdezésnyelv (KQL) operátorok

A Microsoft Security Exposure Management az expozíciós gráftáblákra és az egyedi expozíciós gráfoperátorokra támaszkodik a gráfstruktúrákon végzett műveletek engedélyezéséhez. A gráf táblázatos adatokból épül fel az make-graph operátorral, majd gráfoperátorokkal kérdezhető le.

A make-graph operátor

A make-graph operator gráfstruktúrát hoz létre az élek és csomópontok táblázatos bemeneteiből. További információ a használatáról és szintaxisáról: make-graph operátor.

A gráfegyezés operátor

Az graph-match operátor egy gráfminta minden előfordulását megkeresi egy bemeneti gráfforrásban. További információ: Graph-match operátor.

Következő lépések

A vállalati expozíciós diagram lekérdezése.