Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Mukautettujen kaavioiden avulla voit luoda räätälöityjä suojauskaavioita, jotka on viritetty yksilöllisiä suojausskenaarioitasi varten käyttämällä Sentinel Data Lake -tallennustilan tietoja sekä muita kuin Microsoftin lähteitä. Fabricin tarjoaman mukautetun kaavion avulla voit luoda, kysellä ja visualisoida yhdistettyjä tietoja, paljastaa piilotettuja kuvioita ja hyökkäyspolkuja sekä auttaa pintaan liittyviä riskejä, joita on vaikea tunnistaa, kun tietoja analysoidaan eristyksissä. Nämä kaaviot tarjoavat tietokontekstin, jonka avulla tekoälyä hyödyntävät agenttikokemukset toimivat tehokkaammin, nopeuttavat tutkimuksia, paljastavat räjähdyssäteen ja auttavat sinua siirtymään meluisasta, irralliset hälytykset luotettaviin päätöksiin mittakaavassa.
Yleiset skenaariot
Nämä skenaariot edustavat mallia siitä, mikä on mahdollista mukautettujen kaavioiden avulla. Voit mallintaa mitä tahansa entiteettejä, suhteita ja tietoja Sentinel Data Lake -tallennustilasta ja ottaa käyttöön kaaviot, jotka on räätälöity tiettyihin suojaustyönkulkuihin ja tutkimustarpeisiin.
| Skenaario | Tärkeimmät kysymykset, joihin kaavio voi auttaa vastaamaan |
|---|---|
| Tietojenkalastelusähköpostin tappoketju täydennettyjen liiketoimintakontekstien avulla | • Kuka sai tietojenkalastelusähköpostin, kuka napsautti linkkejä ja mitkä napsautukset välityspalvelin todellisuudessa salli? • Mitkä sähköpostit osoittavat samaan URL-osoitteeseen, joka paljastaa jaettua infrastruktuuria käyttävät aallot? Seuraa liitteen → lataa → prosessin suoritusta → laitteessa, jotta voit näyttää ketjun Saapuneet-kansiosta kompromissiin. |
| DNS C2 -majakan metsästäjä | • Näytä laitteen ja toimialueen välinen toiminta, jossa ilmenee majakkatoimintaa (alhaisen välin varianssi ja korkea aikakattavuus), mikä erottaa automaattisen liikenteen ihmisen selaamisesta. • Noudata laitteen koko näyttöketjua → DNS-kyselyä → ratkaistuja IP→uhkien ilmaisinta. |
| Käyttäytymishyökkäysketjun tunnistaminen | • Näytä kaikki IPS:t/käyttäjät, jotka käsittelevät vähintään kolmea eri MITRE-tekniikkaa. • Noudata uhkailmaisimen koko polkua täsmäytetyn IP-osoitteen kautta kaikkien siihen liittyvien käyttäytymisten kautta jokaiselle käyttäjälle, jota ongelma koskee. |
| OAuth-oikeuksien eskalointi | • Näytä palvelun päänimet, jotka myönsivät käyttöoikeudet itselleen, ja ketjutti sitten nämä oikeudet saavuttaakseen tason nollan hakemistoroolin. Itseeskalointisyklin allekirjoitus. |
Mukautettujen kaavioiden luominen Microsoft Sentinel
Microsoft Visual Studio Coden Jupyter-muistikirjojen avulla voit luoda ja analysoida vuorovaikutteisesti mukautettuja kaavioita datasi avulla Microsoft Sentinel Data Lake -järjestelmässä. Muistikirjat tarjotaan Microsoft Sentinel Visual Studio Code -laajennuksella, jonka avulla voit käsitellä Microsoft Sentinel Data Lakea Käyttämällä Python for Sparkia (PySpark). Lisätietoja Microsoft Sentinel Visual Studio Code -laajennuksesta on kohdassa Visual Studio Coden asentaminen ja Microsoft Sentinel laajennus.
