Visualizar gráficos no Microsoft Sentinel (pré-visualização)

A experiência de gráficos no portal do Microsoft Defender permite-lhe realizar investigações interativas baseadas em grafos nos seus gráficos personalizados, como utilizar um gráfico criado para análise de phishing para o ajudar a avaliar rapidamente o impacto de um incidente recente, criar perfis para o atacante e rastrear os respetivos caminhos na telemetria da Microsoft e em dados de terceiros. Esta experiência permite-lhe executar consultas de grafos para visualizar as informações mais importantes para a sua organização e suporta o percurso ad hoc do gráfico para que possa investigar rapidamente entidades de interesse. Pode estudar o esquema do gráfico para compreender as relações definidas no gráfico e utilizar qualquer um dos metadados apresentados para restringir os resultados. Pode validar rapidamente os resultados com a vista de tabela e exportá-los para uma integração fácil em quaisquer fluxos de trabalho pré-existentes. Utilize o Jupyter Notebooks no Microsoft Visual Studio Code para criar e materializar os seus grafos personalizados e, em seguida, utilizar a experiência de gráfico no Microsoft Sentinel para consultar e visualizar os seus gráficos personalizados.

Este artigo explica como utilizar Sentinel grafo para consultar, visualizar e interagir com gráficos para obter novas informações.

Pré-requisitos

Gráficos do Access

Para aceder à experiência do gráfico no Microsoft Sentinel, inicie sessão no portal do Microsoft Defender, selecione Microsoft Sentinel>Grafos no painel de navegação.

A página de gestão do Sentinel Graph lista todos os gráficos personalizados que criou com a extensão Visual Studio Code Sentinel. Se ainda não criou um gráfico personalizado, crie um gráfico personalizado para começar.

Se já tiver criado gráficos personalizados, a página de gestão de gráficos Sentinel apresenta todos os gráficos personalizados disponíveis. Veja uma descrição geral de cada gráfico personalizado ao selecionar o menu ... em qualquer mosaico de gráfico.

Captura de ecrã a mostrar como aceder a Sentinel grafo a partir do painel de navegação Microsoft Sentinel.

Consultar um gráfico personalizado

Selecione Gráfico de consulta no mosaico do gráfico para ver a página de consulta de grafos.

Pode ver o esquema para compreender a ontologia do grafo – nós, arestas e as respetivas propriedades disponíveis para consulta.

Captura de ecrã a mostrar a página de criação de gráficos Sentinel com o painel de esquema e a entrada de consulta.

  1. Selecione o separador Introdução

  2. É apresentada uma lista de consultas sugeridas. Selecione Editar consulta para a caixa Visualizar qualquer consulta de grafo para copiar a consulta para o editor de consultas.

    Esta consulta corresponde a qualquer ligação de um salto no gráfico, encontrando um nó de origem, uma relação direcionada e um nó de destino. Devolve os nós completos e a relação para até 100 correspondências deste tipo, tornando-a útil para explorar rapidamente a estrutura de gráficos não processados.

    MATCH (x)-[y]->(z)
RETURN *
LIMIT 100

    Para obter mais informações sobre como utilizar a GQL, veja Referência da Linguagem de Consulta Graph (GQL).

  3. Selecione Executar consulta GQL para ver os resultados. Depois de concluída, é apresentada a visualização do grafo.

  4. Selecione qualquer nó para ver os detalhes do nó, incluindo as propriedades associadas a esse nó. Utilize estas informações para informar as consultas e visualizações subsequentes.

    Captura de ecrã a mostrar os resultados da visualização do gráfico Sentinel após a execução de uma consulta GQL.

  5. Selecione o separador Tabela para ver uma representação tabular dos resultados. Selecione uma linha para ver os dados JSON subjacentes de cada célula.

    Captura de ecrã a mostrar os resultados da visualização da tabela depois de executar uma consulta GQL.

Interagir com gráficos

Utilize as seguintes capacidades para percorrer e explorar os seus gráficos:

Cores de nós
Os nós são codificados por cor por tipo, o que facilita a visualização dos diferentes tipos de entidade no gráfico.

Legenda do gráfico
A legenda do gráfico mostra todos os tipos de nós no gráfico com as respetivas cores e contagens correspondentes. Também lista todos os tipos de limites, para que possa compreender como os nós se ligam entre si.

Etiquetas de nós
À medida que amplia o gráfico, são apresentadas mais etiquetas de nós. As primeiras etiquetas a aparecer são os nós mais fortemente ligados que são representados por círculos maiores. À medida que continua a ampliar, são apresentadas mais etiquetas de nós por ordem descendente de conectividade.

Ver detalhes do nó
Selecione um nó para abrir um painel de detalhes no lado direito. Utilize os metadados aqui apresentados para refinar consultas futuras, por exemplo, ao filtrar por região geográfica, departamento ou data da última atualização.

Explorar recursos ligados
No painel de detalhes do nó ou ao clicar com o botão direito do rato no nó, pode selecionar Explorar recursos ligados para percorrer o gráfico e ver o próximo salto a partir deste nó.

Captura de ecrã a mostrar a legenda do grafo com os tipos de nó e de extremidade.

Pairar o cursor sobre os nós
Paire o cursor sobre um nó para realçar as respetivas ligações. Esta ação oculta nós e arestas não relacionados para uma vista mais clara da conectividade do nó e apresenta informações do nó de chave, incluindo etiquetas de nó ligadas.

Filtrar um gráfico

Pode utilizar os filtros no canto superior direito da tela do grafo para restringir os resultados visualizados por tipo de nó ou relação de extremidade.

Captura de ecrã a mostrar os filtros de grafos para os tipos de nó e de extremidade.

Controlo de tela – reorganizar e ampliar

  • Arrastar nós para os reposicionar na tela
  • Utilizar o botão mais recente no canto inferior direito para repor a vista
  • Ampliar ou reduzir utilizando o cursor ou os controlos de zoom na parte inferior direita

Vista de tabela

Pode ver uma representação tabular dos seus dados ao selecionar o separador Tabela . Na tabela, pode:

  • Confirme que a consulta GQL produziu os resultados pretendidos.
  • Pesquise e ordene a tabela para encontrar rapidamente entidades de interesse.
  • Veja o JSON subjacente de uma célula individual, fornecendo o contexto chave que pode utilizar em consultas futuras.
  • Exportar para o formato CSV para utilização noutros fluxos de trabalho pré-existentes.

Captura de ecrã a mostrar a vista de tabela com as capacidades de pesquisa, ordenação e exportação.

Também pode personalizar o formato da tabela ao utilizar o RETURN operador para definir a estrutura das colunas ou ordenar os resultados à sua preferência. Para obter mais informações, veja a documentação do GQL.

Conteúdo relacionado

  • Last updated on