Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Grafer-opplevelsen i Microsoft Defender-portalen gjør det mulig å utføre interaktive grafbaserte undersøkelser på egendefinerte grafer, for eksempel ved hjelp av en graf som er bygd for phishing-analyse, for å hjelpe deg med raskt å evaluere virkningen av en nylig hendelse, profilere angriperen og spore banene på tvers av Microsoft-telemetri og tredjepartsdata. Med denne opplevelsen kan du kjøre grafspørringer for å visualisere innsiktene som er viktigst for organisasjonen, og støtter ad hoc-traversering av grafen, slik at du raskt kan undersøke interessante enheter. Du kan studere grafskjemaet for å forstå relasjonene som er definert i grafen, og bruke hvilke som helst av de viste metadataene til å begrense resultatene. Du kan raskt validere resultatene med tabellvisningen og eksportere dem for enkel integrering i eksisterende arbeidsflyter. Bruk Jupyter-notatblokker i Microsoft Visual Studio Code til å opprette og materialisere egendefinerte grafer, og bruk deretter grafopplevelsen i Microsoft Sentinel til å spørre og visualisere egendefinerte grafer.
Denne artikkelen forklarer hvordan du bruker Sentinel graf til å spørre, visualisere og samhandle med grafer for å få ny innsikt.
Forutsetninger
- Det finnes et egendefinert diagram i leieren.
- Hvis du vil ha tilgang til grafopplevelsen i Microsoft Sentinel og spørre den for å produsere visualiseringer, må du ha de nødvendige tillatelsene. Hvis du vil ha mer informasjon, kan du se Komme i gang med egendefinerte grafer i Microsoft Sentinel.
Access-grafer
Hvis du vil ha tilgang til grafopplevelsen i Microsoft Sentinel, logger du på Microsoft Defender-portalen og velger Microsoft Sentinel>Grafer fra navigasjonsruten.
Administrasjonssiden for Sentinel Graph viser eventuelle egendefinerte grafer som du opprettet ved hjelp av Visual Studio Code Sentinel filtypen. Hvis du ikke har opprettet et egendefinert diagram, kan du opprette en egendefinert graf for å komme i gang.
Hvis du allerede har opprettet egendefinerte grafer, viser den Sentinel diagrambehandlingssiden alle tilgjengelige egendefinerte grafer. Vis en oversikt over hvert egendefinerte diagram ved å velge ... -menyen på en hvilken som helst grafflis.
Spør etter et egendefinert diagram
Velg spørringsdiagram på grafflisen for å vise spørringssiden for grafen.
Du kan vise skjemaet for å forstå grafens ontologi – noder, kanter og deres egenskaper som er tilgjengelige for spørring.
Velg Komme i gang-fanen
En liste over foreslåtte spørringer vises. Velg Rediger spørring for Visualiser en hvilken som helst grafspørring for å kopiere spørringen til redigeringsboksen for spørringen.
Denne spørringen samsvarer med en hvilken som helst one-hop-tilkobling i grafen, og finner en kildenode, en rettet relasjon og en målnode. Den returnerer de fullstendige nodene og relasjonene for opptil 100 slike treff, noe som gjør det nyttig for raskt å utforske rå grafstruktur.
MATCH (x)-[y]->(z) RETURN * LIMIT 100Hvis du vil ha mer informasjon om hvordan du bruker GQL, kan du se referanse for Graph Query Language (GQL).
Velg Kjør GQL-spørring for å vise resultatene. Når den er fullført, vises grafvisualiseringen.
Velg en node for å vise nodededetaljene, inkludert egenskapene som er knyttet til denne noden. Bruk denne informasjonen til å informere etterfølgende spørringer og visualiseringer.
Velg Tabell-fanen for å vise en tabellvisning av resultatene. Merk en rad for å se de underliggende JSON-dataene for hver celle.
Samhandle med grafer
Bruk følgende funksjoner til å gå gjennom og utforske grafene:
Nodefarger
Noder er fargekodet etter type, noe som gjør det enkelt å visualisere de ulike enhetstypene i grafen.
Grafforklaring
Grafforklaringen viser alle nodetyper i grafen med tilhørende farger og antall. Den viser også alle kanttyper, slik at du kan forstå hvordan noder kobles til hverandre.
Nodeetiketter
Når du zoomer inn på grafen, vises flere nodeetiketter. De første etikettene som vises, er de mest sammenkoblede nodene som representeres av større sirkler. Etter hvert som du fortsetter å zoome, vises flere nodeetiketter i synkende rekkefølge av tilkobling.
Vis nodedetaljer
Velg en node for å åpne en detaljrute på høyre side. Bruk metadataene som vises her for å begrense fremtidige spørringer, for eksempel ved å filtrere etter geografisk område, avdeling eller dato for siste oppdatering.
Utforsk tilkoblede ressurser
Fra nodedetaljerruten eller ved å høyreklikke på noden, kan du velge Utforsk tilkoblede ressurser for å krysse grafen og vise neste hopp fra denne noden.
Hold pekeren over noder
Hold pekeren over en node for å utheve tilkoblingene. Dette skjuler ikke-relaterte noder og kanter for en klarere visning av nodens tilkobling og viser informasjon om nøkkelnode, inkludert tilkoblede nodeetiketter.
Filtrere et diagram
Du kan bruke filtrene øverst til høyre på lerretet for å begrense de visualiserte resultatene etter nodetype eller kantrelasjon.
Lerretskontroll – omorganisere og zoome
- Dra noder for å flytte dem på lerretet
- Bruk nylig brukte-knappen nederst til høyre for å tilbakestille visningen
- Zoome inn eller ut ved hjelp av markøren eller zoomkontrollene nederst til høyre
Tabellvisning
Du kan vise en tabellvisning av dataene ved å velge Tabell-fanen . Fra tabellen kan du:
- Valider at GQL-spørringen produserte de ønskede resultatene.
- Søk i og sorter tabellen for raskt å finne enheter av interesse.
- Vis den underliggende JSON-en for en enkeltcelle, som gir nøkkelkonteksten du kan bruke i fremtidige spørringer.
- Eksporter til CSV-format for bruk i andre eksisterende arbeidsflyter.
Du kan også tilpasse tabellformatet ved å bruke operatoren RETURN til å definere kolonnestrukturen eller rekkefølgeresultatene etter behov. Hvis du vil ha mer informasjon, kan du se GQL-dokumentasjonen.