Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Jagtgrafen indeholder visualiseringsfunktioner i avanceret jagt ved at gengive trusselsscenarier som interaktive grafer. SOC-analytikere (Security Operations Center), trusselsjægere og sikkerhedsforskere kan bruge denne funktion til at udføre trusselsjagt og svar på hændelser mere intuitivt og forbedre deres effektivitet med hensyn til at vurdere mulige sikkerhedsproblemer.
Analytikere er ofte afhængige af KQL-forespørgsler ( Kusto Query Language ) for at afdække relationer mellem objekter. Denne fremgangsmåde kan være både tidskrævende og tilbøjelig til tilsyn. Jagtgrafen gør udforskning af sikkerhedsdata enklere og hurtigere ved at visualisere disse relationer. Du kan spore stier og mulige formindskelsespunkter samt indsigt i overfladen og foretage forskellige handlinger baseret på de resultater, som tabelforespørgsler kan gå glip af.
Få adgang
Hvis du vil bruge jagtgraf, avanceret jagt eller andre Microsoft Defender XDR egenskaber, skal du have en passende rolle i Microsoft Entra ID. Læs om påkrævede roller og tilladelser til avanceret jagt.
Du skal også have følgende adgang eller tilladelser:
- Microsoft Sentinel datasø
- Mindst skrivebeskyttet adgang i Microsoft Security Exposure Management
Hvor finder man jagtgrafen
Du kan finde jagtgrafen ved at gå til venstre navigationslinje på Microsoft Defender portalen og vælge Undersøgelse & svar>Jagt>Avanceret jagt.
På siden avanceret jagt skal du vælge ikonet for jagtgrafen 
Øverst på siden eller vælg ikonet Opret nyt
Og vælg Jagtgraf.
En ny jagtgrafside vises som en fane med navnet Ny graf på siden avanceret jagt.
Jagtgraffunktioner
De interaktive grafer, som jagtgrafen genererer, bruger noder og kanter til at vise objekter i dit miljø, f.eks. en enhed, en brugerkonto eller IP-adresse og deres relationer eller forbindelsesegenskaber. Få mere at vide om grafer og visualiseringer i Microsoft Defender.
Nederste højre hjørne af grafen har kontrolknapper, der giver dig mulighed for at zoome ind og zoome ud og få vist grafens Lag.
Kom i gang med jagtgraf
Brug foruddefinerede scenarier i jagtgrafen
Med jagtgrafen kan du søge med foruddefinerede scenarier. Disse scenarier er færdigbyggede avancerede jagtforespørgsler, der hjælper dig med at besvare specifikke og almindelige spørgsmål i forbindelse med specifikke use cases.
Hvis du vil gå på jagt med et foruddefineret scenarie, skal du vælge Søg med foruddefinerede scenarier på en ny jagtgrafside. Der vises et sidepanel, hvor du kan udføre følgende trin:
Trin 1: Vælg et scenarie, og angiv scenarieinput
I følgende tabel beskrives de foruddefinerede scenarier i jagtgrafen, deres respektive påkrævede scenarieinput (hvis relevant) og de teknikker, de er knyttet til, baseret på MITRE ATT&CK-strukturen.
