Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
I grafici personalizzati consentono di creare grafici di sicurezza personalizzati ottimizzati per gli scenari di sicurezza univoci usando dati provenienti da Sentinel data lake e da origini non Microsoft. Con un grafico personalizzato, basato su Fabric, è possibile compilare, eseguire query e visualizzare i dati connessi, individuare modelli nascosti e percorsi di attacco e contribuire a individuare i rischi difficili da rilevare quando i dati vengono analizzati in isolamento. Questi grafici forniscono il contesto di conoscenza che consente alle esperienze degli agenti basate sull'intelligenza artificiale di funzionare in modo più efficace, velocizzando le indagini, rivelando il raggio di esplosione e consentendo di passare da avvisi rumorosi e disconnessi a decisioni sicure su larga scala.
Scenari comuni
Questi scenari rappresentano un esempio di ciò che è possibile con i grafici personalizzati. È possibile modellare entità, relazioni e dati del data lake Sentinel, abilitando grafici personalizzati in base ai flussi di lavoro di sicurezza specifici e alle esigenze investigative.
| Scenario | Domande chiave a cui graph può rispondere |
|---|---|
| Catena di uccisioni di posta elettronica di phishing con contesto aziendale arricchito | • Chi ha ricevuto l'e-mail di phishing, chi ha fatto clic sui collegamenti e quali clic sono stati effettivamente consentiti dal proxy? • Quali messaggi di posta elettronica puntano allo stesso URL, rivelando onde usando l'infrastruttura condivisa? Seguire l'allegato → scaricare →'esecuzione del processo → dispositivo per visualizzare la catena dalla posta in arrivo alla compromissione. |
| Cacciatore di beacon DNS C2 | • Mostra l'attività da dispositivo a dominio che presenta un comportamento di beaconing (varianza a intervalli bassi e copertura temporale elevata), separando il traffico automatizzato dall'esplorazione umana. • Seguire la catena di prove completa dal dispositivo → query DNS → l'indicatore di minaccia → IP risolto. |
| Rilevamento della catena di attacchi comportamentali | • Mostra tutti gli INDIRIZZI IP/utenti per cui i comportamenti di tocco sono mappati a 3 o più tecniche MITRE diverse. • Seguire il percorso completo da un indicatore di minaccia attraverso l'IP corrispondente attraverso tutti i comportamenti associati a ogni utente interessato. |
| Escalation dei privilegi OAuth | • Mostra le entità servizio che hanno concesso le autorizzazioni a se stesse, quindi ha concatenato tali autorizzazioni per raggiungere un ruolo di directory di livello Zero. Firma del ciclo di escalation automatica. |
Compilazione di grafici personalizzati in Microsoft Sentinel
Usare i notebook di Jupyter in Microsoft Visual Studio Code per creare e analizzare in modo interattivo grafici personalizzati con i dati nel data lake Microsoft Sentinel. I notebook sono forniti dall'estensione Microsoft Sentinel Visual Studio Code che consente di interagire con il data lake Microsoft Sentinel usando Python per Spark (PySpark). Per altre informazioni sull'estensione Microsoft Sentinel Visual Studio Code, vedere Installare Visual Studio Code e l'estensione Microsoft Sentinel.
È possibile creare grafici personalizzati usando la creazione di grafi assistita dall'intelligenza artificiale o scrivendo codice personalizzato usando il riferimento al provider di grafi Microsoft Sentinel per definire il modello di grafo (nodi e archi), trasformare i dati dal data lake Sentinel e usare Graph Query Language (GQL) per eseguire query e analizzare i grafici. Per altre informazioni, vedere Creazione di grafi personalizzati assistiti dall'intelligenza artificiale in Microsoft Sentinel, Microsoft Sentinel riferimento al provider di grafi e informazioni di riferimento sul linguaggio GQL (Graph Query Language) per Sentinel grafico personalizzato.
Dopo aver creato il codice del grafo nel notebook, è possibile eseguire il notebook in una sessione interattiva o pianificare un processo grafico. I grafici creati durante la sessione interattiva del notebook sono temporanei e sono disponibili solo nel contesto della sessione del notebook. Per materializzare il grafico e condividerlo con il team, pianificare un processo di grafo per ricompilare frequentemente il grafico. Una volta materializzato, il grafo è accessibile da: l'esperienza del grafo nel portale di Microsoft Defender in Sentinel, Notebook di Visual Studio Code e API di query Graph.
Nella tabella seguente vengono riepilogati i passaggi per compilare grafici personalizzati in Microsoft Sentinel:
| Passaggio | Descrizione |
|---|---|
| 1. Creare e analizzare un grafico nella sessione interattiva del notebook | • I notebook di Jupyter in Sentinel offrono un ambiente interattivo per esplorare e analizzare i dati in Sentinel Lake. - L'estensione Microsoft Sentinel include una libreria Python per il generatore di grafici. • Usare il notebook di Jupyter in Sentinel per definire nodi e archi con i dati Lake e creare grafici. • La libreria del generatore di grafi consente di eseguire query su un grafico usando Graph Query Language (GQL) nel notebook di Jupyter Graph. |
| 2. Pianificare un processo grafico per materializzare il grafico | • Materializzare il grafico nel tenant per l'accesso e la collaborazione continui. • Usare Sentinel processi per personalizzare la frequenza con cui si vuole aggiornare un grafico materializzato con i dati Lake. • Eseguire query e visualizzare grafici materializzati nell'esperienza del grafo in Microsoft Sentinel. |
| 3. Eseguire algoritmi grafi avanzati | • Usare i notebook di Jupyter per accedere al supporto predefinito per l'analisi di GraphFrames e le funzioni di attraversamento del grafo. • Usare algoritmi a grafo Sentinel appositamente creati per casi d'uso comuni per la sicurezza. |
Per istruzioni dettagliate su come creare grafici personalizzati in Microsoft Sentinel, vedere Grafici personalizzati in Microsoft Sentinel.
Visualizzazione di grafici in Microsoft Sentinel
Microsoft Sentinel offre più opzioni per la visualizzazione dei grafici, tra cui l'esperienza dei grafici Microsoft Sentinel, i notebook di Jupyter nell'estensione Sentinel Visual Studio Code. L'esperienza del grafico consente di eseguire query GQL (Graph Query Language), visualizzare lo schema del grafo, visualizzare il grafico, visualizzare i risultati del grafico in formato tabulare e attraversare il grafico in modo interattivo fino all'hop successivo con un semplice clic.
Per altre informazioni sulla visualizzazione di grafi in Microsoft Sentinel usando Sentinel grafico, vedere Visualizzare i grafici in Microsoft Sentinel grafico (anteprima).