Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Mit benutzerdefinierten Graphen können Sie maßgeschneiderte Sicherheitsdiagramme erstellen, die auf Ihre einzigartigen Sicherheitsszenarien abgestimmt sind, indem Sie Daten aus Sentinel Data Lake sowie nicht von Microsoft stammenden Quellen verwenden. Mit benutzerdefinierten Graphen, die von Fabric unterstützt werden, können Sie verbundene Daten erstellen, abfragen und visualisieren, verborgene Muster und Angriffspfade aufdecken und Dabei helfen, Risiken aufzudecken, die schwer zu erkennen sind, wenn Daten isoliert analysiert werden. Diese Diagramme stellen den Wissenskontext bereit, mit dem KI-gestützte Agent-Erfahrungen effektiver arbeiten können, indem Sie Untersuchungen beschleunigen, den Explosionsradius aufdecken und Sie dabei unterstützen, von lauten, getrennten Warnungen zu sicheren Entscheidungen im großen Stil zu wechseln.
Häufige Szenarien
Diese Szenarien stellen ein Beispiel dafür dar, was mit benutzerdefinierten Graphen möglich ist. Sie können alle Entitäten, Beziehungen und Daten aus dem Sentinel Data Lake modellieren, um Graphen zu ermöglichen, die auf Ihre spezifischen Sicherheitsworkflows und Untersuchungsanforderungen zugeschnitten sind.
| Szenario | Wichtige Fragen, die graph beantworten kann |
|---|---|
| Phishing-E-Mail-Kill Chain mit angereichertem Geschäftskontext | • Wer hat die Phishing-E-Mail erhalten, wer hat auf die Links geklickt und welche Klicks wurden vom Proxy tatsächlich zugelassen? • Welche E-Mails zeigen auf die gleiche URL und zeigen Wellen mit freigegebener Infrastruktur? Folgen Sie der Anlage → laden Sie → Prozessausführung → Gerät herunter, um die Kette vom Posteingang bis zur Kompromittierung anzuzeigen. |
| DNS C2 Beacon Hunter | • Anzeigen einer Geräte-zu-Domäne-Aktivität, die ein Beaconingverhalten aufweist (geringe Intervallabweichung und hohe Zeitabdeckung), wodurch automatisierter Datenverkehr vom menschlichen Browsen getrennt wird. • Befolgen Sie die vollständige Beweiskette von Der Dns-Abfrage des Geräts → → aufgelösten IP-→ Bedrohungsindikator. |
| Erkennung von Verhaltensangriffsketten | • Alle IP-Adressen/Benutzer anzeigen, die Touchverhalten 3 oder mehr verschiedenen MITRE-Techniken zugeordnet haben. • Folgen Sie dem vollständigen Pfad von einem Bedrohungsindikator über die übereinstimmende IP-Adresse bis hin zu allen zugehörigen Verhaltensweisen für jeden betroffenen Benutzer. |
| OAuth-Rechteausweitung | • Zeigen Sie Dienstprinzipale an, die sich selbst Berechtigungen erteilt haben, und verkettet diese Berechtigungen, um eine Verzeichnisrolle der Ebene Null zu erreichen. Signatur des Selbsteskalationszyklus. |
Erstellen benutzerdefinierter Diagramme in Microsoft Sentinel
Verwenden Sie die Jupyter Notebooks in Microsoft Visual Studio Code, um benutzerdefinierte Diagramme mit Ihren Daten im Microsoft Sentinel Data Lake interaktiv zu erstellen und zu analysieren. Die Notebooks werden von der Microsoft Sentinel Visual Studio Code-Erweiterung bereitgestellt, mit der Sie mithilfe von Python für Spark (PySpark) mit dem Microsoft Sentinel Data Lake interagieren können. Weitere Informationen zur Microsoft Sentinel Visual Studio Code-Erweiterung finden Sie unter Installieren von Visual Studio Code und der Microsoft Sentinel-Erweiterung.
