Visualisieren von Diagrammen in Microsoft Sentinel (Vorschau)

Die Graphenoberfläche im Microsoft Defender-Portal ermöglicht Es Ihnen, interaktive graphbasierte Untersuchungen für Ihre benutzerdefinierten Diagramme durchzuführen, z. B. mithilfe eines Graphen, der für die Phishinganalyse erstellt wurde, damit Sie schnell die Auswirkungen eines aktuellen Incidents bewerten, ein Profil für den Angreifer erstellen und dessen Pfade über Microsoft-Telemetriedaten und Daten von Drittanbietern nachverfolgen können. Auf diese Weise können Sie Graphabfragen ausführen, um die Erkenntnisse zu visualisieren, die für Ihre organization am wichtigsten sind, und unterstützt Ad-hoc-Durchläufe des Graphen, sodass Sie interessante Entitäten schnell untersuchen können. Sie können das Diagrammschema untersuchen, um die in Ihrem Diagramm definierten Beziehungen zu verstehen, und alle angezeigten Metadaten verwenden, um Ihre Ergebnisse einzugrenzen. Sie können Ihre Ergebnisse schnell mit der Tabellenansicht überprüfen und exportieren, um sie einfach in bereits vorhandene Workflows zu integrieren. Verwenden Sie Jupyter Notebooks in Microsoft Visual Studio Code, um Ihre benutzerdefinierten Graphen zu erstellen und zu materialisieren, und verwenden Sie dann die Graphoberfläche in Microsoft Sentinel, um Ihre benutzerdefinierten Diagramme abzufragen und zu visualisieren.

In diesem Artikel wird erläutert, wie Sie Sentinel Graph verwenden, um Graphen abzufragen, zu visualisieren und mit ihnen zu interagieren, um neue Erkenntnisse zu erhalten.

Voraussetzungen

  • In Ihrem Mandanten ist ein benutzerdefiniertes Diagramm vorhanden.
  • Um auf die Graphoberfläche in Microsoft Sentinel zugreifen und sie zum Erstellen von Visualisierungen abfragen zu können, müssen Sie über die entsprechenden Berechtigungen verfügen. Weitere Informationen finden Sie unter Erste Schritte mit benutzerdefinierten Graphen in Microsoft Sentinel.

Zugriffsgraphen

Um auf die Graphoberfläche in Microsoft Sentinel zuzugreifen, melden Sie sich beim Microsoft Defender-Portal an, und wählen Sie im Navigationsbereich Microsoft Sentinel>Graphs aus.

Auf der Sentinel Graph-Verwaltungsseite werden alle benutzerdefinierten Graphen aufgelistet, die Sie mit der Erweiterung visual Studio Code Sentinel erstellt haben. Wenn Sie keinen benutzerdefinierten Graphen erstellt haben, erstellen Sie einen benutzerdefinierten Graphen , um zu beginnen.

Wenn Sie bereits benutzerdefinierte Diagramme erstellt haben, werden auf der Verwaltungsseite für Sentinel Graphen alle verfügbaren benutzerdefinierten Graphen angezeigt. Zeigen Sie eine Übersicht über die einzelnen benutzerdefinierten Diagramme an, indem Sie das Menü ... auf einer beliebigen Graphkachel auswählen.

Screenshot: Zugreifen auf Sentinel Diagramm über den Microsoft Sentinel Navigationsbereich

Abfragen eines benutzerdefinierten Graphen

Wählen Sie abfragegraph auf der Diagrammkachel aus, um die Seite mit der Graphabfrage anzuzeigen.

Sie können das Schema anzeigen, um die Diagrammontologie zu verstehen – Knoten, Kanten und deren Eigenschaften, die für Abfragen verfügbar sind.

Screenshot der Seite zum Erstellen von Sentinel Graphen mit dem Schemabereich und der Abfrageeingabe.

  1. Wählen Sie die Registerkarte Erste Schritte aus .

  2. Eine Liste der vorgeschlagenen Abfragen wird angezeigt. Wählen Sie Abfrage bearbeiten für das Feld Beliebige Graphabfrage visualisieren aus, um die Abfrage in den Abfrage-Editor zu kopieren.

    Diese Abfrage gleicht eine beliebige One-Hop-Verbindung im Graphen ab und sucht nach einem Quellknoten, einer gerichteten Beziehung und einem Zielknoten. Es gibt die vollständigen Knoten und die Beziehung für bis zu 100 solcher Übereinstimmungen zurück, sodass sie für die schnelle Untersuchung der rohen Graphstruktur nützlich ist.

    MATCH (x)-[y]->(z)
RETURN *
LIMIT 100

    Weitere Informationen zur Verwendung von GQL finden Sie unter Graph Query Language (GQL)-Referenz.

  3. Wählen Sie Run GQL query (GQL-Abfrage ausführen ) aus, um Ihre Ergebnisse anzuzeigen. Nach Abschluss des Vorgangs wird die Graphvisualisierung angezeigt.

