Visualiser des graphiques dans Microsoft Sentinel (préversion)

L’expérience des graphiques dans le portail Microsoft Defender vous permet d’effectuer des investigations interactives basées sur des graphiques personnalisés, telles que l’utilisation d’un graphe conçu pour l’analyse du hameçonnage afin de vous aider à évaluer rapidement l’impact d’un incident récent, à profiler l’attaquant et à tracer ses chemins sur les données de télémétrie microsoft et tierces. Cette expérience vous permet d’exécuter des requêtes de graphique pour visualiser les insights les plus importants pour votre organization et prend en charge la traversée ad hoc du graphe afin que vous puissiez rapidement examiner les entités qui vous intéressent. Vous pouvez étudier le schéma de graphe pour comprendre les relations définies sur votre graphe et utiliser l’une des métadonnées affichées pour affiner vos résultats. Vous pouvez rapidement valider vos résultats avec la vue table et les exporter pour faciliter l’intégration à tous les flux de travail préexistants. Utilisez Jupyter Notebooks dans Microsoft Visual Studio Code pour créer et matérialiser vos graphiques personnalisés, puis utilisez l’expérience graphique dans Microsoft Sentinel pour interroger et visualiser vos graphiques personnalisés.

Cet article explique comment utiliser Sentinel graphe pour interroger, visualiser et interagir avec des graphiques afin d’obtenir de nouvelles insights.

Configuration requise

  • Un graphique personnalisé existe dans votre locataire.
  • Pour accéder à l’expérience graphique dans Microsoft Sentinel et l’interroger afin de produire des visualisations, vous devez disposer des autorisations appropriées. Pour plus d’informations, consultez Prise en main des graphiques personnalisés dans Microsoft Sentinel.

Graphiques d’accès

Pour accéder à l’expérience graphique dans Microsoft Sentinel, connectez-vous au portail Microsoft Defender, sélectionnez Microsoft Sentinel>Graphs dans le volet de navigation.

La page de gestion Sentinel Graph répertorie tous les graphiques personnalisés que vous avez créés à l’aide de l’extension Visual Studio Code Sentinel. Si vous n’avez pas créé de graphe personnalisé, créez un graphe personnalisé pour commencer.

Si vous avez déjà créé des graphiques personnalisés, la page de gestion des graphiques Sentinel affiche tous les graphiques personnalisés disponibles. Affichez une vue d’ensemble de chaque graphique personnalisé en sélectionnant le menu ... sur n’importe quelle vignette de graphe.

Capture d’écran montrant comment accéder à Sentinel graphique à partir du volet de navigation Microsoft Sentinel.

Interroger un graphe personnalisé

Sélectionnez Graphe de requête sur la vignette du graphe pour afficher la page de requête de graphe.

Vous pouvez afficher le schéma pour comprendre l’ontologie du graphe : nœuds, arêtes et leurs propriétés disponibles pour l’interrogation.

Capture d’écran montrant la page de création de graphique Sentinel avec le panneau de schéma et l’entrée de requête.

  1. Sélectionnez l’onglet Prise en main

  2. Une liste de requêtes suggérées s’affiche. Sélectionnez Modifier la requête pour visualiser une requête de graphe afin de copier la requête dans l’éditeur de requête.

    Cette requête correspond à n’importe quelle connexion à un tronçon dans le graphe, en recherchant un nœud source, une relation dirigée et un nœud cible. Il retourne les nœuds et la relation complets pour jusqu’à 100 correspondances de ce type, ce qui le rend utile pour explorer rapidement la structure de graphe brute.

    MATCH (x)-[y]->(z)
RETURN *
LIMIT 100

    Pour plus d’informations sur l’utilisation de GQL, consultez Informations de référence sur le langage de requête Graph (GQL).

  3. Sélectionnez Exécuter la requête GQL pour afficher vos résultats. Une fois l’opération terminée, la visualisation graphique s’affiche.

