Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Wykresy niestandardowe umożliwiają tworzenie dostosowanych grafów zabezpieczeń dostosowanych do unikatowych scenariuszy zabezpieczeń przy użyciu danych z Sentinel data lake, a także źródeł innych niż Microsoft. Za pomocą wykresu niestandardowego obsługiwanej przez sieć szkieletową można tworzyć, wykonywać zapytania i wizualizować połączone dane, odkrywać ukryte wzorce i ścieżki ataków oraz pomagać w wykrywaniu zagrożeń, które są trudne do wykrycia, gdy dane są analizowane w izolacji. Te wykresy zapewniają kontekst wiedzy, który umożliwia efektywniejsze działanie środowisk agentów opartych na sztucznej inteligencji, przyspieszanie badań, ujawnianie promienia wybuchu i ułatwia przejście od hałaśliwych, rozłączonych alertów do pewnych decyzji na dużą skalę.
Typowe scenariusze
Te scenariusze przedstawiają przykład możliwości grafów niestandardowych. Można modelować dowolne jednostki, relacje i dane z usługi Sentinel data lake, włączając wykresy dostosowane do określonych przepływów pracy zabezpieczeń i potrzeb śledczych.
| Scenariusz | Kluczowe pytania, na które graf może pomóc |
|---|---|
| Łańcuch wyłudzania wiadomości e-mail ze wzbogaconym kontekstem biznesowym | • Kto otrzymał wiadomość e-mail dotyczącą wyłudzania informacji, kto kliknął linki i które kliknięcia zostały faktycznie dozwolone przez serwer proxy? • Które wiadomości e-mail wskazują ten sam adres URL, ujawniając fale przy użyciu udostępnionej infrastruktury? Postępuj zgodnie z załącznikiem → pobierania → wykonywania procesu → urządzeniu, aby wyświetlić łańcuch od skrzynki odbiorczej do naruszenia zabezpieczeń. |
| System DNS C2 beacon hunter | • Pokaż aktywność urządzenia w domenie, która wykazuje zachowanie sygnalizacyjne (niska wariancja interwału i wysokie pokrycie czasu), oddzielając zautomatyzowany ruch od przeglądania przez człowieka. • Postępuj zgodnie z pełnym łańcuchem dowodów z urządzenia → zapytania DNS → rozpoznanego wskaźnika zagrożenia → ip. |
| Wykrywanie łańcucha ataków behawioralnych | • Pokaż wszystkie adresy IP/użytkowników, którzy dotykają zachowań zamapowanych na 3 lub więcej różnych technik MITRE. • Postępuj zgodnie z pełną ścieżką od wskaźnika zagrożenia przez dopasowany adres IP przez wszystkie skojarzone zachowania do każdego użytkownika, którego dotyczy problem. |
| Eskalacja uprawnień OAuth | • Pokaż jednostki usługi, które przyznały sobie uprawnienia, a następnie utwórz łańcuch tych uprawnień, aby osiągnąć rolę katalogu Zero warstwy. Podpis cyklu samodzielnej eskalacji. |
Tworzenie wykresów niestandardowych w Microsoft Sentinel
Notesy Jupyter w usłudze Microsoft Visual Studio Code umożliwiają interaktywne tworzenie i analizowanie wykresów niestandardowych przy użyciu danych w Microsoft Sentinel data lake. Notesy są udostępniane przez rozszerzenie Microsoft Sentinel Visual Studio Code, które umożliwia interakcję z Microsoft Sentinel data lake przy użyciu języka Python for Spark (PySpark). Aby uzyskać więcej informacji na temat rozszerzenia Microsoft Sentinel Visual Studio Code, zobacz Instalowanie Visual Studio Code i rozszerzenia Microsoft Sentinel.
