Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Microsoft Defender portaalin kaavioiden avulla voit suorittaa vuorovaikutteisia kaaviopohjaisia tutkimuksia mukautetuista kaavioista. Voit esimerkiksi käyttää tietojenkalasteluanalyysiin luotua kaaviota, jonka avulla voit nopeasti arvioida viimeaikaisen tapahtuman vaikutusta, profiloida hyökkääjän ja jäljittää sen polut Microsoftin telemetriatiedoissa ja kolmannen osapuolen tiedoissa. Tämän kokemuksen avulla voit suorittaa kaaviokyselyitä visualisoidaksesi organisaatiollesi tärkeimmät merkitykselliset tiedot ja tukeaksesi kaavion ad hoc -läpivientiä, jotta voit nopeasti tutkia kiinnostavia entiteettejä. Voit tutkia kaavion rakennetta ymmärtääksesi kaaviossa määritetyt suhteet ja rajata tuloksiasi käyttämällä mitä tahansa näytetyistä metatiedoista. Voit nopeasti vahvistaa tulokset taulukkonäkymässä ja viedä ne helppoon integrointiin olemassa olevaan työnkulkuun. Luo ja muodosta mukautetut kaaviot Microsoft Visual Studio Coden Jupyter-muistikirjojen avulla ja käytä sitten Microsoft Sentinel kaaviokokemusta mukautettujen kaavioiden kyselemiseen ja visualisointiin.
Tässä artikkelissa kerrotaan, miten voit käyttää Sentinel kaaviota uusien merkityksellisten tietojen hakemiseen, visualisointiin ja vuorovaikutukseen kaavioiden kanssa.
Ennakkovaatimukset
- Vuokraajassasi on mukautettu kaavio.
- Jotta voit käyttää kaaviokokemusta Microsoft Sentinel ja kysellä sitä visualisointien tuottamiseksi, sinulla on oltava asianmukaiset käyttöoikeudet. Lisätietoja on artikkelissa Mukautettujen kaavioiden käytön aloittaminen Microsoft Sentinel.
Käyttökaaviot
Jos haluat käyttää Microsoft Sentinel kaaviotoimintoa, kirjaudu Microsoft Defender portaaliin valitsemalla siirtymisruudusta Microsoft Sentinel>Kaaviot.
Sentinel Graphin hallintasivulla luetellaan kaikki mukautetut kaaviot, jotka olet luonut Visual Studio Code Sentinel laajennuksen avulla. Jos et ole vielä luonut mukautettua kaaviota, aloita luomalla mukautettu kaavio .
Jos olet jo luonut mukautettuja kaavioita, Sentinel kaavioiden hallintasivulla näkyvät kaikki käytettävissä olevat mukautetut kaaviot. Voit tarkastella kunkin mukautetun kaavion yleiskatsausta valitsemalla minkä tahansa kaavioruudun ... -valikon.
Mukautetun kaavion kyseleminen
Voit tarkastella kaavion kyselysivua valitsemalla kaavioruudusta Kyselykaavio .
Voit tarkastella rakennetta ymmärtääksesi kaavion ontologiaa – solmuja, reunoja ja niiden ominaisuuksia, jotka ovat kyselyn käytettävissä.
Valitse Aloittaminen-välilehti
Näet luettelon ehdotetuista kyselyistä. Kopioi kysely kyselyeditoriin valitsemalla Visualisoi mikä tahansa kaaviokysely valitsemalla Muokkaa kyselyä.
Tämä kysely vastaa mitä tahansa yhden hypyn yhteyttä kaaviossa etsien lähdesolmun, suunnatun suhteen ja kohdesolmun. Se palauttaa täydet solmut ja suhteen jopa 100 tällaiselle osumalle, joten siitä on hyötyä raakakaaviorakenteen nopeaan tutkimiseen.
MATCH (x)-[y]->(z) RETURN * LIMIT 100Lisätietoja GQL:n käyttämisestä on artikkelissa GQL(Graph Query Language) -viittaus.
