Condividi tramite

Panoramica di schemi e operatori

  • Articolo

Gli schemi del grafico di esposizione aziendale in Gestione dell'esposizione in Microsoft Security forniscono informazioni sulla superficie di attacco per comprendere in che modo le potenziali minacce potrebbero raggiungere e compromettere asset preziosi. Questo articolo riepiloga le tabelle e gli operatori dello schema del grafico di esposizione.

Tabelle dello schema

Il grafico di esposizione si basa sulle tabelle seguenti:

  • ExposureGraphNodes
  • ExposureGraphEdges

ExposureGraphNodes

ExposureGraphNodes contiene le entità aziendali e le relative proprietà. Queste includono entità come dispositivi, identità, gruppi di utenti e asset cloud, ad esempio macchine virtuali, archiviazione e contenitori. Ogni nodo corrisponde a una singola entità e incapsula informazioni sulle relative caratteristiche, attributi e informazioni dettagliate correlate alla sicurezza all'interno della struttura organizzativa.

Di seguito sono riportati i nomi, i tipi e le descrizioni delle colonne ExposureGraphNodes :

  • NodeId (string) - Identificatore univoco del nodo. Esempio: "650d6aa0-10a5-587e-52f4-280bfc014a08"
  • NodeLabel (string)- Etichetta del nodo. Esempi: "microsoft.compute/virtualmachines", "elasticloadbalancing.loadbalancer"
  • NodeName (string)- Nome visualizzato del nodo. Esempio: "nlb-test" (nome del servizio di bilanciamento del carico di rete)
  • Categories (Dynamic (json)) - Categorie del nodo. Esempio:
[
  "compute",
  "virtual_machine"
]
  • NodeProperties (Dynamic (json)) - Proprietà del nodo, incluse informazioni dettagliate correlate alla risorsa, ad esempio se la risorsa è esposta a Internet o vulnerabile all'esecuzione di codice remoto. I valori sono in formato dati non elaborati (non strutturati). Esempio:
{   
"rawData": {
"osType": "linux",   
"exposed to the internet": 
{     
"routes": [ { … } ]   
}
} 
}
  • EntityIds (Dynamic (json)): tutti gli identificatori di nodo noti. Esempio:
{ 
"AzureResourceId": "A1",  
"MdeMachineId": "M1", 
}

ExposureGraphEdges

Lo schema ExposureGraphEdges , insieme allo schema ExposureGraphNodes complementare, offre visibilità sulle relazioni tra entità e asset nel grafico. Molti scenari di ricerca richiedono l'esplorazione delle relazioni tra entità e dei percorsi di attacco. Ad esempio, durante la ricerca di dispositivi esposti a una vulnerabilità critica specifica, conoscere la relazione tra entità può individuare asset aziendali critici.

Di seguito sono riportati i nomi, le etichette e le descrizioni delle colonne ExposureGraphEdges :

  • EdgeId (string) - Identificatore univoco per la relazione/bordo.
  • EdgeLabel (string) - Etichetta perimetrale. Esempi: "affecting", "instrada il traffico verso", "è in esecuzione" e "contains". È possibile visualizzare un elenco di etichette perimetrali eseguendo una query sul grafico. Per altre informazioni, vedere Elencare tutte le etichette perimetrali nel tenant.
  • SourceNodeId (string) - ID nodo dell'origine del bordo. Esempio: "12346aa0-10a5-587e-52f4-280bfc014a08"
  • SourceNodeName (string) - Nome visualizzato del nodo di origine. Esempio: "mdvmaas-win-123"
  • SourceNodeLabel (string) - Etichetta del nodo di origine. Esempio: "microsoft.compute/virtualmachines"
  • SourceNodeCategories (Dynamic (json)) - Elenco delle categorie del nodo di origine.
  • TargetNodeId (string) - ID nodo della destinazione del bordo. Esempio: "45676aa0-10a5-587e-52f4-280bfc014a08"
  • TargetNodeName (string) - Nome visualizzato del nodo di destinazione. Esempio: gke-test-cluster-1
  • TargetNodeLabel (string) - Etichetta del nodo di destinazione. Esempio: "compute.instances"
  • TargetNodeCategories (Dynamic (json)) - Elenco delle categorie del nodo di destinazione.
  • EdgeProperties (Dynamic (json)) - Dati facoltativi rilevanti per la relazione tra i nodi. Esempio: per "instrada il EdgeLabel traffico verso" con EdgeProperties , fornire informazioni sugli intervalli di networkReachabilityporte e di protocollo usati per trasferire il traffico dal punto A al punto B.
{   
 "rawData": {
  "networkReachability": {
    "type": "NetworkReachability",
    "routeRules": [
      {
        "portRanges": [
          "8083"
        ],
        "protocolRanges": [
          "6"
        ]
      },
      {
        "portRanges": [
          "80"
        ],
        "protocolRanges": [
          "6"
        ]
      },
      {
        "portRanges": [
          "443"
        ],
        "protocolRanges": [
          "6"
        ]
      }
    ]
  }
}
}

Operatori Linguaggio di query Kusto graph (KQL)

Gestione dell'esposizione in Microsoft Security si basa su tabelle di grafi di esposizione e operatori di grafi di esposizione univoci per abilitare le operazioni sulle strutture dei grafi. Il grafico viene compilato da dati tabulari usando l'operatore make-graph e quindi sottoposto a query usando gli operatori del grafo.

Operatore make-graph

Compila make-graph operator una struttura a grafo da input tabulari di archi e nodi. Per altre informazioni sull'uso e sulla sintassi, vedere Operatore make-graph.

Operatore graph-match

L'operatore graph-match cerca tutte le occorrenze di un modello di grafico in un'origine del grafo di input. Per altre informazioni, vedere Operatore graph-match.

Passaggi successivi

Eseguire query sul grafico dell'esposizione aziendale.