Visualizzare i grafici in Microsoft Sentinel (anteprima)

L'esperienza dei grafici nel portale di Microsoft Defender consente di eseguire indagini interattive basate su grafi sui grafici personalizzati, ad esempio usando un grafico creato per l'analisi del phishing per valutare rapidamente l'impatto di un recente evento imprevisto, profilare l'utente malintenzionato e tracciarne i percorsi tra dati di telemetria Microsoft e di terze parti. Questa esperienza consente di eseguire query a grafo per visualizzare le informazioni dettagliate più importanti per l'organizzazione e supporta l'attraversamento ad hoc del grafo in modo da poter analizzare rapidamente le entità di interesse. È possibile studiare lo schema del grafo per comprendere le relazioni definite nel grafico e usare uno dei metadati visualizzati per limitare i risultati. È possibile convalidare rapidamente i risultati con la visualizzazione tabella ed esportarli per semplificare l'integrazione in qualsiasi flusso di lavoro preesistente. Usare Jupyter Notebooks in Microsoft Visual Studio Code per creare e materializzare i grafici personalizzati, quindi usare l'esperienza del grafico in Microsoft Sentinel per eseguire query e visualizzare i grafici personalizzati.

Questo articolo illustra come usare Sentinel grafico per eseguire query, visualizzare e interagire con i grafici per ottenere nuove informazioni dettagliate.

Prerequisiti

  • Nel tenant è presente un grafico personalizzato.
  • Per accedere all'esperienza del grafico in Microsoft Sentinel ed eseguirne una query per produrre visualizzazioni, è necessario disporre delle autorizzazioni appropriate. Per altre informazioni, vedere Introduzione ai grafici personalizzati in Microsoft Sentinel.

Accedere ai grafici

Per accedere all'esperienza del grafico in Microsoft Sentinel, accedere al portale di Microsoft Defender, selezionare Microsoft Sentinel>Graphs nel riquadro di spostamento.

Nella pagina di gestione Sentinel Graph sono elencati tutti i grafici personalizzati creati con l'estensione Sentinel di Visual Studio Code. Se non è stato creato un grafico personalizzato, creare un grafico personalizzato per iniziare.

Se sono già stati creati grafici personalizzati, nella pagina di gestione del grafo Sentinel vengono visualizzati tutti i grafici personalizzati disponibili. Per visualizzare una panoramica di ogni grafico personalizzato, selezionare il menu ... in qualsiasi riquadro del grafico.

Screenshot che mostra come accedere a Sentinel grafico dal riquadro di spostamento Microsoft Sentinel.

Eseguire query su un grafico personalizzato

Selezionare Grafico query nel riquadro del grafico per visualizzare la pagina di query del grafico.

È possibile visualizzare lo schema per comprendere l'ontologia del grafo: nodi, archi e le relative proprietà disponibili per la query.

Screenshot che mostra la pagina di creazione del grafico Sentinel con il pannello dello schema e l'input della query.

  1. Selezionare la scheda Introduzione

  2. Viene visualizzato un elenco di query suggerite. Selezionare Modifica query per visualizzare qualsiasi query a grafo per copiare la query nella casella dell'editor di query.

    Questa query corrisponde a qualsiasi connessione a un hop nel grafico, individuando un nodo di origine, una relazione diretta e un nodo di destinazione. Restituisce i nodi completi e la relazione per un massimo di 100 corrispondenze di questo tipo, rendendolo utile per esplorare rapidamente la struttura del grafico non elaborato.

    MATCH (x)-[y]->(z)
RETURN *
LIMIT 100

    Per altre informazioni sull'uso di GQL, vedere Informazioni di riferimento su Graph Query Language (GQL).

  3. Selezionare Esegui query GQL per visualizzare i risultati. Al termine, viene visualizzata la visualizzazione del grafico.

  4. Selezionare qualsiasi nodo per visualizzare i dettagli del nodo, incluse le proprietà associate a tale nodo. Usare queste informazioni per informare le query e le visualizzazioni successive.

    Screenshot che mostra i risultati della visualizzazione del grafico Sentinel dopo l'esecuzione di una query GQL.

  5. Selezionare la scheda Tabella per visualizzare una rappresentazione tabulare dei risultati. Selezionare una riga per visualizzare i dati JSON sottostanti per ogni cella.

    Screenshot che mostra i risultati della visualizzazione della tabella dopo l'esecuzione di una query GQL.

Interagire con i grafici

Usare le funzionalità seguenti per attraversare ed esplorare i grafici:

Colori dei nodi
I nodi sono codificati in base al tipo, semplificando la visualizzazione dei diversi tipi di entità nel grafico.

Legenda del grafo
La legenda del grafico mostra tutti i tipi di nodo nel grafico con i colori e i conteggi corrispondenti. Elenca anche tutti i tipi di bordi, in modo da comprendere come i nodi si connettono tra loro.

Etichette dei nodi
Quando si esegue lo zoom avanti sul grafico, vengono visualizzate altre etichette dei nodi. Le prime etichette da visualizzare sono i nodi più connessi rappresentati da cerchi più grandi. Mentre si continua a ingrandire, vengono visualizzate più etichette dei nodi in ordine decrescente di connettività.

Visualizzare i dettagli del nodo
Selezionare un nodo per aprire un riquadro dei dettagli sul lato destro. Usare i metadati illustrati qui per perfezionare le query future, ad esempio filtrando l'area geografica, il reparto o la data dell'ultimo aggiornamento.

Esplorare gli asset connessi
Nel riquadro dei dettagli del nodo o facendo clic con il pulsante destro del mouse sul nodo, è possibile selezionare Esplora asset connessi per attraversare il grafico e visualizzare l'hop successivo da questo nodo.

Screenshot che mostra la legenda del grafico con i tipi nodo e bordo.

Passare il puntatore del mouse sui nodi
Passare il puntatore del mouse su un nodo per evidenziarne le connessioni. In questo modo, i nodi e i bordi non correlati vengono nascosti per una visualizzazione più chiara della connettività del nodo e vengono visualizzate informazioni sui nodi chiave, incluse le etichette dei nodi connesse.

Filtro di un grafico

È possibile usare i filtri in alto a destra nell'area di disegno del grafo per limitare i risultati visualizzati in base al tipo di nodo o alla relazione perimetrale.

Screenshot che mostra i filtri del grafico per i tipi di nodo e di arco.

Controllo Canvas - Ridisporre e zoom

  • Trascinare i nodi per riposizionarli nell'area di disegno
  • Usare il pulsante più recente in basso a destra per reimpostare la visualizzazione
  • Ingrandire o ridurre usando il cursore o i controlli di zoom in basso a destra

Visualizzazione tabella

È possibile visualizzare una rappresentazione tabulare dei dati selezionando la scheda Tabella . Dalla tabella è possibile:

  • Verificare che la query GQL ha prodotto i risultati desiderati.
  • Cercare e ordinare la tabella per trovare rapidamente le entità di interesse.
  • Visualizzare il codice JSON sottostante per una singola cella, fornendo il contesto chiave che è possibile usare nelle query future.
  • Esportare in formato CSV da usare in altri flussi di lavoro preesistenti.

Screenshot che mostra la visualizzazione tabella con funzionalità di ricerca, ordinamento ed esportazione.

È anche possibile personalizzare il formato della tabella usando l'operatore RETURN per definire la struttura di colonna o ordinare i risultati in base alle proprie preferenze. Per altre informazioni, vedere la documentazione GQL.

Contenuto correlato

  • Last updated on