Condividi tramite

Informazioni su grafici e visualizzazioni in Microsoft Defender

  • Si applica a: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Defender usare grafici interattivi per visualizzare i percorsi di attacco, il raggio di esplosione e le relazioni tra le entità nell'ambiente. Queste visualizzazioni offrono una visualizzazione a volo d'occhio di una possibile minaccia o attacco, consentendo a te e al team delle operazioni di sicurezza (SOC) di analizzarli e cacciarli rapidamente.

I grafici generati nel portale di Defender sono costituiti da nodi e archi. Questo articolo enumera e definisce le icone usate comunemente per il grafico di questi elementi.

Nodi

Un nodo riguarda un'entità nell'ambiente, ad esempio un dispositivo, un account utente o un indirizzo IP, tra gli altri. I grafici del portale di Defender in genere illustrano i nodi come una delle icone circolari seguenti:

Icona Tipo di nodo Esempi di tipi di entità
Icona del nodo generale. Generale Piano di servizio app
Icona del nodo di calcolo. Calcola Dispositivo, macchina virtuale, app per la logica di Microsoft Azure
Icona del nodo di rete. Rete Interfaccia, indirizzo IP pubblico, gruppo di sicurezza di rete
Icona del nodo dati. Dati Archivio dati SQL, area di lavoro Monitoraggio log analytics Azure, account di archiviazione Hub eventi di Azure
Icona del nodo Contenitori. Contenitori Cluster Kubernetes
Icona del nodo Chiavi. Chiavi & segreti Insieme di credenziali delle chiavi
Icona del nodo DevOps. DevOps Azure repository DevOps
Icona del nodo API. API Applicazioni cloud
Icona del nodo identity. Accesso & identità Account utente, entità servizio ID Microsoft Entra
Icona del nodo IoT. Sacco
Icona del nodo del certificato. Certificato
Icona del nodo IP. Indirizzo IP
Icona del nodo Sottoscrizioni. Sottoscrizioni

Selezionando un nodo viene aperto un pannello laterale che fornisce altri dettagli sull'entità scelta, ad esempio nome entità, tipo, data dell'ultimo aggiornamento e origine di individuazione. Questo pannello potrebbe anche visualizzare informazioni aggiuntive, ad esempio percorsi di attacco e raggio di esplosione, a seconda del nodo selezionato e della relativa relazione con altri nodi nel grafico.

Screenshot del pannello laterale nel grafico di ricerca contenente i dettagli del nodo.

Entità e possono anche essere visualizzati come nodi raggruppati, che hanno indicatori numerici (ad esempio, per indicare il numero totale di account utente). Per espandere e visualizzare tutti i nodi in un nodo raggruppato, usare l'interruttore ungroup .

Un nodo potrebbe anche avere uno degli indicatori seguenti:

  • Asset critico: indica che un'entità è classificata come business-critical o preziosa, come identificato nella gestione degli asset critici in Gestione dell'esposizione in Microsoft Security. Questo indicatore viene visualizzato come icona dell'asset critico della corona dorata. I nodi che rappresentano gli asset critici hanno anche un alone dorato che li circonda.

  • Vulnerabilità : indica che è stata rilevata almeno una vulnerabilità nell'entità. Questo indicatore viene visualizzato come icona di vulnerabilità con bug rosso.

  • Esplorare gli asset connessi : indica che il nodo può espandere il grafico di ricerca oltre i risultati iniziali. L'espansione del grafico consente di esplorare altre relazioni che l'entità selezionata ha con le altre. Questo indicatore viene visualizzato come segno più blu Icona Esplora asset connesso.

  • Origine di individuazione : indica l'origine dati dell'entità. Questo indicatore viene visualizzato come icona del prodotto Defender che protegge l'entità in blu (ad esempio, l'icona di Defender per endpoint. per Microsoft Defender per endpoint o l'icona di Defender for Cloud. per Microsoft Defender per cloud).

    Consiglio

    È possibile attivare e disattivare questo indicatore di un grafico attivando l'opzione Origine individuazione nei livelli del grafico.

Bordi

Un bordo indica la relazione o le proprietà di connessione tra due nodi. I grafici del portale di Defender illustrano un bordo come linee o frecce direzionali che potrebbero avere le icone seguenti:

Icona Tipo di bordo
L'icona del bordo è contenuta. Contains
Icona del bordo della route. Instrada il traffico verso
Icona del bordo delle autorizzazioni. Ha l'autorizzazione per /Ha il ruolo su
Icona di autenticazione del bordo. Può eseguire l'autenticazione come/Può eseguire l'autenticazione in
Icona del bordo di push. Spinge
Icona Mantieni bordo. Mantiene
Icona del bordo applicazione. Applicazione
Icona Sposta bordo. Sposta i dati in
Icona del bordo esposto. Esposto a Internet
Icona del bordo di accesso. Può accedere in modo interattivo a/Può accedere alla rete a/Accesso interattivo remoto a
Icona esegui bordo. Viene eseguito in
Icona del bordo di provisioning. Provviste
Identificare l'icona del bordo. Identificato come proprietario di
Icona del bordo del membro. Membro di
Icona del bordo in esecuzione. È in esecuzione
Icona del bordo generico. Generic/Affects
Icona Crea bordo. Creato da /Usato per creare

Se si seleziona un bordo, viene aperto un pannello laterale che fornisce altri dettagli sulle proprietà di connessione. Se due nodi hanno più di una relazione, viene visualizzato un numero sul bordo, al posto di un'icona. Per altre informazioni sulle relazioni di questi nodi, passare il puntatore del mouse sul numero o aprire il pannello laterale.

Screenshot del pannello laterale nel grafico di ricerca contenente i dettagli del bordo.

Vedere anche

  • Last updated on