Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Met aangepaste grafieken kunt u op maat gemaakte beveiligingsgrafieken maken die zijn afgestemd op uw unieke beveiligingsscenario's met behulp van gegevens uit Sentinel Data Lake en niet-Microsoft-bronnen. Met aangepaste grafiek, mogelijk gemaakt door Fabric, kunt u verbonden gegevens bouwen, opvragen en visualiseren, verborgen patronen en aanvalspaden blootleggen en risico's blootleggen die moeilijk te detecteren zijn wanneer gegevens geïsoleerd worden geanalyseerd. Deze grafieken bieden de kenniscontext waarmee door AI aangedreven agentervaringen effectiever kunnen werken, waardoor onderzoeken worden versneld, een straal van explosies wordt onthuld en u kunt overstappen van luidruchtige, niet-verbonden waarschuwingen naar betrouwbare beslissingen op schaal.
Veelvoorkomende scenario's
Deze scenario's geven een voorbeeld weer van wat er mogelijk is met aangepaste grafieken. U kunt entiteiten, relaties en gegevens uit de Sentinel data lake modelleren, zodat u grafieken kunt inschakelen die zijn afgestemd op uw specifieke beveiligingswerkstromen en onderzoeksbehoeften.
| Scenario | Belangrijke vragen die met grafiek kunnen worden beantwoord |
|---|---|
| Phishing-e-mail kill chain met verrijkte bedrijfscontext | • Wie heeft de phishing-e-mail ontvangen, wie heeft op de koppelingen geklikt en welke klikken zijn daadwerkelijk toegestaan door de proxy? • Welke e-mails verwijzen naar dezelfde URL en tonen golven met behulp van gedeelde infrastructuur? Volg de bijlage → download → procesuitvoering → apparaat om de keten van Postvak IN naar inbreuk weer te geven. |
| DNS C2-bakenjager | • Toon apparaat-naar-domeinactiviteit die beaconing-gedrag vertoont (afwijking van lage interval en hoge tijddekking), waardoor geautomatiseerd verkeer wordt gescheiden van menselijk browsen. • Volg de volledige bewijsketen van apparaat → DNS-query → opgeloste IP-→ bedreigingsindicator. |
| Gedragsdetectie van aanvalsketens | • Toon alle IP's/gebruikers die aanraakgedrag hebben toegewezen aan 3 of meer verschillende MITRE-technieken. • Volg het volledige pad van een bedreigingsindicator via het overeenkomende IP-adres door alle bijbehorende gedragingen voor elke betrokken gebruiker. |
| Escalatie van OAuth-bevoegdheden | • Geef service-principals weer die machtigingen aan zichzelf hebben verleend en vervolgens deze machtigingen hebben gekoppeld om een maprol Tier Zero te bereiken. Zelf-escalatiecyclushandtekening. |
Aangepaste grafieken bouwen in Microsoft Sentinel
Gebruik de Jupyter-notebooks in Microsoft Visual Studio Code om interactief aangepaste grafieken te maken en te analyseren met uw gegevens in de Microsoft Sentinel data lake. De notebooks worden geleverd door de Microsoft Sentinel Visual Studio Code-extensie waarmee u kunt communiceren met de Microsoft Sentinel data lake met behulp van Python voor Spark (PySpark). Zie Visual Studio Code en de Microsoft Sentinel-extensie installeren voor meer informatie over de Microsoft Sentinel Visual Studio Code-extensie.
U kunt aangepaste grafieken maken met behulp van door AI ondersteunde grafiekcreatie of door uw eigen code te schrijven met behulp van de verwijzing van de Microsoft Sentinel graph provider om uw grafiekmodel (knooppunten en randen) te definiëren, uw gegevens te transformeren vanuit de Sentinel Data Lake en Graph Query Language (GQL) te gebruiken om uw grafieken op te vragen en te analyseren. Zie voor meer informatie ai-ondersteunde aangepaste grafiek ontwerpen in Microsoft Sentinel, Microsoft Sentinel graph provider reference en Graph Query Language (GQL) naslaginformatie voor Sentinel aangepaste grafiek.
Zodra u de grafiekcode in het notitieblok hebt geschreven, kunt u het notitieblok uitvoeren in een interactieve sessie of een grafiektaak plannen. Grafieken die tijdens de interactieve notebooksessie zijn gemaakt, zijn kortstondig en zijn alleen beschikbaar in de context van de notebooksessie. Als u uw grafiek wilt materialiseren en wilt delen met uw team, plant u een grafiektaak om uw grafiek regelmatig opnieuw te bouwen. Zodra de grafiek is gerealiseerd, is deze toegankelijk vanuit: de grafiekervaring in Microsoft Defender portal onder Sentinel, Visual Studio Code Notebooks en Graph-query-API's.
De volgende tabel bevat een overzicht van de stappen voor het bouwen van aangepaste grafieken in Microsoft Sentinel:
| Stap | Omschrijving |
|---|---|
| 1. Een grafiek maken en onderzoeken in een interactieve notebooksessie | • Jupyter-notebooks in Sentinel bieden een interactieve omgeving voor het verkennen en analyseren van gegevens in Sentinel Lake. - De Microsoft Sentinel-extensie bevat een Python-bibliotheek voor graph builder. • Gebruik het Jupyter-notebook in Sentinel om knooppunten en randen met Lake-gegevens te definiëren en grafieken te maken. • Met de graph builder-bibliotheek kunt u een query uitvoeren op een grafiek met behulp van Graph Query Language (GQL) in het Jupyter Graph Notebook. |
| 2. Een grafiektaak plannen om uw grafiek te materialiseren | • Materialiseer uw grafiek in uw tenant voor continue toegang en samenwerking. • Gebruik Sentinel taken om aan te passen hoe vaak u een gerealiseerde grafiek wilt vernieuwen met Lake-gegevens. • Bevragen en visualiseren van gerealiseerde grafieken in grafiekervaring in Microsoft Sentinel. |
| 3. Geavanceerde grafiekalgoritmen uitvoeren | • Gebruik Jupyter-notebooks voor toegang tot ingebouwde ondersteuning voor GraphFrames-analyse en graph traversal-functies. • Gebruik speciaal gebouwde Sentinel graph-algoritmen voor veelvoorkomende gevallen van beveiligingsgebruik. |
Zie Aangepaste grafieken in Microsoft Sentinel voor gedetailleerde instructies voor het bouwen van aangepaste grafieken in Microsoft Sentinel.
Grafieken visualiseren in Microsoft Sentinel
Microsoft Sentinel biedt meerdere opties voor het visualiseren van grafieken, waaronder de graphs-ervaring Microsoft Sentinel, Jupyter-notebooks in de Sentinel Visual Studio Code-extensie. Met de graph-ervaring kunt u GQL-query's (Graph Query Language) uitvoeren, het grafiekschema bekijken, de grafiek visualiseren, grafiekresultaten weergeven in tabelvorm en interactief de grafiek doorlopen naar de volgende hop met een eenvoudige klik.
Zie Grafieken visualiseren in Microsoft Sentinel grafiek (preview) voor meer informatie over het visualiseren van grafieken in Microsoft Sentinel met behulp van Sentinel grafiek.