Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Med anpassade grafer kan du skapa skräddarsydda säkerhetsdiagram som är anpassade till dina unika säkerhetsscenarier med hjälp av data från Sentinel datasjö samt källor som inte kommer från Microsoft. Med anpassad graf som drivs av Infrastruktur kan du skapa, köra frågor mot och visualisera anslutna data, upptäcka dolda mönster och attackvägar och hjälpa till att upptäcka risker som är svåra att identifiera när data analyseras isolerat. Dessa grafer ger kunskapskontexten som gör det möjligt för AI-baserade agentupplevelser att fungera mer effektivt, påskynda undersökningar, avslöja explosionsradie och hjälpa dig att gå från bullriga, frånkopplade aviseringar till säkra beslut i stor skala.
Vanliga scenarier
Dessa scenarier representerar ett exempel på vad som är möjligt med anpassade grafer. Du kan modellera entiteter, relationer och data från Sentinel datasjö, vilket möjliggör grafer som är skräddarsydda för dina specifika säkerhetsarbetsflöden och undersökande behov.
| Scenario | Viktiga frågor som grafen kan hjälpa dig att besvara |
|---|---|
| Nätfiske via e-post med berikad affärskontext | • Vem fick nätfiskemeddelandet, vem klickade på länkarna och vilka klick tilläts faktiskt av proxyn? • Vilka e-postmeddelanden pekar på samma URL, avslöjar vågor med hjälp av delad infrastruktur? Följ den bifogade filen → ladda ned → processkörning → enheten för att visa kedjan från inkorgen för att kompromettera. |
| DNS C2 beacon hunter | • Visa aktivitet från enhet till domän som uppvisar beaconing-beteende (låg intervallvarians och hög tidstäckning), vilket skiljer automatiserad trafik från mänsklig surfning. • Följ den fullständiga beviskedjan från enhetens → DNS-fråga → matchad IP-→ hotindikator. |
| Identifiering av beteendeattackkedja | • Visa alla IP-adresser/användare som rör beteenden som är mappade till 3 eller fler olika MITRE-tekniker. • Följ den fullständiga sökvägen från en hotindikator via den matchade IP-adressen via alla associerade beteenden till varje berörd användare. |
| Eskalering av OAuth-behörighet | • Visa tjänstens huvudnamn som har beviljat behörigheter till sig själva och sedan länkat dessa behörigheter för att nå en katalogroll på nivå noll. Signatur för själveskaleringscykel. |
Skapa anpassade grafer i Microsoft Sentinel
Använd Jupyter Notebooks i Microsoft Visual Studio Code för att interaktivt skapa och analysera anpassade grafer med dina data i Microsoft Sentinel datasjö. Notebook-filerna tillhandahålls av Microsoft Sentinel Visual Studio Code-tillägget som gör att du kan interagera med Microsoft Sentinel datasjö med python för Spark (PySpark). Mer information om Microsoft Sentinel Visual Studio Code-tillägget finns i Installera Visual Studio Code och Microsoft Sentinel-tillägget.
Du kan skapa anpassade grafer med hjälp av ai-assisterad grafredigering eller genom att skriva din egen kod med hjälp av Microsoft Sentinel grafproviderreferens för att definiera grafmodellen (noder och kanter), transformera dina data från Sentinel datasjö och använda Graph Query Language (GQL) för att fråga och analysera dina grafer. Mer information finns i AI-assisterad anpassad grafredigering i Microsoft Sentinel, Microsoft Sentinel-grafproviderreferens och Graph Query Language-referens (GQL) för Sentinel anpassad graf.
När du har skapat grafkoden i notebook-filen kan du köra anteckningsboken i en interaktiv session eller schemalägga ett diagramjobb. Diagram som skapas under den interaktiva notebook-sessionen är tillfälliga och är endast tillgängliga i kontexten för notebook-sessionen. Om du vill materialisera grafen och dela med ditt team schemalägger du ett grafjobb för att återskapa grafen ofta. När grafen har materialiserats är den tillgänglig från: grafupplevelsen i Microsoft Defender-portalen under Sentinel, Visual Studio Code Notebooks och Graph-fråge-API:er.
I följande tabell sammanfattas stegen för att skapa anpassade grafer i Microsoft Sentinel:
| Steg | Beskrivning |
|---|---|
| 1. Skapa och undersöka ett diagram i en interaktiv notebook-session | • Jupyter Notebooks i Sentinel tillhandahålla en interaktiv miljö för att utforska och analysera data i Sentinel Lake. – Tillägget Microsoft Sentinel innehåller ett Python-bibliotek för graph builder. • Använd Jupyter Notebook i Sentinel för att definiera noder och kanter med Lake-data och skapa grafer. • Med graph builder-biblioteket kan du köra frågor mot en graf med hjälp av Graph Query Language (GQL) i Jupyter Graph Notebook. |
| 2. Schemalägg ett diagramjobb för att materialisera grafen | • Materialisera grafen i din klientorganisation för fortsatt åtkomst och samarbete. • Använd Sentinel jobb för att skräddarsy hur ofta du vill uppdatera en materialiserad graf med Lake-data. • Fråga och visualisera materialiserade grafer i grafupplevelsen i Microsoft Sentinel. |
| 3. Kör avancerade grafalgoritmer | • Använd Jupyter Notebooks för att få åtkomst till inbyggt stöd för GraphFrames-analys och diagrambläddringsfunktioner. • Använd specialbyggda Sentinel grafalgoritmer för vanliga säkerhetsfall. |
Detaljerade anvisningar om hur du skapar anpassade grafer i Microsoft Sentinel finns i Anpassade grafer i Microsoft Sentinel.
Visualisera grafer i Microsoft Sentinel
Microsoft Sentinel innehåller flera alternativ för visualisering av grafer, inklusive diagramupplevelsen Microsoft Sentinel, Jupyter Notebooks i Sentinel Visual Studio Code-tillägget. Med grafupplevelsen kan du köra GQL-frågor (Graph Query Language), visa grafschemat, visualisera grafen, visa diagramresultat i tabellformat och interaktivt bläddra i diagrammet till nästa hopp med ett enkelt klick.
Mer information om hur du visualiserar grafer i Microsoft Sentinel med hjälp av Sentinel graf finns i Visualisera grafer i Microsoft Sentinel diagram (förhandsversion).