Sie können benutzerdefinierte Diagramme entweder mithilfe der KI-gestützten Grapherstellung oder durch Schreiben ihres eigenen Codes mithilfe der Microsoft Sentinel Graphanbieterreferenz erstellen, um Ihr Graphmodell (Knoten und Kanten) zu definieren, Ihre Daten aus dem Sentinel Data Lake zu transformieren und die Graph Query Language (GQL) zum Abfragen und Analysieren Ihrer Diagramme zu verwenden. Weitere Informationen finden Sie unter KI-gestützte benutzerdefinierte Grapherstellung in Microsoft SentinelMicrosoft Sentinel Graphanbieterreferenz und GQL-Referenz (Graph Query Language) für Sentinel benutzerdefinierten Graphen.
Nachdem Sie den Graphcode im Notebook erstellt haben, können Sie das Notebook in einer interaktiven Sitzung ausführen oder einen Graphauftrag planen. Diagramme, die während der interaktiven Notebooksitzung erstellt wurden, sind kurzlebig und nur im Kontext der Notebooksitzung verfügbar. Um Ihr Diagramm zu materialisieren und für Ihr Team zu teilen, planen Sie einen Graphauftrag, um Den Graphen häufig neu zu erstellen. Sobald das Diagramm materialisiert wurde, kann es über die Graphoberfläche in Microsoft Defender Portal unter Sentinel, Visual Studio Code-Notebooks und Graph-Abfrage-APIs zugänglich sein.
In der folgenden Tabelle sind die Schritte zum Erstellen von benutzerdefinierten Graphen in Microsoft Sentinel zusammengefasst:
| Schritt | Beschreibung |
|---|---|
| 1. Erstellen und Untersuchen eines Graphen in einer interaktiven Notebooksitzung | • Jupyter Notebooks in Sentinel bieten eine interaktive Umgebung zum Untersuchen und Analysieren von Daten in Sentinel Lake. – Die Microsoft Sentinel-Erweiterung enthält eine Python-Bibliothek des Graph-Generators. • Verwenden Sie das Jupyter Notebook in Sentinel, um Knoten und Kanten mit Lake-Daten zu definieren und Diagramme zu erstellen. • Mit der Graph Builder-Bibliothek können Sie einen Graphen mithilfe der Graph query Language (GQL) im Jupyter Graph Notebook abfragen. |
| 2. Planen eines Graphauftrags zur Materialisierung Ihres Graphen | • Materialisieren Sie Ihren Graphen in Ihrem Mandanten, um kontinuierlichen Zugriff und die Zusammenarbeit zu ermöglichen. • Verwenden Sie Sentinel Aufträge, um anzupassen, wie oft Sie einen materialisierten Graph mit Lake-Daten aktualisieren möchten. • Abfragen und Visualisieren materialisierter Diagramme in grapher Erfahrung in Microsoft Sentinel. |
| 3. Ausführen erweiterter Graphalgorithmen | • Verwenden Sie Jupyter Notebooks für den Zugriff auf integrierte Unterstützung für GraphFrames-Analysen und Graphdurchlauffunktionen. • Verwenden Sie speziell erstellte Sentinel Graphalgorithmen für gängige Sicherheitsanwendungsfälle. |
Ausführliche Anweisungen zum Erstellen von benutzerdefinierten Graphen in Microsoft Sentinel finden Sie unter Benutzerdefinierte Graphen in Microsoft Sentinel.
Visualisieren von Diagrammen in Microsoft Sentinel
Microsoft Sentinel bietet mehrere Optionen zum Visualisieren von Graphen, einschließlich der Graphenerfahrung Microsoft Sentinel Jupyter Notebooks in der Sentinel Visual Studio Code-Erweiterung. Auf der Graphoberfläche können Sie GQL-Abfragen (Graph Query Language) ausführen, das Diagrammschema anzeigen, das Diagramm visualisieren, Diagrammergebnisse im tabellarischen Format anzeigen und das Diagramm mit einem einfachen Klick interaktiv zum nächsten Hop durchlaufen.
Weitere Informationen zum Visualisieren von Diagrammen in Microsoft Sentinel mithilfe Sentinel Graphen finden Sie unter Visualisieren von Diagrammen in Microsoft Sentinel Graphen (Vorschau).