Visualización de gráficos en Microsoft Sentinel (versión preliminar)

La experiencia de gráficos en el portal de Microsoft Defender le permite realizar investigaciones interactivas basadas en gráficos en los gráficos personalizados, como el uso de un gráfico creado para el análisis de suplantación de identidad (phishing) para ayudarle a evaluar rápidamente el impacto de un incidente reciente, generar perfiles del atacante y realizar un seguimiento de sus rutas de acceso entre datos de terceros y telemetría de Microsoft. Esta experiencia le permite ejecutar consultas de grafos para visualizar la información más importante para su organización y admite el recorrido ad hoc del grafo para que pueda investigar rápidamente las entidades de interés. Puede estudiar el esquema del grafo para comprender las relaciones definidas en el gráfico y usar cualquiera de los metadatos mostrados para restringir los resultados. Puede validar rápidamente los resultados con la vista de tabla y exportarlos para facilitar la integración en cualquier flujo de trabajo existente. Use Jupyter Notebooks en Microsoft Visual Studio Code para crear y materializar los gráficos personalizados y, a continuación, use la experiencia del gráfico en Microsoft Sentinel para consultar y visualizar los gráficos personalizados.

En este artículo se explica cómo usar Sentinel gráfico para consultar, visualizar e interactuar con gráficos para obtener información nueva.

Requisitos previos

Gráficos de acceso

Para acceder a la experiencia del grafo en Microsoft Sentinel, inicie sesión en el portal de Microsoft Defender y seleccione Microsoft Sentinel>Graphs en el panel de navegación.

En la página de administración de Sentinel Graph se enumeran los gráficos personalizados que ha creado mediante la extensión Visual Studio Code Sentinel. Si no ha creado un gráfico personalizado, cree un gráfico personalizado para empezar.

Si ya ha creado gráficos personalizados, la página de administración de gráficos Sentinel muestra todos los gráficos personalizados disponibles. Para ver información general de cada gráfico personalizado, seleccione el menú ... en cualquier icono de gráfico.

Captura de pantalla que muestra cómo acceder a Sentinel gráfico desde el panel de navegación de Microsoft Sentinel.

Consulta de un gráfico personalizado

Seleccione Gráfico de consultas en el icono del gráfico para ver la página de consulta de grafos.

Puede ver el esquema para comprender la ontología del grafo: nodos, bordes y sus propiedades disponibles para la consulta.

Captura de pantalla que muestra la página de creación de gráficos Sentinel con el panel de esquema y la entrada de consulta.

  1. Seleccione la pestaña Introducción.

  2. Se muestra una lista de consultas sugeridas. Seleccione Editar consulta en el cuadro Visualizar cualquier consulta de grafo para copiar la consulta en el editor de consultas.

    Esta consulta coincide con cualquier conexión de un salto en el gráfico, buscando un nodo de origen, una relación dirigida y un nodo de destino. Devuelve los nodos completos y la relación de hasta 100 coincidencias de este tipo, lo que resulta útil para explorar rápidamente la estructura de grafos sin procesar.

    MATCH (x)-[y]->(z)
RETURN *
LIMIT 100

    Para obtener más información sobre el uso de GQL, vea Referencia del lenguaje de consulta de graph (GQL).

  3. Seleccione Ejecutar consulta GQL para ver los resultados. Una vez completada, aparece la visualización del grafo.

  4. Seleccione cualquier nodo para ver los detalles del nodo, incluidas las propiedades asociadas a ese nodo. Use esta información para informar a las consultas y visualizaciones posteriores.

    Captura de pantalla que muestra los resultados de visualización de gráficos Sentinel después de ejecutar una consulta GQL.

  5. Seleccione la pestaña Tabla para ver una representación tabular de los resultados. Seleccione una fila para ver los datos JSON subyacentes de cada celda.

    Captura de pantalla que muestra los resultados de la visualización de la tabla después de ejecutar una consulta GQL.

Interacción con gráficos

Use las siguientes funcionalidades para recorrer y explorar los gráficos:

Colores del nodo
Los nodos están codificados por colores por tipo, lo que facilita la visualización de los distintos tipos de entidad en el gráfico.

Leyenda del gráfico
La leyenda del gráfico muestra todos los tipos de nodo del gráfico con sus colores y recuentos correspondientes. También enumera todos los tipos perimetrales, para que pueda comprender cómo se conectan los nodos entre sí.

Etiquetas de nodo
A medida que acerca el gráfico, aparecen más etiquetas de nodo. Las primeras etiquetas que aparecen son los nodos más conectados que están representados por círculos más grandes. A medida que continúa haciendo zoom, aparecen más etiquetas de nodo en orden descendente de conectividad.

Ver detalles del nodo
Seleccione un nodo para abrir un panel de detalles en el lado derecho. Use los metadatos que se muestran aquí para refinar las consultas futuras, por ejemplo, mediante el filtrado de la región geográfica, el departamento o la fecha de última actualización.

Exploración de recursos conectados
En el panel de detalles del nodo o haciendo clic con el botón derecho en el nodo, puede seleccionar Explorar recursos conectados para recorrer el gráfico y ver el próximo salto desde este nodo.

Captura de pantalla que muestra la leyenda del grafo con tipos de nodo y borde.

Mantener el puntero sobre los nodos
Mantenga el puntero sobre un nodo para resaltar sus conexiones. Esto oculta los nodos y bordes no relacionados para obtener una vista más clara de la conectividad del nodo y muestra información clave del nodo, incluidas las etiquetas de nodo conectado.

Filtrado de un gráfico

Puede usar los filtros de la parte superior derecha del lienzo del grafo para restringir los resultados visualizados por tipo de nodo o relación perimetral.

Captura de pantalla que muestra los filtros de gráfico para los tipos de nodo y borde.

Control de lienzo: reorganización y zoom

  • Arrastre los nodos para cambiar su posición en el lienzo.
  • Use el botón más reciente en la parte inferior derecha para restablecer la vista.
  • Acercar o alejar con el cursor o los controles de zoom en la parte inferior derecha

Vista de tabla

Para ver una representación tabular de los datos, seleccione la pestaña Tabla . En la tabla, puede hacer lo siguiente:

  • Valide que la consulta de GQL produjo los resultados deseados.
  • Busque y ordene la tabla para encontrar rápidamente entidades de interés.
  • Vea el JSON subyacente de una celda individual, lo que proporciona un contexto clave que puede usar en futuras consultas.
  • Exporte al formato CSV para usarlo en otros flujos de trabajo existentes.

Captura de pantalla que muestra la vista de tabla con funcionalidades de búsqueda, ordenación y exportación.

También puede personalizar el formato de tabla mediante el RETURN operador para definir la estructura de columna o ordenar los resultados según sus preferencias. Para obtener más información, consulte la documentación de GQL.

Contenido relacionado

  • Last updated on