Microsoft Defender 會使用互動式圖形來視覺化環境中實體之間的攻擊路徑、爆炸半徑和關聯性。 這些視覺效果提供可能威脅或攻擊的鳥瞰圖,讓您和您的安全營運 (SOC) 團隊快速調查和 搜尋 它們。
Defender 入口網站中產生的圖形是由 節點 和 邊緣所組成。 本文列舉並定義圖形化這些元素的常用圖示。
Nodes
節點與環境中的實體相關 (例如裝置、使用者帳戶或 IP 位址等) 。 Defender 入口網站圖形通常會將節點描述為下列任何圓形圖示:
| Icon | 節點類型 | 實體類型範例 |
|---|---|---|
|
一般 | 應用程式服務方案 |
|
計算 | 裝置、虛擬機器、Microsoft Azure 邏輯應用程式 |
|
網路功能 | 介面、公網IP位址、網路安全群組 |
|
資料 | SQL 資料存放區、Azure 監視器 Log Analytics 工作區、儲存體帳戶、Azure 事件中樞 |
|
容器 | Kubernetes 叢集 |
|
鑰匙 & 秘密 | 金鑰保存庫 |
|
DevOps | Azure DevOps 存放庫 |
|
API | 雲端應用程式 |
|
身分識別 & 存取權 | 使用者帳戶、Microsoft Entra ID 服務主體 |
|
物聯網 | |
|
認證 | |
|
IP 位址 | |
|
訂閱 |
選取節點會開啟側邊面板,提供所選實體的詳細資訊,例如實體名稱、類型、上次更新日期和探索來源。 此面板還可能顯示其他資訊,例如攻擊路徑和爆炸半徑,具體取決於所選節點及其與圖表中其他節點的關係。
實體,也可能顯示為 分組節點,例如,具有數值指標 (,以指出) 的使用者帳戶總數。 若要展開並檢視分組節點中的所有節點,請使用 取消群組 切換。
節點周圍也可能有下列任何指標:
重要資產 - 指出實體被分類為業務關鍵或有價值的實體,如 Microsoft 安全性暴露風險管理中的重要資產管理中所識別。 該指標顯示為金冠
代表關鍵資產的節點周圍也有金色光環。弱點 - 表示在實體上偵測到至少一個弱點。 此指示器顯示為紅色錯誤
探索連線的資產 - 表示節點可以將搜捕圖表進一步展開,超出初始結果。 展開圖表可讓您探索所選實體與其他實體的其他關係。 此指示器會顯示為藍色加號
探索來源 - 指出實體的資料來源。 此指標會顯示為保護實體的 Defender 產品圖示,以藍色 (例如,適用於
適用於 適用於端點的 Microsoft Defender,或適用於
適用於雲端) 的 Microsoft Defender。提示
您可以透過切換圖表圖層中的「探索來源」開關來開啟和關閉此指示器。
邊緣
邊表示兩個節點之間的關係或連接性質。 Defender 入口網站圖形會將邊緣描述為線條或方向箭號,其中可能具有下列圖示:
| Icon | 邊緣類型 |
|---|---|
|
包含 |
|
將流量路由至 |
|
擁有權限/擁有角色 |
|
可以驗證為 / 可以驗證為 |
|
推送 |
|
維護 |
|
應用程式 |
|
將資料移至 |
|
暴露於互聯網 |
|
可以互動登入 / 可以透過網路登入 / 可以遠端互動登入 |
|
運行 |
|
膳 |
|
被確定為所有者 |
|
成員屬於 |
|
正在運行 |
|
通用/影響 |
|
建立來源/用於建立 |
選取邊會開啟側邊面板,其中提供有關連接性質的更多詳細資訊。 如果兩個節點有多個關係,則邊緣上會出現一個數字,而不是圖示。 您可以將滑鼠停留在數字上或開啟側邊面板,以找到有關這些節點關係的詳細資訊。
