Visualiser grafer i Microsoft Sentinel (prøveversion)

Grafoplevelsen i Microsoft Defender-portalen giver dig mulighed for at udføre interaktive grafbaserede undersøgelser af dine brugerdefinerede grafer, f.eks. ved hjælp af en graf, der er bygget til phishing-analyse, for at hjælpe dig med hurtigt at evaluere virkningen af en nylig hændelse, profilere hackeren og spore dens stier på tværs af Microsoft-telemetridata og tredjepartsdata. Denne oplevelse giver dig mulighed for at køre grafforespørgsler for at visualisere den indsigt, der betyder mest for din organisation, og understøtter ad hoc-gennemgang af grafen, så du hurtigt kan undersøge objekter af interesse. Du kan undersøge grafskemaet for at forstå de relationer, der er defineret i grafen, og bruge alle de viste metadata til at indsnævre dine resultater. Du kan hurtigt validere dine resultater med tabelvisningen og eksportere dem, så de nemt kan integreres i alle eksisterende arbejdsprocesser. Brug Jupyter Notebooks i Microsoft Visual Studio Code til at oprette og materialisere dine brugerdefinerede grafer og derefter bruge grafoplevelsen i Microsoft Sentinel til at forespørge på og visualisere dine brugerdefinerede grafer.

I denne artikel forklares det, hvordan du bruger Sentinel graph til at forespørge, visualisere og interagere med grafer for at få ny indsigt.

Forudsætninger

  • Der findes et brugerdefineret diagram i din lejer.
  • Hvis du vil have adgang til grafoplevelsen i Microsoft Sentinel og forespørge på den for at oprette visualiseringer, skal du have de nødvendige tilladelser. Du kan få flere oplysninger under Kom i gang med brugerdefinerede grafer i Microsoft Sentinel.

Access-grafer

Hvis du vil have adgang til grafoplevelsen i Microsoft Sentinel, skal du logge på Microsoft Defender portalen og vælge Microsoft Sentinel>Grafer i navigationsruden.

Siden Sentinel Graph-styring viser de brugerdefinerede grafer, du har oprettet ved hjælp af udvidelsen Visual Studio Code Sentinel. Hvis du ikke har oprettet en brugerdefineret graf, kan du oprette en brugerdefineret graf for at komme i gang.

Hvis du allerede har oprettet brugerdefinerede grafer, vises alle tilgængelige brugerdefinerede grafer på siden til administration af Sentinel grafer. Få vist en oversigt over hver brugerdefineret graf ved at vælge menuen ... i et diagramfelt.

Skærmbillede, der viser, hvordan du får adgang til Sentinel graf fra Microsoft Sentinel navigationsrude.

Forespørg om en brugerdefineret graf

Vælg Forespørgselsgraf på graffeltet for at få vist grafforespørgselssiden.

Du kan få vist skemaet for at forstå grafens ontologi – noder, kanter og deres egenskaber, der er tilgængelige for forespørgsler.

Skærmbillede, der viser siden til oprettelse af Sentinel graf med skemapanelet og forespørgselsinput.

  1. Vælg fanen Introduktion

  2. Der vises en liste over foreslåede forespørgsler. Vælg Rediger forespørgsel for feltet Visualiser en grafforespørgsel for at kopiere forespørgslen til forespørgselseditoren.

    Denne forespørgsel svarer til en hvilken som helst enkelt hop-forbindelse i grafen, hvor der søges efter en kildenode, en rettet relation og en destinationsnode. Det returnerer de fulde noder og relationen for op til 100 sådanne matches, hvilket gør det nyttigt for hurtigt at udforske rå grafstrukturen.

    MATCH (x)-[y]->(z)
RETURN *
LIMIT 100

    Du kan få flere oplysninger om brug af GQL under Reference til Graph Query Language (GQL).

  3. Vælg Kør GQL-forespørgsel for at få vist dine resultater. Når grafvisualiseringen er fuldført, vises den.

  4. Vælg en node for at få vist nodedetaljerne, herunder de egenskaber, der er knyttet til den pågældende node. Brug disse oplysninger til at informere efterfølgende forespørgsler og visualiseringer.

    Skærmbillede, der viser resultaterne af Sentinel grafvisualisering efter kørsel af en GQL-forespørgsel.

  5. Vælg fanen Tabel for at få vist en repræsentation af resultaterne i tabelformat. Vælg en række for at se de underliggende JSON-data for hver celle.

    Skærmbillede, der viser resultaterne af tabelvisualiseringen efter kørsel af en GQL-forespørgsel.

Interager med grafer

Brug følgende funktioner til at gennemgå og udforske dine grafer:

Nodefarver
Noder farvekodes efter type, hvilket gør det nemt at visualisere de forskellige objekttyper i grafen.

Grafforklaring
Grafforklaringen viser alle nodetyper i grafen med deres tilsvarende farver og antal. Den viser også alle kanttyper, så du kan forstå, hvordan noder opretter forbindelse til hinanden.

Nodenavne
Når du zoomer ind på grafen, vises der flere nodenavne. De første navne, der vises, er de mest forbundne noder, der repræsenteres af større cirkler. Når du fortsætter med at zoome, vises flere nodenavne i faldende rækkefølge efter forbindelsen.

Få vist nodedetaljer
Vælg en node for at åbne en detaljerude i højre side. Brug de metadata, der vises her, til at afgrænse fremtidige forespørgsler – f.eks. ved at filtrere efter geografisk område, afdeling eller dato for seneste opdatering.

Udforsk forbundne aktiver
I ruden med nodedetaljer eller ved at højreklikke på noden kan du vælge Udforsk forbundne aktiver for at gennemgå grafen og få vist det næste hop fra denne node.

Skærmbillede, der viser grafforklaringen med node- og kanttyper.

Peg på noder
Peg på en node for at fremhæve dens forbindelser. Dette skjuler ikke-relaterede noder og kanter for at få et tydeligere overblik over nodens forbindelse og viser nøglenodeoplysninger, herunder forbundne nodemærkater.

Filtrering af en graf

Du kan bruge filtrene øverst til højre på graflærredet til at indsnævre de visualiserede resultater efter nodetype eller kantrelation.

Skærmbillede, der viser graffiltrene for node- og kanttyper.

Kontrolelementet Canvas – omarranger og zoom

  • Træk noder for at flytte dem på lærredet
  • Brug knappen nyere nederst til højre for at nulstille visningen
  • Zoom ind eller ud ved hjælp af markøren eller zoomkontrolelementerne nederst til højre

Tabelvisning

Du kan få vist en tabellarisk repræsentation af dine data ved at vælge fanen Tabel . Fra tabellen kan du:

  • Valider, at din GQL-forespørgsel gav de ønskede resultater.
  • Søg i og sortér tabellen for hurtigt at finde de objekter, der er interessante.
  • Få vist den underliggende JSON for en enkelt celle, hvilket giver den nøglekontekst, du kan bruge i fremtidige forespørgsler.
  • Eksportér til CSV-format til brug i andre eksisterende arbejdsprocesser.

Skærmbillede, der viser tabelvisningen med søge-, sorterings- og eksportfunktioner.

Du kan også tilpasse tabelformatet ved hjælp af operatoren RETURN til at definere kolonnestrukturen eller sortere resultaterne efter dine præferencer. Du kan få flere oplysninger i GQL-dokumentationen.

Relateret indhold

  • Last updated on