Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Los gráficos personalizados permiten crear gráficos de seguridad adaptados a los escenarios de seguridad únicos mediante datos de Sentinel lago de datos, así como orígenes que no son de Microsoft. Con el grafo personalizado, con tecnología de Fabric, puede compilar, consultar y visualizar datos conectados, descubrir patrones ocultos y rutas de ataque y ayudar a exponer riesgos difíciles de detectar cuando los datos se analizan de forma aislada. Estos gráficos proporcionan el contexto de conocimiento que permite que las experiencias de agente con tecnología de inteligencia artificial funcionen de forma más eficaz, acelerando las investigaciones, revelando el radio de explosión y ayudándole a pasar de alertas ruidosas y desconectadas a decisiones seguras a escala.
Escenarios comunes
Estos escenarios representan un ejemplo de lo que es posible con gráficos personalizados. Puede modelar todas las entidades, relaciones y datos del lago de datos de Sentinel, habilitando gráficos adaptados a sus flujos de trabajo de seguridad y necesidades de investigación específicos.
| Escenario | Preguntas clave que el gráfico puede ayudar a responder |
|---|---|
| Cadena de eliminación de correo electrónico de suplantación de identidad con contexto empresarial enriquecido | • ¿Quién ha recibido el correo electrónico de phishing, quién ha hecho clic en los vínculos y qué clics ha permitido realmente el proxy? • ¿Qué correos electrónicos apuntan a la misma dirección URL, revelando ondas mediante la infraestructura compartida? Siga los datos adjuntos → descargar → proceso de ejecución → dispositivo para mostrar la cadena desde la bandeja de entrada hasta el peligro. |
| Cazador de balizas C2 de DNS | • Mostrar la actividad de dispositivo a dominio que muestra un comportamiento de balizamiento (varianza de intervalo baja y cobertura de tiempo alto), separando el tráfico automatizado de la exploración humana. • Siga la cadena de pruebas completa del dispositivo → consulta DNS → indicador de amenazas → IP resuelta. |
| Detección de cadenas de ataques conductuales | • Mostrar todas las direcciones IP/usuarios que tocan comportamientos asignados a 3 o más técnicas de MITRE diferentes. • Siga la ruta completa desde un indicador de amenaza a través de la dirección IP coincidente a través de todos los comportamientos asociados a cada usuario afectado. |
| Escalado de privilegios de OAuth | • Mostrar las entidades de servicio que concedieron permisos a sí mismas y, a continuación, encadenaron esos permisos para alcanzar un rol de directorio de nivel Cero. Firma del ciclo de escalado automático. |
Creación de gráficos personalizados en Microsoft Sentinel
Use los cuadernos de Jupyter Notebook de Microsoft Visual Studio Code para crear y analizar gráficos personalizados de forma interactiva con los datos del lago de datos Microsoft Sentinel. Los cuadernos los proporciona la extensión Microsoft Sentinel Visual Studio Code que permite interactuar con el lago de datos Microsoft Sentinel mediante Python para Spark (PySpark). Para obtener más información sobre la extensión Microsoft Sentinel Visual Studio Code, vea Instalar Visual Studio Code y la extensión de Microsoft Sentinel.
Puede crear gráficos personalizados mediante la creación de gráficos asistidos por IA o escribiendo su propio código mediante la referencia del proveedor de grafos Microsoft Sentinel para definir el modelo de grafos (nodos y bordes), transformar los datos del lago de datos Sentinel y usar graph query language (GQL) para consultar y analizar los gráficos. Para obtener más información, vea Creación de gráficos personalizados asistidos por IA en Microsoft Sentinel, referencia del proveedor de grafos Microsoft Sentinel y Referencia del lenguaje de consulta de gráficos (GQL) para Sentinel gráfico personalizado.
Una vez creado el código de grafo en el cuaderno, puede ejecutar el cuaderno en una sesión interactiva o programar un trabajo de grafo. Los gráficos creados durante la sesión interactiva del cuaderno son efímeros y solo están disponibles en el contexto de la sesión del cuaderno. Para materializar el gráfico y compartirlo con su equipo, programe un trabajo de grafo para volver a generar el gráfico con frecuencia. Una vez materializado el gráfico, es accesible desde: la experiencia del grafo en Microsoft Defender portal en Sentinel, Visual Studio Code Notebooks y graph query API.
En la tabla siguiente se resumen los pasos para crear gráficos personalizados en Microsoft Sentinel:
| Paso | Descripción |
|---|---|
| 1. Creación e investigación de un gráfico en una sesión de cuaderno interactiva | • Los cuadernos de Jupyter Notebook en Sentinel proporcionan un entorno interactivo para explorar y analizar datos en Sentinel Lake. - La extensión Microsoft Sentinel incluye una biblioteca de Python del generador de grafos. • Use el cuaderno de Jupyter Notebook en Sentinel para definir nodos y bordes con datos de Lake y crear gráficos. • La biblioteca del generador de gráficos le permite consultar un gráfico mediante el Lenguaje de consulta de grafos (GQL) en el cuaderno de gráficos de Jupyter. |
| 2. Programar un trabajo de grafo para materializar el gráfico | • Materialice su gráfico en su inquilino para el acceso y la colaboración continuos. • Use Sentinel trabajos para adaptar la frecuencia con la que desea actualizar un gráfico materializado con datos de Lake. • Consultar y visualizar gráficos materializados en la experiencia del grafo en Microsoft Sentinel. |
| 3. Ejecutar algoritmos de gráfico avanzados | • Use cuadernos de Jupyter Notebook para acceder a la compatibilidad integrada con el análisis de GraphFrames y las funciones de recorrido de grafos. • Use algoritmos de gráficos Sentinel creados específicamente para casos de uso de seguridad comunes. |
Para obtener instrucciones detalladas sobre cómo crear gráficos personalizados en Microsoft Sentinel, consulte Gráficos personalizados en Microsoft Sentinel.
Visualización de gráficos en Microsoft Sentinel
Microsoft Sentinel proporciona varias opciones para visualizar gráficos, como la experiencia de gráficos Microsoft Sentinel, los cuadernos de Jupyter Notebook en la extensión Sentinel Visual Studio Code. La experiencia del gráfico le permite ejecutar consultas del Lenguaje de consulta de Graph (GQL), ver el esquema del grafo, visualizar el gráfico, ver los resultados del gráfico en formato tabular y recorrer interactivamente el gráfico hasta el próximo salto con un simple clic.
Para obtener más información sobre la visualización de gráficos en Microsoft Sentinel mediante Sentinel gráfico, consulte Visualización de gráficos en Microsoft Sentinel gráfico (versión preliminar).