Grafieken visualiseren in Microsoft Sentinel (preview)

De graphs-ervaring in de Microsoft Defender-portal stelt u in staat om interactieve graafgebaseerde onderzoeken uit te voeren op uw aangepaste grafieken, zoals het gebruik van een grafiek die is gebouwd voor phishing-analyse om u te helpen snel de impact van een recent incident te evalueren, de aanvaller te profileren en de paden van microsoft-telemetrie en gegevens van derden te traceren. Met deze ervaring kunt u grafiekquery's uitvoeren om de inzichten te visualiseren die het belangrijkst zijn voor uw organisatie en ondersteunt u ad-hocdoorkruising van de grafiek, zodat u snel interessante entiteiten kunt onderzoeken. U kunt het grafiekschema bestuderen om inzicht te verkrijgen in de relaties die in uw grafiek zijn gedefinieerd en een van de weergegeven metagegevens gebruiken om uw resultaten te verfijnen. U kunt uw resultaten snel valideren met de tabelweergave en ze exporteren voor eenvoudige integratie in bestaande werkstromen. Gebruik Jupyter Notebooks in Microsoft Visual Studio Code om uw aangepaste grafieken te maken en te materialiseren. Gebruik vervolgens de grafiekervaring in Microsoft Sentinel om uw aangepaste grafieken op te vragen en te visualiseren.

In dit artikel wordt uitgelegd hoe u Sentinel grafiek gebruikt om grafieken op te vragen, te visualiseren en ermee te werken om nieuwe inzichten te verkrijgen.

Vereisten

  • Er bestaat een aangepaste grafiek in uw tenant.
  • Als u toegang wilt krijgen tot de grafiekervaring in Microsoft Sentinel en er een query op wilt uitvoeren om visualisaties te produceren, moet u over de juiste machtigingen beschikken. Zie Aan de slag met aangepaste grafieken in Microsoft Sentinel voor meer informatie.

Toegangsgrafieken

Meld u aan bij de Microsoft Defender portal en selecteer Microsoft Sentinel>Graphs in het navigatiedeelvenster om toegang te krijgen tot de grafiekervaring in Microsoft Sentinel.

Op de pagina Sentinel Graph-beheer worden alle aangepaste grafieken weergegeven die u hebt gemaakt met de Visual Studio Code Sentinel-extensie. Als u nog geen aangepaste grafiek hebt gemaakt, maakt u een aangepaste grafiek om aan de slag te gaan.

Als u al aangepaste grafieken hebt gemaakt, worden op de pagina Sentinel grafiekbeheer alle beschikbare aangepaste grafieken weergegeven. Bekijk een overzicht van elke aangepaste grafiek door het menu ... op een grafiektegel te selecteren.

Schermopname die laat zien hoe u toegang hebt tot Sentinel grafiek vanuit het navigatiedeelvenster Microsoft Sentinel.

Een query uitvoeren op een aangepaste grafiek

Selecteer Querygrafiek op de grafiektegel om de grafiekquerypagina weer te geven.

U kunt het schema bekijken om inzicht te verkrijgen in de grafiekonologie: knooppunten, randen en hun eigenschappen die beschikbaar zijn voor query's.

Schermopname van de pagina voor het maken van Sentinel grafiek met het schemavenster en queryinvoer.

  1. Selecteer het tabblad Aan de slag

  2. Er wordt een lijst met voorgestelde query's weergegeven. Selecteer Query bewerken voor het vak Elke grafiekquery visualiseren om de query naar de queryeditor te kopiëren.

    Deze query komt overeen met elke one-hop-verbinding in de grafiek, waarbij een bronknooppunt, een gerichte relatie en een doelknooppunt worden gevonden. Het retourneert de volledige knooppunten en relatie voor maximaal 100 van dergelijke overeenkomsten, waardoor het handig is om de structuur van onbewerkte grafieken snel te verkennen.

    MATCH (x)-[y]->(z)
RETURN *
LIMIT 100

    Zie Graph Query Language (GQL) reference (Graph Query Language) voor meer informatie over het gebruik van GQL.

