Delen via

Grafieken visualiseren in Microsoft Sentinel (preview)

Met de ervaring met grafieken in de Microsoft Defender-portal kunt u interactieve op grafen gebaseerde onderzoeken uitvoeren op uw aangepaste grafieken, zoals het gebruik van een grafiek die is gebouwd voor phishing-analyse, zodat u snel de impact van een recent incident kunt evalueren, de aanvaller kunt profileren en de paden kunt traceren tussen Microsoft-telemetriegegevens en gegevens van derden. Met deze ervaring kunt u grafiekquery's uitvoeren om de inzichten te visualiseren die het belangrijkst zijn voor uw organisatie en ondersteuning biedt voor ad-hoc doorkruising van de grafiek, zodat u snel entiteiten van belang kunt onderzoeken. U kunt het grafiekschema bestuderen om inzicht te hebben in de relaties die in uw grafiek zijn gedefinieerd en om alle weergegeven metagegevens te gebruiken om uw resultaten te verfijnen. U kunt uw resultaten snel valideren met de tabelweergave en deze exporteren voor eenvoudige integratie in bestaande werkstromen. Gebruik Jupyter Notebooks in Microsoft Visual Studio Code om uw aangepaste grafieken te maken en te materialiseren. Gebruik vervolgens de grafiekervaring in Microsoft Sentinel om uw aangepaste grafieken op te vragen en te visualiseren.

In dit artikel wordt uitgelegd hoe u Sentinel-grafieken gebruikt om grafieken op te vragen, visualiseren en ermee te werken om nieuwe inzichten te verkrijgen.

Vereiste voorwaarden

  • Er bestaat een aangepaste grafiek in uw tenant.
  • Als u toegang wilt krijgen tot de grafiekervaring in Microsoft Sentinel en er query's op wilt uitvoeren om visualisaties te produceren, moet u over de juiste machtigingen beschikken. Zie Aan de slag met aangepaste grafieken in Microsoft Sentinel voor meer informatie.

Toegangsgrafieken

Als u toegang wilt krijgen tot de grafiekervaring in Microsoft Sentinel, meldt u zich aan bij de Microsoft Defender-portal en selecteert u Microsoft Sentinel>Graphs in het navigatiedeelvenster.

De sentinel Graph-beheerpagina bevat aangepaste grafieken die u hebt gemaakt met behulp van de Visual Studio Code Sentinel-extensie. Als u nog geen aangepaste grafiek hebt gemaakt, maakt u een aangepaste grafiek om aan de slag te gaan.

Als u al aangepaste grafieken hebt gemaakt, worden op de pagina Grafiekbeheer van Sentinel alle beschikbare aangepaste grafieken weergegeven. Bekijk een overzicht van elke aangepaste grafiek door het menu ... te selecteren op een grafiektegel.

Schermopname van het openen van Sentinel-grafiek vanuit het navigatiedeelvenster van Microsoft Sentinel.

Een aangepaste grafiek opvragen

Selecteer Querygrafiek op de grafiektegel om de pagina grafiekquery te bekijken.

U kunt het schema weergeven om inzicht te hebben in de ontologie van grafieken: knooppunten, randen en de bijbehorende eigenschappen die beschikbaar zijn om query's uit te voeren.

Schermopname van de pagina voor het maken van sentinel-grafieken met het schemavenster en de queryinvoer.

  1. Het tabblad Aan de slag selecteren

  2. Er wordt een lijst met voorgestelde query's weergegeven. Selecteer Query bewerken voor de Visualiseer elke grafiek query om de query naar het queryeditor-vak te kopiëren.

    Deze query komt overeen met een enkele hopverbinding in de grafiek, het vinden van een bronknooppunt, een gerichte relatie en een doelknooppunt. Het retourneert de volledige knooppunten en relaties voor maximaal 100 dergelijke overeenkomsten, waardoor het handig is voor het snel verkennen van de onbewerkte grafiekstructuur.

    MATCH (x)-[y]->(z)
RETURN *
LIMIT 100

    Zie de naslaginformatie over Graph Query Language (GQL) voor meer informatie over het gebruik van GQL.

  3. Selecteer GQL-query uitvoeren om uw resultaten weer te geven. Zodra de grafiek is voltooid, wordt de grafiekvisualisatie weergegeven.

