カスタム グラフを使用すると、Sentinel Data Lake および Microsoft 以外のソースからのデータを使用して、独自のセキュリティ シナリオに合わせて調整されたカスタマイズされたセキュリティ グラフを作成できます。 Fabric を利用したカスタム グラフを使用すると、接続されたデータを構築、クエリ、視覚化し、隠されたパターンと攻撃パスを明らかにし、データが分離して分析されるタイミングを検出するのが困難なリスクを表面化するのに役立ちます。 これらのグラフは、AI を利用したエージェント エクスペリエンスがより効果的に機能し、調査のスピードを上げ、爆発半径を明らかにし、ノイズの多い切断されたアラートから大規模な自信に満ちた意思決定に移行できるようにする知識コンテキストを提供します。
一般的なシナリオ
これらのシナリオは、カスタム グラフで可能な内容のサンプルを表します。 Sentinel データ レイクから任意のエンティティ、リレーションシップ、データをモデル化し、特定のセキュリティ ワークフローと調査ニーズに合わせて調整されたグラフを有効にすることができます。
| シナリオ | グラフが回答に役立つ主な質問 |
|---|---|
| 強化されたビジネス コンテキストを使用したフィッシングメールキルチェーン | • フィッシングメールを受け取ったユーザー、リンクをクリックしたユーザー、プロキシによって実際に許可されたクリックはどれですか? •どの電子メールが同じURLを指し示し、共有インフラストラクチャを使用して波を明らかにしますか? 添付ファイル→ダウンロード→プロセス実行→デバイスに従って、受信トレイから侵害へのチェーンを表示します。 |
| DNS C2 ビーコン ハンター | •ビーコン動作(低間隔の分散と高い時間カバレッジ)を示すデバイスからドメインへのアクティビティを表示し、自動トラフィックを人間の閲覧から分離します。 •解決されたIP→脅威インジケーター→デバイス→DNSクエリから完全な証拠チェーンに従ってください。 |
| 行動攻撃チェーンの検出 | • 3 つ以上の異なる MITRE 手法にマップされた動作に触れるすべての IP/ユーザーを表示します。 •影響を受けるすべてのユーザーに関連付けられているすべての動作を通じて、一致したIPを通じて脅威インジケーターからの完全なパスに従ってください。 |
| OAuth 特権のエスカレーション | • 自身にアクセス許可を付与した後、それらのアクセス許可をチェーンして階層 0 のディレクトリ ロールに到達するサービス プリンシパルを表示します。 自己エスカレーション サイクル署名。 |
Microsoft Sentinelでのカスタム グラフの作成
Microsoft Visual Studio Code の Jupyter ノートブックを使用して、Microsoft Sentinel データ レイク内のデータを使用してカスタム グラフを対話的に作成および分析します。 ノートブックは、Python for Spark (PySpark) を使用してMicrosoft Sentinel データ レイクと対話できる、Microsoft Sentinel Visual Studio Code 拡張機能によって提供されます。 Microsoft Sentinel Visual Studio Code 拡張機能の詳細については、「Visual Studio Code のインストール」と「Microsoft Sentinel拡張機能」を参照してください。
カスタム グラフは、AI 支援のグラフ作成を使用するか、Microsoft Sentinelグラフ プロバイダー参照を使用して独自のコードを記述してグラフ モデル (ノードとエッジ) を定義し、Sentinel データ レイクからデータを変換し、Graph クエリ言語 (GQL) を使用してグラフのクエリと分析を行うことができます。 詳細については、「Microsoft Sentinelでの AI 支援のカスタム グラフ作成」、Microsoft Sentinelグラフ プロバイダーリファレンス、およびカスタム グラフの Graph クエリ言語 (GQL) リファレンスSentinel参照してください。
ノートブックでグラフ コードを作成したら、対話型セッションでノートブックを実行するか、グラフ ジョブをスケジュールできます。 対話型ノートブック セッション中に作成されたグラフはエフェメラルであり、ノートブック セッションのコンテキストでのみ使用できます。 グラフを具体化し、チームと共有するには、グラフを頻繁に再構築するようにグラフ ジョブをスケジュールします。 グラフが具体化されると、Sentinel、Visual Studio Code Notebook、Graph クエリ API の下にあるMicrosoft Defender ポータルのグラフ エクスペリエンスからアクセスできます。
次の表は、Microsoft Sentinelでカスタム グラフを作成する手順をまとめたものです。
| 手順 | 説明 |
|---|---|
| 1. 対話型ノートブック セッションでグラフを作成して調査する | • Sentinelの Jupyter ノートブックは、Sentinel Lake 内のデータを探索および分析するための対話型環境を提供します。 - Microsoft Sentinel拡張機能には、グラフ ビルダーの Python ライブラリが含まれています。 • Sentinelの Jupyter ノートブックを使用して、Lake データを使用してノードとエッジを定義し、グラフを作成します。 • グラフ ビルダー ライブラリを使用すると、Jupyter グラフ ノートブックで Graph クエリ言語 (GQL) を使用してグラフにクエリを実行できます。 |
| 2. グラフを具体化するグラフ ジョブをスケジュールする | • テナントでグラフを具体化し、継続的なアクセスとコラボレーションを実現します。 • Sentinelジョブを使用して、Lake データを使用して具体化されたグラフを更新する頻度を調整します。 • Microsoft Sentinelのグラフ エクスペリエンスで具体化されたグラフを照会および視覚化します。 |
| 3. 高度なグラフ アルゴリズムを実行する | • GraphFrames 分析とグラフ トラバーサル関数の組み込みサポートにアクセスするには、Jupyter ノートブックを使用します。 • 一般的なセキュリティ ユース ケースには、専用のSentinel グラフ アルゴリズムを使用します。 |
Microsoft Sentinelでカスタム グラフを作成する方法の詳細については、「Microsoft Sentinelのカスタム グラフ」を参照してください。
Microsoft Sentinelでのグラフの視覚化
Microsoft Sentinelには、グラフ エクスペリエンス Microsoft Sentinel、Sentinel Visual Studio Code 拡張機能の Jupyter ノートブックなど、グラフを視覚化するための複数のオプションが用意されています。 グラフ エクスペリエンスを使用すると、グラフ クエリ言語 (GQL) クエリを実行したり、グラフ スキーマを表示したり、グラフを視覚化したり、グラフの結果を表形式で表示したり、簡単なクリックでグラフを対話形式で次ホップに移動したりできます。
Sentinel グラフを使用してMicrosoft Sentinelでグラフを視覚化する方法の詳細については、「Microsoft Sentinel グラフ (プレビュー)でグラフを視覚化する」を参照してください。