  3. Selecteer GQL-query uitvoeren om uw resultaten weer te geven. Nadat de grafiek is voltooid, wordt de grafiekvisualisatie weergegeven.

  4. Selecteer een knooppunt om de details van het knooppunt weer te geven, inclusief de eigenschappen die aan dat knooppunt zijn gekoppeld. Gebruik deze informatie om volgende query's en visualisaties te informeren.

    Schermopname van de resultaten van de Sentinel grafiekvisualisatie na het uitvoeren van een GQL-query.

  5. Selecteer het tabblad Tabel om een tabelweergave van uw resultaten weer te geven. Selecteer een rij om de onderliggende JSON-gegevens voor elke cel weer te geven.

    Schermopname van de resultaten van de tabelvisualisatie na het uitvoeren van een GQL-query.

Werken met grafieken

Gebruik de volgende mogelijkheden om uw grafieken te doorlopen en te verkennen:

Knooppuntkleuren
Knooppunten hebben een kleurcode per type, zodat u de verschillende entiteitstypen in uw grafiek eenvoudig kunt visualiseren.

Grafieklegenda
In de grafieklegenda ziet u alle typen knooppunten in uw grafiek met de bijbehorende kleuren en aantallen. Ook worden alle edge-typen weergegeven, zodat u begrijpt hoe knooppunten verbinding met elkaar maken.

Knooppuntlabels
Wanneer u inzoomt op de grafiek, worden er meer knooppuntlabels weergegeven. De eerste labels die worden weergegeven, zijn de sterkst verbonden knooppunten die worden vertegenwoordigd door grotere cirkels. Terwijl u doorgaat met zoomen, worden meer knooppuntlabels weergegeven in aflopende volgorde van connectiviteit.

Details van knooppunten weergeven
Selecteer een knooppunt om een detailvenster aan de rechterkant te openen. Gebruik de metagegevens die hier worden weergegeven om toekomstige query's te verfijnen, bijvoorbeeld door te filteren op geografische regio, afdeling of laatst bijgewerkte datum.

Verbonden assets verkennen
In het detailvenster van het knooppunt of door met de rechtermuisknop op het knooppunt te klikken, kunt u Verbonden assets verkennen selecteren om door de grafiek te bladeren en de volgende hop van dit knooppunt weer te geven.

Schermopname van de grafieklegenda met knooppunt- en randtypen.

Beweeg de muisaanwijzer over knooppunten
Beweeg de muisaanwijzer over een knooppunt om de verbindingen te markeren. Hiermee worden niet-gerelateerde knooppunten en randen verborgen voor een duidelijker beeld van de connectiviteit van het knooppunt en worden belangrijke knooppuntinformatie weergegeven, waaronder verbonden knooppuntlabels.

Een grafiek filteren

U kunt de filters rechtsboven in het grafiekcanvas gebruiken om de gevisualiseerde resultaten te beperken op knooppunttype of randrelatie.

Schermopname van de grafiekfilters voor knooppunt- en randtypen.

Canvasbesturingselement - opnieuw ordenen en zoomen

  • Knooppunten slepen om ze op het canvas te verplaatsen
  • Gebruik de knop Recenter in de rechterbenedenhoek om de weergave opnieuw in te stellen
  • In- of uitzoomen met de cursor of de zoombesturingselementen in de rechterbenedenhoek

Tabelweergave

U kunt een tabelweergave van uw gegevens weergeven door het tabblad Tabel te selecteren. In de tabel kunt u het volgende doen:

  • Controleer of uw GQL-query de gewenste resultaten heeft opgeleverd.
  • Zoek en sorteer de tabel om snel interessante entiteiten te vinden.
  • Bekijk de onderliggende JSON voor een afzonderlijke cel, met belangrijke context die u in toekomstige query's kunt gebruiken.
  • Exporteren naar CSV-indeling voor gebruik in andere bestaande werkstromen.

Schermopname van de tabelweergave met zoek-, sorteer- en exportmogelijkheden.

U kunt de tabelindeling ook aanpassen met behulp van de RETURN operator om de kolomstructuur te definiëren of de resultaten naar uw voorkeur te ordenen. Zie de GQL-documentatie voor meer informatie.

Verwante onderwerpen

  • Last updated on