Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Os gráficos personalizados permitem-lhe criar gráficos de segurança personalizados otimizados para os seus cenários de segurança exclusivos através de dados de Sentinel data lake, bem como de origens não Microsoft. Com o grafo personalizado, com tecnologia Fabric, pode criar, consultar e visualizar dados ligados, descobrir padrões ocultos e caminhos de ataque e ajudar a detetar riscos de superfície difíceis de detetar quando os dados são analisados isoladamente. Estes gráficos fornecem o contexto de conhecimento que permite que as experiências de agentes com tecnologia de IA funcionem de forma mais eficaz, acelerar investigações, revelar raios de explosão e ajudá-lo a passar de alertas ruidosos e desligados para decisões confiantes em escala.
Cenários comuns
Estes cenários representam uma amostra do que é possível com gráficos personalizados. Pode modelar quaisquer entidades, relações e dados do Sentinel data lake, permitindo gráficos adaptados aos seus fluxos de trabalho de segurança específicos e necessidades de investigação.
| Cenário | Perguntas-chave que o gráfico pode ajudar a responder |
|---|---|
| Cadeia de eliminação de e-mails de phishing com contexto empresarial melhorado | • Quem recebeu o e-mail de phishing, quem clicou nas ligações e que cliques foram realmente permitidos pelo proxy? • Que e-mails apontam para o mesmo URL, revelando ondas com uma infraestrutura partilhada? Siga anexos → transferir → execução de processos → dispositivo para mostrar a cadeia da caixa de entrada para o comprometimento. |
| Caçador de faróis C2 DNS | • Mostrar a atividade do dispositivo para o domínio que apresenta o comportamento de beaconing (desvio de intervalo baixo e cobertura de tempo elevado), separando o tráfego automatizado da navegação humana. • Siga a cadeia de provas completa do dispositivo → consulta DNS → indicador de ameaça → ip resolvido. |
| Deteção da cadeia de ataques comportamental | • Mostrar todos os IPs/utilizadores que toquem comportamentos mapeados para 3 ou mais técnicas MITRE diferentes. • Siga o caminho completo de um indicador de ameaça através do IP correspondente através de todos os comportamentos associados a todos os utilizadores afetados. |
| Escalamento de privilégios OAuth | • Mostre os principais de serviço que concederam permissões a si próprios e, em seguida, encadeou essas permissões para alcançar uma função de diretório de Camada Zero. Assinatura do ciclo de autoescalação. |
Criar gráficos personalizados no Microsoft Sentinel
Utilize os blocos de notas do Jupyter no Microsoft Visual Studio Code para criar e analisar interativamente gráficos personalizados com os seus dados no data lake Microsoft Sentinel. Os blocos de notas são fornecidos pela extensão Microsoft Sentinel Visual Studio Code que lhe permite interagir com o data lake Microsoft Sentinel com o Python para Spark (PySpark). Para obter mais informações sobre a extensão Microsoft Sentinel Visual Studio Code, veja Instalar Visual Studio Code e a extensão Microsoft Sentinel.
Pode criar gráficos personalizados com a criação de grafos assistidos por IA ou ao escrever o seu próprio código com a referência do fornecedor de gráficos Microsoft Sentinel para definir o modelo de gráficos (nós e arestas), transformar os seus dados a partir do data lake Sentinel e utilizar a Linguagem GQL (Graph Query Language) para consultar e analisar os seus gráficos. Para obter mais informações, veja Criação de gráficos personalizados assistidos por IA no Microsoft Sentinel, referência do fornecedor de gráficos Microsoft Sentinel e referência da Linguagem de Consulta Graph (GQL) para Sentinel gráfico personalizado.
Depois de criar o código do gráfico no bloco de notas, pode executar o bloco de notas numa sessão interativa ou agendar uma tarefa de gráfico. Os gráficos criados durante a sessão interativa do bloco de notas são efémeros e só estão disponíveis no contexto da sessão do bloco de notas. Para materializar o seu gráfico e partilhar com a sua equipa, agende uma tarefa de gráfico para reconstruir o seu gráfico com frequência. Assim que o gráfico se materializar, é acessível a partir de: a experiência de gráfico no portal do Microsoft Defender em Sentinel, Visual Studio Code Notebooks e Graph query APIs.
A tabela seguinte resume os passos para criar gráficos personalizados no Microsoft Sentinel:
| Etapa | Descrição |
|---|---|
| 1. Criar e investigar um gráfico numa sessão de bloco de notas interativa | • Os blocos de notas do Jupyter no Sentinel fornecem um ambiente interativo para explorar e analisar dados no Sentinel Lake. - A extensão Microsoft Sentinel inclui uma biblioteca python do construtor de gráficos. • Utilize o bloco de notas do Jupyter no Sentinel para definir nós e arestas com dados do Lake e criar gráficos. • A biblioteca do construtor de gráficos permite-lhe consultar um gráfico com a Linguagem de Consulta Graph (GQL) no bloco de notas do Jupyter Graph. |
| 2. Agendar uma tarefa de gráfico para materializar o gráfico | • Materialize o gráfico no seu inquilino para acesso e colaboração contínuos. • Utilize Sentinel tarefas para personalizar a frequência com que pretende atualizar um grafo materializado com dados do Lake. • Consultar e visualizar gráficos materializados na experiência de grafos no Microsoft Sentinel. |
| 3. Executar algoritmos de gráfico avançados | • Utilize blocos de notas do Jupyter para aceder ao suporte incorporado para análise de GraphFrames e funções de percurso de grafos. • Utilize algoritmos de gráficos de Sentinel concebidos para casos de utilização de segurança comuns. |
Para obter instruções detalhadas sobre como criar gráficos personalizados no Microsoft Sentinel, veja Gráficos personalizados no Microsoft Sentinel.
Visualizar gráficos no Microsoft Sentinel
Microsoft Sentinel fornece várias opções para visualizar gráficos, incluindo a experiência de grafos Microsoft Sentinel, blocos de notas jupyter na extensão Sentinel Visual Studio Code. A experiência do gráfico permite-lhe executar consultas de Linguagem de Consulta do Graph (GQL), ver o esquema do gráfico, visualizar o gráfico, ver os resultados do gráfico em formato tabular e percorrer interativamente o gráfico até ao próximo salto com um simples clique.
Para obter mais informações sobre a visualização de gráficos no Microsoft Sentinel com Sentinel grafo, veja Visualizar gráficos no gráfico Microsoft Sentinel (pré-visualização).