  4. Selecteer een knooppunt om de details van het knooppunt weer te geven, inclusief de eigenschappen die aan dat knooppunt zijn gekoppeld. Gebruik deze informatie om volgende query's en visualisaties te informeren.

    Schermopname van de resultaten van de visualisatie van de Sentinel-grafiek na het uitvoeren van een GQL-query.

  5. Selecteer het tabblad Tabel om een tabelweergave van uw resultaten weer te geven. Selecteer een rij om de onderliggende JSON-gegevens voor elke cel weer te geven.

    Schermopname van de resultaten van de tabelvisualisatie na het uitvoeren van een GQL-query.

Interactie met grafieken

Gebruik de volgende mogelijkheden om uw grafieken te doorlopen en te verkennen:

Knooppuntkleuren
Knooppunten worden met een kleur gecodeerd op type, zodat u eenvoudig de verschillende entiteitstypen in uw grafiek kunt visualiseren.

Grafieklegenda
De grafieklegenda toont alle knooppunttypen in uw grafiek met de bijbehorende kleuren en aantallen. Ook worden alle edge-typen weergegeven, zodat u kunt begrijpen hoe knooppunten verbinding met elkaar maken.

Knooppuntlabels
Terwijl u inzoomt op de grafiek, worden er meer knooppuntlabels weergegeven. De eerste labels die worden weergegeven, zijn de sterkst verbonden knooppunten die worden vertegenwoordigd door grotere cirkels. Terwijl u blijft inzoomen, worden er meer knooppuntlabels weergegeven in aflopende volgorde van connectiviteit.

Details van knooppunt weergeven
Selecteer een knooppunt om een detailvenster aan de rechterkant te openen. Gebruik de metagegevens die hier worden weergegeven om toekomstige query's te verfijnen, bijvoorbeeld door te filteren op geografische regio, afdeling of laatst bijgewerkte datum.

Verbonden middelen verkennen
In het detailvenster van het knooppunt of door met de rechtermuisknop op het knooppunt te klikken, kunt u kiezen voor Verken verbonden assets om door de grafiek te navigeren en de volgende hop vanaf dit knooppunt weer te geven.

Schermopname van de grafieklegenda met knooppunt- en randtypen.

Beweeg de muisaanwijzer over knooppunten
Beweeg de muisaanwijzer over een knooppunt om de bijbehorende verbindingen te markeren. Dit verbergt niet-gerelateerde knooppunten en randen voor een duidelijkere weergave van de connectiviteit van het knooppunt en geeft belangrijke knooppuntinformatie weer, inclusief verbonden knooppuntlabels.

Een grafiek filteren

U kunt de filters in de rechterbovenhoek van het grafiekcanvas gebruiken om de gevisualiseerde resultaten te verfijnen op knooppunttype of randrelatie.

Schermopname van de grafiekfilters voor knooppunt- en edge-typen.

Besturingselement voor canvas- en zoombewerkingen opnieuw rangschikt en in- en uitzoomen

  • Knooppunten slepen om ze op het canvas te verplaatsen
  • Gebruik de knop Recenter in de rechterbenedenhoek om de weergave opnieuw in te stellen
  • In- of uitzoomen met de cursor of de zoombesturingselementen in de rechterbenedenhoek

Tabelweergave

U kunt een tabelweergave van uw gegevens bekijken door het tabblad Tabel te selecteren. In de tabel kunt u het volgende doen:

  • Controleer of uw GQL-query de gewenste resultaten heeft geproduceerd.
  • Zoek en sorteer de tabel om snel entiteiten te vinden die interessant zijn.
  • Bekijk de onderliggende JSON voor een afzonderlijke cel en geef belangrijke context op die u in toekomstige query's kunt gebruiken.
  • Exporteren naar CSV-indeling voor gebruik in andere bestaande werkstromen.

Schermopname van de tabelweergave met mogelijkheden voor zoeken, sorteren en exporteren.

U kunt de tabelindeling ook aanpassen met behulp van de RETURN operator om de kolomstructuur te definiëren of resultaten te ordenen naar uw voorkeur. Zie de GQL-documentatie voor meer informatie.

Verwante inhoud

  • Last updated on