  4. Wählen Sie einen beliebigen Knoten aus, um die Knotendetails anzuzeigen, einschließlich der eigenschaften, die diesem Knoten zugeordnet sind. Verwenden Sie diese Informationen, um nachfolgende Abfragen und Visualisierungen zu informieren.

    Screenshot: Ergebnisse der Sentinel Graphvisualisierung nach dem Ausführen einer GQL-Abfrage

  5. Wählen Sie die Registerkarte Tabelle aus, um eine tabellarische Darstellung Ihrer Ergebnisse anzuzeigen. Wählen Sie eine Zeile aus, um die zugrunde liegenden JSON-Daten für jede Zelle anzuzeigen.

    Screenshot: Ergebnisse der Tabellenvisualisierung nach dem Ausführen einer GQL-Abfrage

Interagieren mit Diagrammen

Verwenden Sie die folgenden Funktionen, um Ihre Diagramme zu durchlaufen und zu untersuchen:

Knotenfarben
Knoten sind farbcodiert nach Typ, sodass Sie die verschiedenen Entitätstypen in Ihrem Graphen einfach visualisieren können.

Graphlegende
Die Graphlegende zeigt alle Knotentypen in Ihrem Diagramm mit den entsprechenden Farben und Deren Anzahl an. Außerdem werden alle Edgetypen aufgelistet, sodass Sie verstehen können, wie Knoten miteinander verbunden sind.

Knotenbezeichnungen
Wenn Sie das Diagramm vergrößern, werden weitere Knotenbeschriftungen angezeigt. Die ersten Bezeichnungen, die angezeigt werden, sind die am stärksten verbundenen Knoten, die durch größere Kreise dargestellt werden. Wenn Sie den Zoom fortsetzen, werden weitere Knotenbeschriftungen in absteigender Reihenfolge der Konnektivität angezeigt.

Anzeigen von Knotendetails
Wählen Sie einen Knoten aus, um einen Detailbereich auf der rechten Seite zu öffnen. Verwenden Sie die hier gezeigten Metadaten, um zukünftige Abfragen zu verfeinern, z. B. durch Filtern nach geografischer Region, Abteilung oder datum der letzten Aktualisierung.

Erkunden verbundener Ressourcen
Im Bereich mit den Knotendetails oder durch Klicken mit der rechten Maustaste auf den Knoten können Sie Verbundene Objekte durchsuchen auswählen, um das Diagramm zu durchlaufen und den nächsten Hop von diesem Knoten anzuzeigen.

Screenshot: Graphlegende mit Knoten- und Edgetypen

Zeigen Auf Knoten
Zeigen Sie auf einen Knoten, um dessen Verbindungen hervorzuheben. Dadurch werden nicht verbundene Knoten und Kanten ausgeblendet, um eine klarere Ansicht der Konnektivität des Knotens zu ermöglichen, und es werden Wichtige Knoteninformationen angezeigt, einschließlich der Bezeichnungen verbundener Knoten.

Filtern eines Diagramms

Sie können die Filter oben rechts im Graphbereich verwenden, um die visualisierten Ergebnisse nach Knotentyp oder Kantenbeziehung einzugrenzen.

Screenshot: Graphfilter für Knoten- und Edgetypen

Canvas-Steuerelement : Neu anordnen und zoomen

  • Ziehen Sie Knoten, um sie auf der Canvas neu zu positionieren.
  • Verwenden Sie die Schaltfläche Zuletzt verwendet unten rechts, um die Ansicht zurückzusetzen.
  • Vergrößern oder Verkleineren mit dem Cursor oder den Zoomsteuerelementen unten rechts

Tabellenansicht

Sie können eine tabellarische Darstellung Ihrer Daten anzeigen, indem Sie die Registerkarte Tabelle auswählen. In der Tabelle haben Sie folgende Möglichkeiten:

  • Überprüfen Sie, ob Ihre GQL-Abfrage die gewünschten Ergebnisse erzeugt hat.
  • Suchen und sortieren Sie die Tabelle, um schnell nach relevanten Entitäten zu suchen.
  • Zeigen Sie den zugrunde liegenden JSON-Code für eine einzelne Zelle an, und stellen Sie den Schlüsselkontext bereit, den Sie in zukünftigen Abfragen verwenden können.
  • Exportieren sie in das CSV-Format zur Verwendung in anderen bereits vorhandenen Workflows.

Screenshot: Tabellenansicht mit Such-, Sortier- und Exportfunktionen

Sie können das Tabellenformat auch anpassen, indem Sie den RETURN -Operator verwenden, um die Spaltenstruktur zu definieren, oder die Ergebnisse nach Ihren Wünschen anordnen. Weitere Informationen finden Sie in der GQL-Dokumentation.

Verwandte Inhalte

  • Last updated on