Condividi tramite

Panoramica di schemi e operatori

  • Articolo

Gli schemi a grafo di esposizione aziendale in Microsoft Security Exposure Management forniscono informazioni sulla superficie di attacco, per comprendere in che modo le potenziali minacce potrebbero raggiungere e compromettere asset preziosi. Questo articolo riepiloga le tabelle e gli operatori dello schema del grafico di esposizione.

Security Exposure Management è attualmente disponibile in anteprima pubblica.

Importante

Alcune informazioni in questo articolo fanno riferimento alle caratteristiche di un prodotto prima del rilascio, che possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.

Tabelle dello schema

Il grafico di esposizione si basa sulle tabelle seguenti:

  • ExposureGraphNodes
  • ExposureGraphEdges

ExposureGraphNodes

ExposureGraphNodes contiene le entità aziendali e le relative proprietà. Queste includono entità come dispositivi, identità, gruppi di utenti e asset cloud, ad esempio macchine virtuali, archiviazione e contenitori. Ogni nodo corrisponde a una singola entità e incapsula informazioni sulle relative caratteristiche, attributi e informazioni dettagliate correlate alla sicurezza all'interno della struttura organizzativa.

Di seguito sono riportati i nomi, i tipi e le descrizioni delle colonne ExposureGraphNodes :

  • NodeId (string) - Identificatore univoco del nodo. Esempio: "650d6aa0-10a5-587e-52f4-280bfc014a08"
  • NodeLabel (string)- Etichetta del nodo. Esempi: "microsoft.compute/virtualmachines", "elasticloadbalancing.loadbalancer"
  • NodeName (string)- Nome visualizzato del nodo. Esempio: "nlb-test" (nome del servizio di bilanciamento del carico di rete)
  • Categories (Dynamic (json)) - Categorie del nodo. Esempio:
[
  "compute",
  "virtual_machine"
]
  • NodeProperties (Dynamic (json)) - Proprietà del nodo, incluse informazioni dettagliate correlate alla risorsa, ad esempio se la risorsa è esposta a Internet o vulnerabile all'esecuzione di codice remoto. I valori sono in formato dati non elaborati (non strutturati). Esempio:
{   
"rawData": {
"osType": "linux",   
"exposed to the internet": 
{     
"routes": [ { … } ]   
}
} 
}
  • EntityIds (Dynamic (json)): tutti gli identificatori di nodo noti. Esempio:
{ 
"AzureResourceId": "A1",  
"MdeMachineId": "M1", 
}

ExposureGraphEdges

Lo schema ExposureGraphEdges , insieme allo schema ExposureGraphNodes complementare, offre visibilità sulle relazioni tra entità e asset nel grafico. Molti scenari di ricerca richiedono l'esplorazione delle relazioni tra entità e dei percorsi di attacco. Ad esempio, durante la ricerca di dispositivi esposti a una vulnerabilità critica specifica, conoscere la relazione tra entità può individuare asset aziendali critici.

Di seguito sono riportati i nomi, le etichette e le descrizioni delle colonne ExposureGraphEdges :

  • EdgeId (string) - Identificatore univoco per la relazione/bordo.
  • EdgeLabel (string) - Etichetta perimetrale. Esempi: "affecting", "instrada il traffico verso", "è in esecuzione" e "contains". È possibile visualizzare un elenco di etichette perimetrali eseguendo una query sul grafico. Per altre informazioni, vedere Elencare tutte le etichette perimetrali nel tenant.
  • SourceNodeId (string) - ID nodo dell'origine del bordo. Esempio: "12346aa0-10a5-587e-52f4-280bfc014a08"
  • SourceNodeName (string) - Nome visualizzato del nodo di origine. Esempio: "mdvmaas-win-123"
  • SourceNodeLabel (string) - Etichetta del nodo di origine. Esempio: "microsoft.compute/virtualmachines"
  • SourceNodeCategories (Dynamic (json)) - Elenco delle categorie del nodo di origine.
  • TargetNodeId (string) - ID nodo della destinazione del bordo. Esempio: "45676aa0-10a5-587e-52f4-280bfc014a08"
  • TargetNodeName (string) - Nome visualizzato del nodo di destinazione. Esempio: gke-test-cluster-1
  • TargetNodeLabel (string) - Etichetta del nodo di destinazione. Esempio: "compute.instances"
  • TargetNodeCategories (Dynamic (json)) - Elenco delle categorie del nodo di destinazione.
  • EdgeProperties (Dynamic (json)) - Dati facoltativi rilevanti per la relazione tra i nodi. Esempio: per "instrada il EdgeLabel traffico verso" con EdgeProperties , fornire informazioni sugli intervalli di networkReachabilityporte e di protocollo usati per trasferire il traffico dal punto A al punto B.
{   
 "rawData": {
  "networkReachability": {
    "type": "NetworkReachability",
    "routeRules": [
      {
        "portRanges": [
          "8083"
        ],
        "protocolRanges": [
          "6"
        ]
      },
      {
        "portRanges": [
          "80"
        ],
        "protocolRanges": [
          "6"
        ]
      },
      {
        "portRanges": [
          "443"
        ],
        "protocolRanges": [
          "6"
        ]
      }
    ]
  }
}
}

Operatori Linguaggio di query Kusto graph (KQL)

Microsoft Security Exposure Management si basa su tabelle di grafi di esposizione e operatori di grafi di esposizione univoci per abilitare le operazioni sulle strutture dei grafi. Il grafico viene compilato da dati tabulari usando l'operatore make-graph e quindi sottoposto a query usando gli operatori del grafo.

Operatore make-graph

Compila make-graph operator una struttura a grafo da input tabulari di archi e nodi. Per altre informazioni sull'uso e sulla sintassi, vedere Operatore make-graph.

Operatore graph-match

L'operatore graph-match cerca tutte le occorrenze di un modello di grafico in un'origine del grafo di input. Per altre informazioni, vedere Operatore graph-match.

Passaggi successivi

Eseguire query sul grafico dell'esposizione aziendale.