Voit luoda mukautettuja kaavioita joko tekoälyavusteisen kaavion tuottamisen avulla tai kirjoittamalla oman koodisi käyttämällä Microsoft Sentinel graph -palvelun viittausta kaaviomallin määrittämiseen (solmut ja reunat), tietojen muuntamiseen Sentinel Data Lake -tallennustilasta ja Graph Query Languagen (GQL) avulla kaavioiden kyselemiseen ja analysointiin. Lisätietoja on artikkelissa Tekoälyavusteinen mukautettu kaavion tuottaminen Microsoft Sentinel, Microsoft Sentinel kaaviopalvelun viitetiedot ja Graph Query Language (GQL) -viittaus Sentinel mukautetulle kaaviolle.
Kun olet kirjoittanut kaaviokoodin muistikirjaan, voit suorittaa muistikirjan vuorovaikutteisessa istunnossa tai ajoittaa kaaviotyön. Vuorovaikutteisen muistikirjaistunnon aikana luodut kaaviot ovat lyhytaikaisia ja käytettävissä vain muistikirjaistunnon kontekstissa. Jos haluat muodostaa kaavion ja jakaa sen tiimillesi, ajoita kaaviotyö, jotta kaaviosi voidaan muodostaa uudelleen usein. Kun kaavio on muodostettu, sitä voi käyttää: kaaviokokemus Microsoft Defender-portaalissa Sentinel-, Visual Studio Code Notebooks- ja Graph-kyselyiden ohjelmointirajapintojen alla.
Seuraavassa taulukossa on yhteenveto mukautettujen kaavioiden luomisen vaiheista Microsoft Sentinel:
| Vaihe | Kuvaus |
|---|---|
| 1. Kaavion luominen ja tutkiminen vuorovaikutteisessa muistikirjaistunnossa | • Sentinel Jupyter-muistikirjat tarjoavat vuorovaikutteisen ympäristön tietojen analysointiin ja analysointiin Sentinel Lakessa. – Microsoft Sentinel laajennus sisältää kaavion muodostimen Python-kirjaston. • Käytä Jupyter-muistikirjaa Sentinel solmujen ja reunojen määrittämiseen Lake-tiedoilla ja luo kaavioita. • Kaavion muodostinkirjaston avulla voit tehdä kaaviokyselyn Jupyter graph -muistikirjan Graph Query Languagella (GQL). |
| 2. Ajoita kaaviotyö kaavion muodostamista | • muodosta kaavio vuokraajassasi, jotta voit jatkaa käyttöä ja yhteistyötä. • Sentinel töiden avulla voit räätälöidä, kuinka usein haluat päivittää Lake Dataa sisältävän kaavion. • kysellä ja visualisoida muodostetut kaaviot kaaviokokemuksessa Microsoft Sentinel. |
| 3. Suorita edistyneitä kaavioalgoritmeja | • Jupyter-muistikirjojen avulla voit käyttää GraphFrames-analytiikan sisäistä tukea ja kaavioiden läpivientifunktioita. • käytä yleisissä suojauskäyttötapauksissa tarkoitukseen luotuja Sentinel grafialgoritmeja. |
Tarkempia ohjeita mukautettujen kaavioiden luomisesta Microsoft Sentinel on artikkelissa mukautetut kaaviot Microsoft Sentinel.
Kaavioiden visualisointi Microsoft Sentinel
Microsoft Sentinel tarjoaa useita vaihtoehtoja kaavioiden visualisointiin, mukaan lukien kaavioiden käyttökokemuksen Microsoft Sentinel, Jupyter-muistikirjat Sentinel Visual Studio Code -laajennuksessa. Kaavion käyttökokemuksen avulla voit suorittaa Graph Query Language (GQL) -kyselyitä, tarkastella kaavion rakennetta, visualisoida kaavion, tarkastella kaavion tuloksia taulukkomuodossa ja kulkea vuorovaikutteisesti kaavion seuraavaan hyppyyn yhdellä napsautuksella.
Lisätietoja kaavioiden visualisoinnista Microsoft Sentinel Sentinel graphin avulla on artikkelissa Kaavioiden visualisoiminen Microsoft Sentinel kaaviossa (esikatselu).