Microsoft Sentinelでグラフを視覚化する (プレビュー)

Microsoft Defender ポータルのグラフ エクスペリエンスを使用すると、フィッシング分析用に構築されたグラフを使用して、最近のインシデントの影響を迅速に評価し、攻撃者をプロファイリングし、Microsoft テレメトリとサードパーティのデータ全体のパスを追跡するのに役立つなど、カスタム グラフに対して対話型のグラフベースの調査を実行できます。 このエクスペリエンスを使用すると、グラフ クエリを実行して、organizationにとって最も重要な分析情報を視覚化し、グラフのアドホック トラバーサルをサポートして、関心のあるエンティティをすばやく調査できます。 グラフ スキーマを調査して、グラフに定義されているリレーションシップを理解し、表示されているメタデータのいずれかを使用して結果を絞り込むことができます。 テーブル ビューを使用して結果をすばやく検証し、エクスポートして既存のワークフローに簡単に統合できます。 Microsoft Visual Studio Code の Jupyter Notebook を使用してカスタム グラフを作成して具体化した後、Microsoft Sentinelのグラフ エクスペリエンスを使用してカスタム グラフのクエリと視覚化を行います。

この記事では、Sentinelグラフを使用してグラフのクエリ、視覚化、操作を行い、新しい分析情報を取得する方法について説明します。

前提条件

  • カスタム グラフがテナントに存在します。
  • Microsoft Sentinelのグラフ エクスペリエンスにアクセスし、視覚化を生成するためにクエリを実行するには、適切なアクセス許可が必要です。 詳細については、「Microsoft Sentinelでのカスタム グラフの概要」を参照してください。

グラフにアクセスする

Microsoft Sentinelのグラフ エクスペリエンスにアクセスするには、Microsoft Defender ポータルにログインし、ナビゲーション ウィンドウから [Microsoft Sentinel>Graphs] を選択します。

[Sentinel Graph 管理] ページには、Visual Studio Code Sentinel拡張機能を使用して作成したカスタム グラフが一覧表示されます。 カスタム グラフを作成していない場合は、開始する カスタム グラフを作成 します。

カスタム グラフを既に作成している場合は、[Sentinel グラフ管理] ページに使用可能なすべてのカスタム グラフが表示されます。 任意のグラフ タイルの ... メニューを選択して、各カスタム グラフの概要を表示します。

Microsoft Sentinel ナビゲーション ウィンドウからグラフSentinelアクセスする方法を示すスクリーンショット。

カスタム グラフのクエリ

グラフ クエリ ページを表示 するには、グラフ タイルの [クエリ グラフ] を選択します。

スキーマを表示して、グラフのオントロジー (ノード、エッジ、およびクエリに使用できるプロパティ) を理解できます。

スキーマ パネルとクエリ入力を含むSentinelグラフ作成ページを示すスクリーンショット。

  1. [ 作業の開始 ] タブを選択します

  2. 推奨されるクエリの一覧が表示されます。 [任意のグラフ クエリの視覚化] で [クエリの編集] を選択して、クエリをクエリ エディター ボックスにコピーします。

    このクエリは、グラフ内の任意のワンホップ接続と一致し、ソース ノード、有向リレーションシップ、およびターゲット ノードを検索します。 最大 100 個のそのような一致の完全なノードとリレーションシップが返されるため、生のグラフ構造をすばやく探索するのに役立ちます。

    MATCH (x)-[y]->(z)
RETURN *
LIMIT 100

    GQL の使用方法の詳細については、「 Graph クエリ言語 (GQL) リファレンス」を参照してください

  3. [ GQL クエリの実行 ] を選択して結果を表示します。 完了すると、グラフの視覚化が表示されます。

  4. ノードに関連付けられているプロパティなど、ノードの詳細を表示するノードを選択します。 この情報を使用して、後続のクエリと視覚化を通知します。

    GQL クエリを実行した後のSentinelグラフの視覚化結果を示すスクリーンショット。

  5. [ テーブル ] タブを選択して、結果の表形式を表示します。 行を選択すると、各セルの基になる JSON データが表示されます。

    GQL クエリを実行した後のテーブルの視覚化結果を示すスクリーンショット。

グラフを操作する

グラフを走査して探索するには、次の機能を使用します。

ノードの色
ノードは型によって色分けされているため、グラフ内のさまざまなエンティティ型を簡単に視覚化できます。

グラフの凡例
グラフの凡例には、グラフ内のすべてのノード の種類と、対応する色と数が表示されます。 また、すべてのエッジの種類も一覧表示されるため、ノードが相互に接続する方法を理解できます。

ノード ラベル
グラフを拡大すると、より多くのノード ラベルが表示されます。 最初に表示されるラベルは、大きな円で表される最も重く接続されたノードです。 ズームを続けるにつれて、より多くのノード ラベルが接続の降順で表示されます。

ノードの詳細を表示する
ノードを選択して、右側の詳細ウィンドウを開きます。 次に示すメタデータを使用して、地理的なリージョン、部署、最終更新日をフィルター処理するなどして、将来のクエリを絞り込みます。

接続された資産を調べる
ノードの詳細ペインから、またはノードを右クリックして [ 接続された資産を探索 する] を選択してグラフを走査し、このノードから次のホップを表示できます。

ノードとエッジの種類を含むグラフの凡例を示すスクリーンショット。

ノードの上にマウス ポインターを合わせる
ノードの上にマウス ポインターを合わせて、その接続を強調表示します。 これにより、ノードの接続をより明確に表示するために、関連のないノードとエッジが非表示になり、接続されたノード ラベルを含むキー ノード情報が表示されます。

グラフのフィルター処理

グラフ キャンバスの右上にあるフィルターを使用して、視覚化された結果をノードの種類またはエッジリレーションシップ別に絞り込むことができます。

ノードとエッジの種類のグラフ フィルターを示すスクリーンショット。

キャンバス コントロール - 再配置とズーム

  • ノードをドラッグしてキャンバス上で再配置する
  • 右下の recenter ボタンを使用してビューをリセットする
  • カーソルまたは右下のズーム コントロールを使用して拡大または縮小する

テーブル ビュー

[ テーブル ] タブを選択すると、データを表形式で表示できます。テーブルから、次のことができます。

  • GQL クエリで目的の結果が生成されたことを検証します。
  • テーブルを検索して並べ替えて、関心のあるエンティティをすばやく見つけます。
  • 個々のセルの基になる JSON を表示し、将来のクエリで使用できるキー コンテキストを提供します。
  • 他の既存のワークフローで使用するために CSV 形式にエクスポートします。

検索、並べ替え、エクスポート機能を持つテーブル ビューを示すスクリーンショット。

また、 RETURN 演算子を使用して列構造を定義したり、好みに合わせて結果を並べ替えたりして、テーブル形式をカスタマイズすることもできます。 詳細については、 GQL のドキュメントを参照してください

関連コンテンツ

  • Last updated on