Możesz tworzyć niestandardowe grafy przy użyciu tworzenia wykresów wspomaganych przez sztuczną inteligencję lub pisząc własny kod przy użyciu odwołania dostawcy grafu Microsoft Sentinel do definiowania modelu grafu (węzłów i krawędzi), przekształcania danych z Sentinel data lake i używania języka Graph Query Language (GQL) do wykonywania zapytań i analizowania wykresów. Aby uzyskać więcej informacji, zobacz Tworzenie wykresów niestandardowych wspomaganych przez sztuczną inteligencję w Microsoft Sentinel, dokumentacja dostawcy Microsoft Sentinel grafów i dokumentacja języka GQL (Graph Query Language) dla Sentinel grafu niestandardowego.
Po utworzeniu kodu grafu w notesie możesz uruchomić notes w sesji interaktywnej lub zaplanować zadanie grafu. Wykresy utworzone podczas sesji notesu interakcyjnego są efemeryczne i są dostępne tylko w kontekście sesji notesu. Aby zmaterializować graf i udostępnić go zespołowi, zaplanuj zadanie grafu, aby często odbudowywać graf. Gdy wykres zostanie zmaterializowany, będzie dostępny z poziomu: środowiska grafu w portalu Microsoft Defender w obszarze Sentinel, notesów Visual Studio Code i interfejsów API zapytań programu Graph.
Poniższa tabela zawiera podsumowanie kroków tworzenia wykresów niestandardowych w Microsoft Sentinel:
| Krok | Opis |
|---|---|
| 1. Tworzenie i badanie grafu w sesji notesu interaktywnego | • Notesy Jupyter w Sentinel zapewniają interaktywne środowisko do eksplorowania i analizowania danych w usłudze Sentinel Lake. — Rozszerzenie Microsoft Sentinel zawiera bibliotekę języka Python konstruktora grafu. • Użyj notesu Jupyter w Sentinel, aby zdefiniować węzły i krawędzie przy użyciu danych usługi Lake i utworzyć wykresy. • Biblioteka konstruktora wykresów umożliwia wykonywanie zapytań dotyczących grafu przy użyciu języka Graph Query Language (GQL) w notesie programu Jupyter. |
| 2. Zaplanuj zadanie grafu, aby zmaterializować graf | • Zmaterializuj wykres w dzierżawie w celu dalszego dostępu i współpracy. • Użyj zadań Sentinel, aby dostosować częstotliwość odświeżania zmaterializowanego grafu przy użyciu danych usługi Lake. • Wykonywanie zapytań i wizualizowanie zmaterializowanych wykresów w środowisku grafów w Microsoft Sentinel. |
| 3. Uruchamianie zaawansowanych algorytmów grafów | • Używaj notesów Jupyter do uzyskiwania dostępu do wbudowanej obsługi analizy ramek GraphFrame i funkcji przechodzenia grafu. • Używaj specjalnie utworzonych algorytmów grafów Sentinel dla typowych przypadków użycia zabezpieczeń. |
Aby uzyskać szczegółowe instrukcje dotyczące tworzenia wykresów niestandardowych w Microsoft Sentinel, zobacz Wykresy niestandardowe w Microsoft Sentinel.
Wizualizowanie wykresów w Microsoft Sentinel
Microsoft Sentinel oferuje wiele opcji wizualizacji wykresów, w tym środowisko grafów Microsoft Sentinel, notesy Jupyter w rozszerzeniu Sentinel Visual Studio Code. Środowisko grafu umożliwia uruchamianie zapytań języka Graph Query Language (GQL), wyświetlanie schematu grafu, wizualizowanie grafu, wyświetlanie wyników grafu w formacie tabelarycznym i interaktywne przechodzenie grafu do następnego przeskoku za pomocą prostego kliknięcia.
Aby uzyskać więcej informacji na temat wizualizacji wykresów w Microsoft Sentinel przy użyciu grafu Sentinel, zobacz Visualize graphs in Microsoft Sentinel graph (preview)(Wizualizowanie grafów w Microsoft Sentinel (wersja zapoznawcza)).