| Scenarie | Beskrivelse | Indgange | MITRE-teknik |
|---|---|---|---|
| Angrebsveje til kritisk aktiv | Få vist de potentielle ruter gennem forskellige noder, der fører mod et mål. Brug dette scenarie til at undersøge en potentiel tværgående bevægelse, der kan nå et kritisk aktiv via dit netværk. |
Målkritisk aktiv | Tværgående bevægelse, Udforskning |
| Tilknytning af objektrelation | Find de direkte forbindelser for et givet objekt, og analysér dets relationer. | Kildeobjekt Bemærk: Du kan bruge en hvilken som helst enhed som seedingnode til grafen. Grafen angiver indgående og udgående forbindelser. |
Sonderende |
| Stier mellem to enheder | Angiv to enheder (noder) for at få vist stierne mellem dem. Brug dette scenarie, hvis du vil finde ud af, om der er en sti, der fører fra ét objekt til et andet. |
|
Tværgående bevægelse, Udforskning |
| Adgang til key vaults | Angiv en bestemt key vault for at få vist stier fra forskellige enheder (enheder, virtuelle maskiner, objektbeholdere, servere og andre), der har direkte eller indirekte adgang til den. Brug dette scenarie i tilfælde af brud, vedligeholdelsesarbejde eller vurdering af indvirkningen af enheder, der kan have adgang til et følsomt aktiv, f.eks. en key vault. |
Destinationsnøgleboks | Tværgående bevægelse, Samling |
| Brugere med adgang til følsomme data | Angiv et hvilket som helst følsomme data lager af interesse for at få vist brugere, der har adgang til det. Brug dette scenarie, hvis du vil vide, hvilke enheder der har adgang til følsomme data, især i tilfælde, hvor en hændelse angiver usædvanlig adgang til fortrolige filer. |
Destinationslagerkonto | Tværgående bevægelse, Exploratory, Collection |
| Kritiske identiteter med lageradgang | I dette scenarie identificeres kritiske brugere med adgang til lagerressourcer, der indeholder følsomme data. Brug dette scenarie til at forhindre, vurdere og overvåge uautoriseret adgang, eksponeringsrisiko og brud på sikkerheden baseret på de privilegerede brugere. |
(Ingen) | Tværgående bevægelse, Samling |
| Potentiel dataudfiltrering efter enhed | Angiv et enheds-id for at få vist stier til lagerkonti, den har adgang til. for f.eks. at kontrollere, hvilke lagerkonti en bestemt enhed kan få adgang til i et BYOD-miljø (Bring Your Own Device). Brug dette scenarie, når du undersøger mistænkelig eller uautoriseret dataoverførsel fra virksomhedens enheder og til eksterne kilder. |
Kildeenhed | Exploratory, Collection |
| Angrebsveje til kritiske Kubernetes-klynger | Angiv en Kubernetes-klynge med høj kritiskhed for at få vist brugere, virtuelle maskiner og objektbeholdere, der har adgang til den. Brug dette scenarie til at vurdere, analysere og prioritere håndteringen af angrebsstier, der fører til yderst kritiske Kubernetes-klynger. |
Destinations kubernetes-klynge | Rettighedseskalering, tværgående bevægelse |
| Adgang til Azure DevOps-lagre | Angiv et Azure DevOps-lagernavn (ADO) for at få vist brugere, der har læse- og/eller skriveadgang til det pågældende lager. Brug dette scenarie til at identificere enheder med adgang til ADO-lagre, som ofte indeholder følsomme aktiver og derfor værdifulde mål for trusselsaktører. Dette scenarie giver dig synlighed og giver dig mulighed for at planlægge dit svar i tilfælde af brud. |
ADO-destinationslager | Samling |
| Formindsker punkter til SQL-datalagre | I dette scenarie identificeres de noder, der vises i det højeste antal stier, der fører til SQL-datalagre. Scenariet registrerer stier i grafen, hvor brugerne har roller eller tilladelser til at få adgang til SQL-datalagrene. Brug dette scenarie til at få indsigt i butikker, der kan indeholde følsomme oplysninger, vurdere virkningen i tilfælde af brud og forberede din afhjælpning og dit svar. |
(Ingen) | Tværgående bevægelse, Samling |
| OAuth-programmer med privilegeret adgang | Microsoft Entra synkroniserede hybridkonti, der ejer OAuth-programmer, som kan godkendes som en privilegeret tjenesteprincipal. Brug dette scenarie til at afdække potentielle risici, der udgør konti, hvis de kompromitteres. |
(Ingen) | Rettighedseskalering, tværgående bevægelse |
| Stier til følsomme identiteter | Brugere, der ikke har rettigheder, går til følsomme identiteter, der er baseret på DACL-tilladelser (Active Directory-tilladelser). I dette scenarie afdækkes ekstremt stealth-eskaleringsstier, der ikke kræver enhedsmisbrug. |