Voit tarkastella tuloksia valitsemalla Suorita GQL-kysely . Kun olet valmis, näkyviin tulee kaaviovisualisointi.
Valitse mikä tahansa solmu, jos haluat tarkastella solmun tietoja, mukaan lukien solmuun liittyvät ominaisuudet. Näiden tietojen avulla voit ilmoittaa myöhemmistä kyselyistä ja visualisoinneista.
Valitse Taulukko-välilehti , jos haluat tarkastella tulosten taulukkomuotoista esitystä. Valitse rivi nähdäksesi kunkin solun pohjana olevat JSON-tiedot.
Kaavioiden käsitteleminen
Seuraavien ominaisuuksien avulla voit kulkea kaavioiden läpi ja tutkia sitä:
Solmun värit
Solmut on värikoodattu tyypin mukaan, joten kaavion eri entiteettityyppien visualisointi on helppoa.
Kaavion selite
Kaavion selite näyttää kaavion kaikki solmutyypit vastaavilla väreillä ja määrällä. Siinä luetellaan myös kaikki reunatyypit, jotta ymmärrät, miten solmut muodostavat yhteyden toisiinsa.
Solmun selitteet
Kun lähennät kaaviota, näet lisää solmun selitteitä. Ensimmäiset näkyviin tulevat selitteet ovat eniten yhdistettyjä solmuja, joita suuret ympyrät edustavat. Kun jatkat zoomausta, solmujen otsikot näkyvät laskevassa yhteysjärjestyksessä.
Näytä solmun tiedot
Valitse solmu, jos haluat avata tietoruudun oikealla puolella. Tässä näkyvien metatietojen avulla voit tarkentaa tulevia kyselyitä esimerkiksi suodattamalla maantieteellisen alueen, osaston tai viimeisimmän päivityksen päivämäärän mukaan.
Yhdistettyjen resurssien tutkiminen
Solmun tiedot -ruudussa tai napsauttamalla solmua hiiren kakkospainikkeella voit valita Tutki yhdistettyjä resursseja , jotta voit kulkea kaavion läpi ja tarkastella solmun seuraavaa siirtymää.
Vie hiiren osoitin solmujen päälle
Korosta sen yhteydet osoittamalla solmua. Tämä piilottaa liittymättömät solmut ja reunat solmun liitettävyyden selkeämpää näkymää varten ja näyttää avainsolmun tiedot, mukaan lukien yhdistettyjen solmujen otsikot.
Kaavion suodattaminen
Voit käyttää kaaviopohjan oikeassa yläkulmassa olevia suodattimia visualisoitujen tulosten rajaamiseen solmutyypin tai reunasuhteen mukaan.
Piirtoalustan ohjausobjekti - järjestä ja zoomaa
- Sijoita ne piirtoalustalle vetämällä solmuja
- Palauta näkymä käyttämällä alaoikealla olevaa Viimeisimmät-painiketta
- Lähennä tai loitonna käyttämällä kohdistinta tai zoomaustoimintoja oikeassa alakulmassa
Taulukkonäkymä
Voit tarkastella tietojen taulukkomuotoista esitystä valitsemalla Taulukko-välilehden . Taulukosta voit:
- Varmista, että GQL-kyselysi tuotti halutut tulokset.
- Etsi ja lajittele taulukko, jotta löydät nopeasti entiteetit, joita haluat käyttää.
- Tarkastele yksittäisen solun pohjana olevaa JSON-tiedostoa ja anna avainkonteksti, jota voit käyttää tulevissa kyselyissä.
- Vie CSV-muotoon muissa olemassa oleissa työnkuluissa käytettäväksi.
Voit myös mukauttaa taulukkomuotoa käyttämällä -operaattoria RETURN sarakkeen rakenteen määrittämiseen tai järjestää tulokset haluamallasi tavalla. Lisätietoja on GQL-dokumentaatiossa.