  4. Sélectionnez n’importe quel nœud pour afficher les détails du nœud, y compris les propriétés associées à ce nœud. Utilisez ces informations pour informer les requêtes et visualisations suivantes.

    Capture d’écran montrant les résultats de visualisation de graphique Sentinel après l’exécution d’une requête GQL.

  5. Sélectionnez l’onglet Tableau pour afficher une représentation tabulaire de vos résultats. Sélectionnez une ligne pour afficher les données JSON sous-jacentes pour chaque cellule.

    Capture d’écran montrant les résultats de la visualisation de table après l’exécution d’une requête GQL.

Interagir avec les graphiques

Utilisez les fonctionnalités suivantes pour parcourir et explorer vos graphiques :

Couleurs des nœuds
Les nœuds sont codés par couleur par type, ce qui facilite la visualisation des différents types d’entités dans votre graphe.

Légende du graphique
La légende du graphe montre tous les types de nœuds dans votre graphe avec leurs couleurs et nombres correspondants. Il répertorie également tous les types d’arêtes, ce qui vous permet de comprendre comment les nœuds se connectent les uns aux autres.

Étiquettes de nœud
Lorsque vous effectuez un zoom avant sur le graphique, d’autres étiquettes de nœud s’affichent. Les premières étiquettes à apparaître sont les nœuds les plus fortement connectés qui sont représentés par des cercles plus grands. À mesure que vous continuez à zoomer, d’autres étiquettes de nœud apparaissent dans l’ordre décroissant de la connectivité.

Afficher les détails du nœud
Sélectionnez un nœud pour ouvrir un volet d’informations sur le côté droit. Utilisez les métadonnées présentées ici pour affiner les futures requêtes, par exemple en filtrant sur la région géographique, le service ou la date de la dernière mise à jour.

Explorer les ressources connectées
Dans le volet d’informations du nœud ou en cliquant avec le bouton droit sur le nœud, vous pouvez sélectionner Explorer les ressources connectées pour parcourir le graphique et afficher le tronçon suivant à partir de ce nœud.

Capture d’écran montrant la légende du graphique avec les types de nœud et d’arête.

Pointez sur les nœuds
Pointez sur un nœud pour mettre en surbrillance ses connexions. Cela masque les nœuds et les arêtes non liés pour une vue plus claire de la connectivité du nœud et affiche des informations clés sur les nœuds, y compris les étiquettes des nœuds connectés.

Filtrage d’un graphique

Vous pouvez utiliser les filtres en haut à droite du canevas de graphe pour affiner les résultats visualisées par type de nœud ou relation d’arête.

Capture d’écran montrant les filtres de graphe pour les types de nœuds et d’arêtes.

Contrôle canevas - réorganiser et zoomer

  • Faire glisser des nœuds pour les repositionner sur le canevas
  • Utilisez le bouton Recenter en bas à droite pour réinitialiser l’affichage
  • Effectuer un zoom avant ou arrière à l’aide de votre curseur ou des contrôles de zoom en bas à droite

Vue de table

Vous pouvez afficher une représentation tabulaire de vos données en sélectionnant l’onglet Table . À partir du tableau, vous pouvez :

  • Vérifiez que votre requête GQL a produit les résultats souhaités.
  • Recherchez et triez la table pour trouver rapidement les entités qui vous intéressent.
  • Affichez le json sous-jacent d’une cellule individuelle, en fournissant le contexte clé que vous pouvez utiliser dans les requêtes ultérieures.
  • Exporter au format CSV pour une utilisation dans d’autres flux de travail préexistants.

Capture d’écran montrant la vue table avec des fonctionnalités de recherche, de tri et d’exportation.

Vous pouvez également personnaliser le format du tableau à l’aide de l’opérateur RETURN pour définir la structure de colonne ou classer les résultats selon vos préférences. Pour plus d’informations, consultez la documentation GQL.

Contenu connexe

  • Last updated on