(Ingen) | Rettighedseskalering, tværgående bevægelse |
| Tjenestekonti med RDP til kritiske enheder | Tjenestekonti i det lokale miljø kan indeholde unødvendige tilladelser, hvilket giver mulighed for at oprette forbindelse via RDP (Fjernskrivebord Protocol) til kritiske enheder. | (Ingen) | Tværgående bevægelse |
| Kerberoast-stier til kritiske aktiver | Kerberoast-sårbare konti kan blive eksponeret for skjulte eskaleringsruter for hackere. Brug dette scenarie til at finde konti med potentielle angrebsstier, der fører til følsomme aktiver, primært i det lokale miljø, men også i cloudmiljøet. |
(Ingen) | Rettighedseskalering, adgang til legitimationsoplysninger |
| Adgang med færrest rettigheder | Microsoft Entra synkroniserede brugerkonti med privilegerede tilladelser til cloudressourcer. Brug dette scenarie til at finde introducerede lodrette bevægelsesstier fra det lokale miljø til cloudmiljøet. |
(Ingen) | Tværgående bevægelse, Samling |
| Eksterne brugere med adgang til cloudressourcer | Gæste Microsoft Entra konti, der er defineret med privilegerede tilladelser til cloudressourcer. Brug dette scenarie til at afdække risikoen for et brud med stor indvirkning, der stammer fra uden for lejeren. |
(Ingen) | Tværgående bevægelse, Samling |
| Stier til domæne kompromitteret (DCSync) | Ikke-privilegerede brugere med stier med flere trin, der fører til høje rettigheder til domænet, hvilket repræsenterer skjulte og farlige ruter til fuld domæneovertagelse. | (Ingen) | Tværgående bevægelse, rettighedseskalering, adgang til legitimationsoplysninger |
| Stier til domæneadministratorer | Stier, der fører fra ikke-privilegerede brugere til sikkerhedsgruppen Domæneadministratorer. Brug dette scenarie til at finde stier, der gør det muligt for en hacker at opnå fuld domæneovertagelse. |
(Ingen) | Rettighedseskalering, tværgående bevægelse |
| Eksponerede brugere med RDP til kritiske aktiver | Brugere uden rettigheder, der eksponeres på flere enheder med stier med flere trin, hvilket medfører kompromitterelse af kritiske aktiver (enheder og brugere). Flere eksponeringer øger sandsynligheden for ondsindede hensigter og risikoen for misbrug. |
(Ingen) | Rettighedseskalering, tværgående bevægelse, adgang til legitimationsoplysninger |
| AS-REP stege stier til kritiske aktiver | SÅRBARE AS-REP-kontoveje, der fører til følsomme aktiver i det lokale miljø. Brug dette scenarie til at få vist stealth-ruter via disse konti. |
(Ingen) | Rettighedseskalering, adgang til legitimationsoplysninger |
Filtrer scenarierne i henhold til DEN MITRE-teknik, de er knyttet til, ved at vælge deres tilsvarende knapper:
I forbindelse med scenarier, der kræver input, skal du skrive eller søge efter de påkrævede input i de angivne søgefelter og derefter vælge dem:
Trin 2: Anvend filtre
Du kan tilføje relevante filtre for at gøre kortvisningen af det valgte scenarie mere præcis. Hvis du f.eks. kun vil have vist de korteste stier, skal du vælge denne indstilling.
Avancerede filtre
Som standard anvender de foruddefinerede scenarier automatisk visse filtre, som du kan få vist i afsnittet Avancerede filtre i sidepanelet. Du kan fjerne disse filtre eller tilføje nye for yderligere at finjustere den graf, du vil generere.
Hvis du vil fjerne filtre, skal du vælge ikonet Fjern filter
Ud for hvert filter eller vælg Ryd alle for at fjerne dem alle på én gang.
Hvis du vil tilføje et filter, skal du vælge Tilføj filter og derefter vælge et af de understøttede node- eller kantfiltre. I følgende tabel vises disse understøttede operatorer og filtre. Afhængigt af dit valgte scenarie er nogle af disse filtre muligvis ikke tilgængelige som indstillinger.
| Filtertype | Operatør | Filtre |
|---|---|---|
| Kildenode | Svarer |
|
| Destinationsnode | Svarer |
|
| Kanttype | Svarer |
|
| Kantretning | Svarer |
|
Trin 3: Gengiv grafen
Når du har valgt et scenarie og anvendt de nødvendige filtre, skal du vælge Kør scenarie for at gengive grafen. Når grafen er gengivet, kan du udforske den yderligere ved at vælge noder og kanter for at få vist flere oplysninger om objekter og relationer eller udvide eller fokusere på bestemte objekter.