Aracılığıyla paylaş

Şemalara ve işleçlere genel bakış

Microsoft Güvenlik Korunma Düzeyi Yönetimi'deki kurumsal açığa çıkarma grafiği şemaları, olası tehditlerin nasıl ulaşabileceğini ve değerli varlıkları tehlikeye atabileceğini anlamanıza yardımcı olmak için saldırı yüzeyi bilgileri sağlar. Bu makalede, açığa çıkarma grafiği şema tabloları ve işleçleri özetlenmiştir.

Şema tabloları

Pozlama grafiği aşağıdaki tablolara dayanır:

  • ExposureGraphNodes
  • ExposureGraphEdges

ExposureGraphNodes

ExposureGraphNodes , kuruluş varlıklarını ve özelliklerini içerir. Bunlar cihazlar, kimlikler, kullanıcı grupları ve sanal makineler (VM' ler), depolama ve kapsayıcılar gibi bulut varlıkları gibi varlıkları içerir. Her düğüm tek bir varlığa karşılık gelir ve kuruluş yapısı içindeki özellikleri, öznitelikleri ve güvenlikle ilgili içgörüler hakkındaki bilgileri kapsüller.

ExposureGraphNodes sütun adları, türleri ve açıklamaları şunlardır:

  • NodeId (string) - Benzersiz bir düğüm tanımlayıcısı. Örnek: "650d6aa0-10a5-587e-52f4-280bfc014a08"
  • NodeLabel (string)- Düğüm etiketi. Örnekler: "microsoft.compute/virtualmachines", "elasticloadbalancing.loadbalancer"
  • NodeName (string)- Düğümün görünen adı. Örnek: "nlb-test" (ağ yük dengeleyici adı)
  • Categories (Dynamic (json)) - Düğümün kategorileri. Örneğin:
[
  "compute",
  "virtual_machine"
]
  • NodeProperties (Dynamic (json)) - Kaynağın İnternet'e açık veya uzaktan kod yürütmeye açık olması gibi kaynakla ilgili içgörüler de dahil olmak üzere düğümün özellikleri. Değerler ham veri biçimindedir (yapılandırılmamış). Örneğin:
{   
"rawData": {
"osType": "linux",   
"exposed to the internet": 
{     
"routes": [ { … } ]   
}
} 
}
  • EntityIds (Dynamic (json)) - Bilinen tüm düğüm tanımlayıcıları. Örneğin:
{ 
"AzureResourceId": "A1",  
"MdeMachineId": "M1", 
}

ExposureGraphEdges

ExposureGraphEdges şeması ve tamamlayıcı ExposureGraphNodes şeması, grafikteki varlıklar ve varlıklar arasındaki ilişkilere görünürlük sağlar. Birçok tehdit avcılığı senaryosu, varlık ilişkilerinin ve saldırı yollarının keşfini gerektirir. Örneğin, belirli bir kritik güvenlik açığına maruz kalan cihazları avlarken varlıklar arasındaki ilişkiyi bilmek kritik kuruluş varlıklarını ortaya çıkarabilir.

Aşağıdakiler ExposureGraphEdges sütun adları, etiketleri ve açıklamalarıdır:

  • EdgeId (string) - İlişki/kenar için benzersiz tanımlayıcı.
  • EdgeLabel (string) - Kenar etiketi. Örnekler: "etkileyen", "trafiği yönlendiren", "çalışıyor" ve "içerir." Grafiği sorgulayarak kenar etiketlerinin listesini görüntüleyebilirsiniz. Daha fazla bilgi için bkz. Kiracınızdaki tüm kenar etiketlerini listeleme.
  • SourceNodeId (string) - Kenar kaynağının düğüm kimliği. Örnek: "12346aa0-10a5-587e-52f4-280bfc014a08"
  • SourceNodeName (string) - Kaynak düğümün görünen adı. Örnek: "mdvmaas-win-123"
  • SourceNodeLabel (string) - Kaynak düğüm etiketi. Örnek: "microsoft.compute/virtualmachines"
  • SourceNodeCategories (Dynamic (json)) - Kaynak düğümün kategoriler listesi.
  • TargetNodeId (string) - Kenar hedefinin düğüm kimliği. Örnek: "45676aa0-10a5-587e-52f4-280bfc014a08"
  • TargetNodeName (string) - Hedef düğümün görünen adı. Örnek: gke-test-cluster-1
  • TargetNodeLabel (string) - Hedef düğüm etiketi. Örnek: "compute.instances"
  • TargetNodeCategories (Dynamic (json)) - Hedef düğümün kategoriler listesi.
  • EdgeProperties (Dynamic (json)) - Düğümler arasındaki ilişkiyle ilgili isteğe bağlı veriler. Örnek: EdgeLabel ile "trafiği ile yönlendirir EdgePropertiesnetworkReachability" için, trafiği A noktasından B noktasına aktarmak için kullanılan bağlantı noktası ve protokol aralıkları hakkında bilgi sağlayın.
{   
 "rawData": {
  "networkReachability": {
    "type": "NetworkReachability",
    "routeRules": [
      {
        "portRanges": [
          "8083"
        ],
        "protocolRanges": [
          "6"
        ]
      },
      {
        "portRanges": [
          "80"
        ],
        "protocolRanges": [
          "6"
        ]
      },
      {
        "portRanges": [
          "443"
        ],
        "protocolRanges": [
          "6"
        ]
      }
    ]
  }
}
}

Graph Kusto Sorgu Dili (KQL) işleçleri

Microsoft Güvenlik Korunma Düzeyi Yönetimi, graf yapıları üzerinden işlemleri etkinleştirmek için pozlama grafiği tablolarına ve benzersiz pozlama grafiği işleçlerine dayanır. Graf, işleci kullanılarak make-graph tablosal verilerden oluşturulur ve ardından graf işleçleri kullanılarak sorgulanır.

Graf yapma işleci

, make-graph operator kenarların ve düğümlerin tablosal girişlerinden bir grafik yapısı oluşturur. Kullanımı ve söz dizimi hakkında daha fazla bilgi için bkz. make-graph işleci.

Graf eşleştirme işleci

işleç, graph-match giriş grafı kaynağındaki bir grafik deseninin tüm oluşumlarını arar. Daha fazla bilgi için bkz. graf eşleştirme işleci.

Sonraki adımlar

Kurumsal açığa çıkarma grafiğini sorgula.

  • Last updated on