Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les graphiques personnalisés vous permettent de créer des graphiques de sécurité adaptés à vos scénarios de sécurité uniques à l’aide de données provenant de Sentinel lac de données ainsi que de sources non-Microsoft. Avec un graphique personnalisé, optimisé par Fabric, vous pouvez créer, interroger et visualiser des données connectées, découvrir des modèles masqués et des chemins d’attaque, et faire apparaître des risques difficiles à détecter lorsque les données sont analysées de manière isolée. Ces graphiques fournissent le contexte de connaissances qui permet aux expériences d’agent basées sur l’IA de fonctionner plus efficacement, d’accélérer les investigations, de révéler le rayon d’explosion et de passer des alertes bruyantes et déconnectées à des décisions confiantes à grande échelle.
Scénarios courants
Ces scénarios représentent un exemple de ce qui est possible avec les graphiques personnalisés. Vous pouvez modéliser toutes les entités, relations et données à partir du lac de données Sentinel, en activant des graphiques adaptés à vos flux de travail de sécurité spécifiques et à vos besoins d’investigation.
| Scénario | Questions clés auxquelles le graphique peut aider à répondre |
|---|---|
| Chaîne de destruction du courrier électronique de hameçonnage avec contexte métier enrichi | • Qui a reçu l’e-mail d’hameçonnage, qui a cliqué sur les liens et quels clics ont été réellement autorisés par le proxy ? • Quels e-mails pointent vers la même URL, révélant des vagues à l’aide d’une infrastructure partagée ? Suivez la pièce jointe → télécharger → exécution du processus → appareil pour afficher la chaîne de la boîte de réception à la compromission. |
| Chasseur de balises DNS C2 | • Afficher l’activité appareil-à-domaine qui présente un comportement de balise (écart d’intervalle faible et couverture de temps élevée), séparant le trafic automatisé de la navigation humaine. • Suivez la chaîne de preuves complète de l’appareil → requête DNS →'indicateur de menace ip → résolu. |
| Détection de chaîne d’attaque comportementale | • Afficher toutes les adresses IP/utilisateurs qui touchent des comportements mappés à trois techniques MITRE ou plus différentes. • Suivez le chemin complet d’un indicateur de menace via l’adresse IP correspondante via tous les comportements associés à chaque utilisateur affecté. |
| Escalade des privilèges OAuth | • Affichez les principaux de service qui se sont accordés des autorisations, puis chaîné ces autorisations pour atteindre un rôle d’annuaire de niveau zéro. Signature du cycle d’escalade automatique. |
Création de graphiques personnalisés dans Microsoft Sentinel
Utilisez les notebooks Jupyter dans Microsoft Visual Studio Code pour créer et analyser de manière interactive des graphiques personnalisés avec vos données dans le lac de données Microsoft Sentinel. Les notebooks sont fournis par l’extension Microsoft Sentinel Visual Studio Code qui vous permet d’interagir avec le lac de données Microsoft Sentinel à l’aide de Python pour Spark (PySpark). Pour plus d’informations sur l’extension Microsoft Sentinel Visual Studio Code, consultez Installer Visual Studio Code et l’extension Microsoft Sentinel.
Vous pouvez créer des graphiques personnalisés à l’aide de la création de graphe assistée par IA ou en écrivant votre propre code à l’aide de la référence du fournisseur de graphe Microsoft Sentinel pour définir votre modèle de graphe (nœuds et arêtes), transformer vos données à partir du lac de données Sentinel et utiliser le langage de requête de graphe (GQL) pour interroger et analyser vos graphes. Pour plus d’informations, consultez Création de graphiques personnalisés assistés par IA dans Microsoft Sentinel, Microsoft Sentinel référence du fournisseur de graphe et Informations de référence GQL (Graph Query Language) pour Sentinel graphe personnalisé.
Une fois que vous avez créé le code du graphe dans le notebook, vous pouvez exécuter le bloc-notes dans une session interactive ou planifier un travail de graphe. Les graphiques créés pendant la session de notebook interactive sont éphémères et sont disponibles uniquement dans le contexte de la session de bloc-notes. Pour matérialiser votre graphe et le partager avec votre équipe, planifiez un travail de graphe pour reconstruire votre graphe fréquemment. Une fois le graphe matérialisé, il est accessible à partir de : l’expérience graphique dans Microsoft Defender portail sous Sentinel, Visual Studio Code Notebooks et API de requête Graph.
Le tableau suivant récapitule les étapes de création de graphiques personnalisés dans Microsoft Sentinel :
| Étape | Description |
|---|---|
| 1. Créer et examiner un graphique dans une session de notebook interactive | • Les notebooks Jupyter dans Sentinel fournissent un environnement interactif pour l’exploration et l’analyse des données dans Sentinel Lake. - L’extension Microsoft Sentinel inclut une bibliothèque Python du générateur de graphes. • Utilisez le notebook Jupyter dans Sentinel pour définir des nœuds et des arêtes avec des données Lake et créer des graphiques. • La bibliothèque du générateur de graphiques vous permet d’interroger un graphe à l’aide du langage de requête de graphe (GQL) dans le bloc-notes de graphe Jupyter. |
| 2. Planifier un travail de graphe pour matérialiser votre graphe | • Matérialisez votre graphe dans votre locataire pour un accès continu et une collaboration. • Utilisez Sentinel travaux pour adapter la fréquence à laquelle vous souhaitez actualiser un graphique matérialisé avec des données Lake. • Interroger et visualiser des graphiques matérialisés dans l’expérience graphique dans Microsoft Sentinel. |
| 3. Exécuter des algorithmes de graphe avancés | • Utilisez des notebooks Jupyter pour accéder à la prise en charge intégrée des fonctions d’analyse graphFrames et de traversée de graphe. • Utilisez des algorithmes de graphe Sentinel spécialement conçus pour les cas d’usage de sécurité courants. |
Pour obtenir des instructions détaillées sur la création de graphiques personnalisés dans Microsoft Sentinel, consultez Graphes personnalisés dans Microsoft Sentinel.
Visualisation des graphiques dans Microsoft Sentinel
Microsoft Sentinel fournit plusieurs options de visualisation des graphiques, notamment l’expérience graphique Microsoft Sentinel, les notebooks Jupyter dans l’extension Sentinel Visual Studio Code. L’expérience graphique vous permet d’exécuter des requêtes GQL (Graph Query Language), d’afficher le schéma de graphe, de visualiser le graphe, d’afficher les résultats du graphe au format tabulaire et de parcourir de manière interactive le graphe jusqu’au tronçon suivant en un simple clic.
Pour plus d’informations sur la visualisation de graphiques dans Microsoft Sentinel à l’aide d’Sentinel graphe, consultez Visualiser des graphiques dans Microsoft Sentinel graphe (préversion) .