Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Egendefinerte grafer lar deg bygge skreddersydde sikkerhetsgrafer som er tilpasset dine unike sikkerhetsscenarioer ved hjelp av data fra Sentinel datasjø samt ikke-Microsoft-kilder. Med egendefinert graf, drevet av Fabric, kan du bygge, spørre og visualisere tilkoblede data, avdekke skjulte mønstre og angrepsbaner og bidra til å vise risikoer som er vanskelige å oppdage når data analyseres isolert. Disse grafene gir kunnskapskonteksten som gjør det mulig for AI-drevne agentopplevelser å arbeide mer effektivt, øke hastigheten på undersøkelser, avsløre eksplosjonsradius og hjelpe deg med å gå fra støyende, frakoblede varsler til sikre beslutninger i stor skala.
Vanlige scenarier
Disse scenariene representerer et utvalg av hva som er mulig med egendefinerte grafer. Du kan modellere alle enheter, relasjoner og data fra Sentinel datasjøen, slik at grafer er skreddersydd for dine spesifikke sikkerhetsarbeidsflyter og undersøkende behov.
| Scenario | Viktige spørsmål som grafen kan hjelpe deg med å svare på |
|---|---|
| Drapskjede for phishing-e-post med beriket forretningskontekst | • Hvem mottok phishing-e-posten, hvem klikket på koblingene, og hvilke klikk ble faktisk tillatt av proxyen? • Hvilke e-postmeldinger peker til den samme nettadressen og avslører bølger ved hjelp av delt infrastruktur? Følg vedlegg → last ned → prosesskjøring → enhet for å vise kjeden fra innboks til kompromiss. |
| DNS C2 beacon hunter | • Vis enhet til domeneaktivitet som viser virkemåte for beaconing (lav intervallvarians og høy tidsdekning), som skiller automatisert trafikk fra menneskelig surfing. • Følg hele beviskjeden fra enheten → DNS-spørring → løste indikatoren for IP-→ trussel. |
| Oppdagelse av atferdsangrepskjede | • Vis alle IPs/brukere at berøringsatferd er tilordnet til 3 eller flere forskjellige MITRE-teknikker. • Følg den fullstendige banen fra en trusselindikator gjennom den samsvarende IP-en gjennom alle tilknyttede virkemåter til alle berørte brukere. |
| Opptrapping av OAuth-privilegier | • Vis tjenestekontohavere som har gitt tillatelser til seg selv, og lenket deretter disse tillatelsene for å nå en nivå null-katalogrolle. Signatur for selvopptrappingssyklus. |
Bygge egendefinerte grafer i Microsoft Sentinel
Bruk Jupyter-notatblokkene i Microsoft Visual Studio Code til interaktivt å opprette og analysere egendefinerte grafer med dataene dine i Microsoft Sentinel datasjøen. Notatblokkene leveres av Microsoft Sentinel Visual Studio Code-utvidelsen som lar deg samhandle med Microsoft Sentinel datasjøen ved hjelp av Python for Spark (PySpark). Hvis du vil ha mer informasjon om Microsoft Sentinel Visual Studio Code filtypen, kan du se Installer Visual Studio Code og Microsoft Sentinel filtype.
Du kan utforme egendefinerte grafer ved hjelp av kunstig intelligens-assistert grafredigering, eller ved å skrive din egen kode ved hjelp av referansen til Microsoft Sentinel-grafleverandøren for å definere grafmodellen (noder og kanter), transformere dataene fra Sentinel datasjøen og bruke Graph Query Language (GQL) til å spørre og analysere grafene. Hvis du vil ha mer informasjon, kan du se AI-assistert egendefinert grafredigering i Microsoft Sentinel, Microsoft Sentinel referanse for grafleverandør og GRAPH Query Language (GQL)-referanse for Sentinel egendefinerte grafen.
Når du har skrevet grafkoden i notatblokken, kan du kjøre notatblokken i en interaktiv økt eller planlegge en grafjobb. Grafer som opprettes under den interaktive notatblokkøkten, er flyktige og er bare tilgjengelige i konteksten til notatblokkøkten. Hvis du vil materialisere grafen og dele den med teamet, kan du planlegge en grafjobb for å gjenoppbygge grafen ofte. Når grafen er materialisert, er den tilgjengelig fra: grafopplevelsen i Microsoft Defender portalen under Sentinel, Visual Studio Code notatblokker og Graph-spørrings-API-er.
Tabellen nedenfor oppsummerer trinnene for å bygge egendefinerte grafer i Microsoft Sentinel:
| Trinn | Beskrivelse |
|---|---|
| 1. Opprette og undersøke en graf i interaktiv notatblokkøkt | • Jupyter-notatblokker i Sentinel gir et interaktivt miljø for å utforske og analysere data i Sentinel Lake. – Utvidelsen Microsoft Sentinel inkluderer et Python-bibliotek for grafbyggeren. • Bruk Jupyter-notatblokken i Sentinel til å definere noder og kanter med Lake-data, og opprett grafer. • Med grafverktøybiblioteket kan du spørre etter en graf ved hjelp av GRAPH Query Language (GQL) i jupytergrafnotatblokken. |
| 2. Planlegge en grafjobb for å materialisere grafen | • Materialiser grafen i leieren for fortsatt tilgang og samarbeid. • Bruk Sentinel jobber til å skreddersy hvor ofte du vil oppdatere en materialisert graf med Lake-data. • Spørre og visualisere materialiserte grafer i Microsoft Sentinel. |
| 3. Kjør avanserte grafalgoritmer | • Bruk Jupyter-notatblokker for å få tilgang til innebygd støtte for GraphFrames-analyser og grafiske traverseringsfunksjoner. • Bruk spesialbygde Sentinel grafalgoritmer for vanlige sikkerhetsbrukstilfeller. |
Hvis du vil ha detaljerte instruksjoner om hvordan du bygger egendefinerte grafer i Microsoft Sentinel, kan du se Egendefinerte grafer i Microsoft Sentinel.
Visualisere grafer i Microsoft Sentinel
Microsoft Sentinel gir flere alternativer for visualisering av grafer, inkludert grafopplevelsen Microsoft Sentinel, Jupyter-notatblokker i Sentinel Visual Studio Code-utvidelsen. Med grafopplevelsen kan du kjøre GRAPH Query Language (GQL)-spørringer, vise grafskjemaet, visualisere grafen, vise grafresultater i tabellformat og interaktivt krysse grafen til neste hopp med et enkelt klikk.
Hvis du vil ha mer informasjon om hvordan du visualiserer grafer i Microsoft Sentinel ved hjelp av Sentinel graf, kan du se Visualiser grafer i Microsoft Sentinel graf (forhåndsversjon).