Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Med grafupplevelsen i Microsoft Defender-portalen kan du utföra interaktiva grafbaserade undersökningar på dina anpassade grafer, till exempel genom att använda ett diagram som skapats för nätfiskeanalys som hjälper dig att snabbt utvärdera effekten av en incident nyligen, profilera angriparen och spåra dess sökvägar i Microsofts telemetri och data från tredje part. Med den här upplevelsen kan du köra graffrågor för att visualisera de insikter som är viktigast för din organisation och stöder ad hoc-bläddering av grafen så att du snabbt kan undersöka entiteter av intresse. Du kan studera grafschemat för att förstå de relationer som definierats i diagrammet och använda någon av de metadata som visas för att begränsa dina resultat. Du kan snabbt verifiera dina resultat med tabellvyn och exportera dem för enkel integrering i befintliga arbetsflöden. Använd Jupyter Notebooks i Microsoft Visual Studio Code för att skapa och materialisera dina anpassade grafer och använd sedan grafupplevelsen i Microsoft Sentinel för att fråga efter och visualisera dina anpassade grafer.
Den här artikeln beskriver hur du använder Sentinel-grafen för att fråga, visualisera och interagera med grafer för att få nya insikter.
Förutsättningar
- Det finns ett egentillverkat diagram i din klientorganisation.
- För att få åtkomst till grafupplevelsen i Microsoft Sentinel och köra frågor mot den för att skapa visualiseringar måste du ha rätt behörigheter. Mer information finns i Kom igång med anpassade grafer i Microsoft Sentinel.
Åtkomstdiagram
Om du vill komma åt grafupplevelsen i Microsoft Sentinel loggar du in på Microsoft Defender-portalen och väljer Microsoft Sentinel>Graphs i navigeringsfönstret.
På sidan Sentinel Graph-hantering visas alla anpassade grafer som du har skapat med hjälp av Visual Studio Code Sentinel-tillägget. Om du inte har skapat ett anpassat diagram kan du skapa en anpassad graf för att komma igång.
Om du redan har skapat anpassade grafer visas alla tillgängliga anpassade grafer på sidan för Sentinel-grafhantering. Visa en översikt över varje anpassad graf genom att välja menyn ... på valfri grafpanel.
Fråga efter ett anpassat diagram
Välj Frågediagram på grafpanelen för att visa diagramfrågesidan.
Du kan visa schemat för att förstå grafens ontologi – noder, kanter och deras egenskaper som är tillgängliga för frågor.
Välj fliken Komma igång
En lista över föreslagna frågor visas. Välj Redigera fråga för visualisera en graffråga för att kopiera frågan till frågeredigeraren.
Den här frågan matchar alla one-hop-anslutningar i diagrammet, hitta en källnod, en riktad relation och en målnod. Den returnerar de fullständiga noderna och relationen för upp till 100 sådana matchningar, vilket gör det användbart för att snabbt utforska den råa grafstrukturen.
MATCH (x)-[y]->(z) RETURN * LIMIT 100Mer information om hur du använder GQL finns i GQL-referens (Graph Query Language).
Välj Kör GQL-fråga för att visa dina resultat. När det är klart visas grafvisualiseringen.
Välj valfri nod för att visa nodinformationen, inklusive de egenskaper som är associerade med noden. Använd den här informationen för att informera efterföljande frågor och visualiseringar.
Välj fliken Tabell för att visa en tabellrepresentation av dina resultat. Markera en rad för att se underliggande JSON-data för varje cell.
Interagera med grafer
Använd följande funktioner för att gå igenom och utforska dina grafer:
Nodfärger
Noder färgkodas efter typ, vilket gör det enkelt att visualisera de olika entitetstyperna i diagrammet.
Diagramförklaring
Diagramförklaringen visar alla nodtyper i diagrammet med motsvarande färger och antal. Den innehåller också en lista över alla kanttyper, så att du kan förstå hur noder ansluter till varandra.
Nodetiketter
När du zoomar in i diagrammet visas fler nodetiketter. De första etiketterna som visas är de mest anslutna noderna som representeras av större cirklar. När du fortsätter att zooma visas fler nodetiketter i fallande anslutningsordning.
Visa nodinformation
Välj en nod för att öppna ett informationsfönster till höger. Använd metadata som visas här för att förfina framtida frågor, till exempel genom att filtrera efter geografisk region, avdelning eller senast uppdaterat datum.
Utforska anslutna tillgångar
I fönstret med nodinformation eller genom att högerklicka på noden kan du välja Utforska anslutna tillgångar för att bläddra i diagrammet och visa nästa hopp från den här noden.
Hovra över noder
Hovra över en nod för att markera dess anslutningar. Detta döljer orelaterade noder och kanter för en tydligare vy över nodens anslutning och visar information om nyckelnoder, inklusive anslutna nodetiketter.
Filtrera ett diagram
Du kan använda filtren längst upp till höger på grafarbetsytan för att begränsa de visualiserade resultaten efter nodtyp eller gränsrelation.
Arbetsytekontroll – ordna om och zooma
- Dra noder för att flytta dem på arbetsytan
- Använd knappen senaste längst ned till höger för att återställa vyn
- Zooma in eller ut med hjälp av markören eller zoomkontrollerna längst ned till höger
Tabellvy
Du kan visa en tabellrepresentation av dina data genom att välja fliken Tabell . Från tabellen kan du:
- Kontrollera att GQL-frågan gav önskat resultat.
- Sök efter och sortera tabellen för att snabbt hitta entiteter av intresse.
- Visa den underliggande JSON för en enskild cell, vilket ger nyckelkontext som du kan använda i framtida frågor.
- Exportera till CSV-format för användning i andra befintliga arbetsflöden.
Du kan också anpassa tabellformatet med hjälp av operatorn RETURN för att definiera kolumnstrukturen eller beställa resultat efter dina önskemål. Mer information finns i GQL-dokumentationen.