Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Med brugerdefinerede grafer kan du oprette tilpassede sikkerhedsgrafer, der er tilpasset dine unikke sikkerhedsscenarier, ved hjælp af data fra Sentinel datasø samt ikke-Microsoft-kilder. Med brugerdefineret graf, drevet af Fabric, kan du oprette, forespørge på og visualisere forbundne data, afdække skjulte mønstre og angrebsstier og hjælpe med at afdække risici, der er svære at registrere, når data analyseres isoleret. Disse grafer leverer den videnskontekst, der gør det muligt for AI-drevne agenter at arbejde mere effektivt, fremskynde undersøgelser, afsløre eksplosionsradius og hjælpe dig med at flytte fra støjende, afbrudte beskeder til sikre beslutninger i stor skala.
Almindelige scenarier
Disse scenarier repræsenterer et eksempel på, hvad der er muligt med brugerdefinerede grafer. Du kan modellere alle objekter, relationer og data fra den Sentinel datasø, hvilket muliggør grafer, der er skræddersyet til dine specifikke sikkerhedsarbejdsprocesser og undersøgelsesbehov.
| Scenarie | Vigtige spørgsmål, som grafen kan hjælpe med at besvare |
|---|---|
| Kill chain i phishing-mail med forbedret forretningskontekst | • Hvem har modtaget phishing-mailen, hvem har klikket på linkene, og hvilke klik er faktisk tilladt af proxyen? • Hvilke mails peger på den samme URL-adresse, hvilket afslører bølger, der bruger delt infrastruktur? Følg den vedhæftede fil → downloade → proceskørsel → enhed for at få vist kæden fra indbakke til kompromitteret. |
| DNS C2-beaconjæger | • Vis enhed til domæneaktivitet, der udviser beaconing-adfærd (lav intervalvarians og høj tidsdækning), der adskiller automatiseret trafik fra menneskelig browsing. • Følg hele beviskæden fra enhedens → DNS-forespørgsel → løst IP-→ trusselsindikator. |
| Registrering af adfærdsmæssige angrebskæder | • Vis alle IP-adresser/brugere, der rører funktionsmåder, der er knyttet til tre eller flere forskellige MITRE-teknikker. • Følg hele stien fra en trusselsindikator gennem den matchede IP-adresse gennem alle tilknyttede funktionsmåder til alle berørte brugere. |
| Eskalering af OAuth-rettigheder | • Vis tjenesteprincipaler, der har givet tilladelser til sig selv, og kædet derefter disse tilladelser sammen for at nå en biblioteksrolle på niveau nul. Signatur for selveskaleringscyklus. |
Oprettelse af brugerdefinerede grafer i Microsoft Sentinel
Brug Jupyter-notesbøgerne i Microsoft Visual Studio Code til interaktivt at oprette og analysere brugerdefinerede grafer med dine data i Microsoft Sentinel datasø. Notesbøgerne leveres af udvidelsen Microsoft Sentinel Visual Studio Code, der giver dig mulighed for at interagere med den Microsoft Sentinel datasø ved hjælp af Python til Spark (PySpark). Du kan få flere oplysninger om udvidelsen Microsoft Sentinel Visual Studio Code under Installér Visual Studio Code og udvidelsen Microsoft Sentinel.
Du kan oprette brugerdefinerede grafer ved hjælp af enten ai-assisteret grafoprettelse eller ved at skrive din egen kode ved hjælp af referencen Microsoft Sentinel grafudbyder for at definere din grafmodel (noder og kanter), transformere dine data fra Sentinel data lake og bruge Graph Query Language (GQL) til at forespørge på og analysere dine grafer. Du kan få flere oplysninger under AI-assisteret brugerdefineret grafdesign i Microsoft Sentinel, Microsoft Sentinel grafproviderreference og GQL-reference (Graph Query Language) for Sentinel brugerdefineret graf.
Når du har skrevet grafkoden i notesbogen, kan du køre notesbogen i en interaktiv session eller planlægge et grafjob. Grafer, der oprettes under den interaktive notesbogsession, er flygtighed og er kun tilgængelige i forbindelse med notesbogsessionen. Hvis du vil materialisere din graf og dele den med dit team, skal du planlægge et grafjob for at genopbygge grafen ofte. Når grafen er materialiseret, er den tilgængelig fra: grafoplevelsen i Microsoft Defender-portalen under Sentinel, Visual Studio Code Notesbøger og API'er til grafforespørgsler.
I følgende tabel opsummeres trinnene til oprettelse af brugerdefinerede grafer i Microsoft Sentinel:
| Trin | Beskrivelse |
|---|---|
| 1. Opret og undersøg en graf i en interaktiv notesbogsession | • Jupyter-notesbøger i Sentinel give et interaktivt miljø til udforskning og analyse af data i Sentinel Lake. - Udvidelsen Microsoft Sentinel indeholder et Python-bibliotek til graph builder. • Brug Jupyter-notesbogen i Sentinel til at definere noder og kanter med Lake-data og oprette grafer. • Med graph Builder-biblioteket kan du forespørge på en graf ved hjælp af Graph Query Language (GQL) i Jupyter-grafnotesbogen. |
| 2. Planlæg et grafjob for at materialisere din graf | • Materialiser grafen i din lejer for fortsat adgang og samarbejde. • Brug Sentinel job til at skræddersy, hvor ofte du vil opdatere en materialiseret graf med lakedata. • Forespørg om og visualiser materialiserede grafer i grafoplevelsen i Microsoft Sentinel. |
| 3. Kør avancerede grafalgoritmer | • Brug Jupyter-notesbøger til at få adgang til indbygget understøttelse af GraphFrames-analyser og graph-gennemgangsfunktioner. • Brug specialbyggede Sentinel grafalgoritmer til almindelige sikkerhedsanvendelsessager. |
Du kan finde en detaljeret vejledning i, hvordan du opretter brugerdefinerede grafer i Microsoft Sentinel, under Brugerdefinerede grafer i Microsoft Sentinel.
Visualisering af grafer i Microsoft Sentinel
Microsoft Sentinel indeholder flere muligheder for at visualisere grafer, herunder grafoplevelsen Microsoft Sentinel, Jupyter-notesbøger i Sentinel Visual Studio Code-udvidelsen. Med grafoplevelsen kan du køre GQL-forespørgsler (Graph Query Language), få vist grafskemaet, visualisere grafen, få vist grafresultater i tabelformat og interaktivt gennemgå grafen til næste hop med et enkelt klik.
Du kan få flere oplysninger om visualisering af grafer i Microsoft Sentinel ved hjælp af Sentinel graf i Visualiser grafer i Microsoft Sentinel graph (prøveversion).