Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Пользовательские графы позволяют создавать специализированные графы безопасности, настроенные в соответствии с уникальными сценариями безопасности, используя данные из Sentinel озера данных, а также из источников сторонних корпораций. С помощью пользовательского графа на базе Fabric можно создавать, запрашивать и визуализировать подключенные данные, обнаруживать скрытые закономерности и пути атак, а также выявлять риски, которые трудно обнаружить при изолированном анализе данных. Эти графики предоставляют контекст знаний, который позволяет более эффективно работать агентам на основе ИИ, ускоряя исследования, выявляя радиус взрыва и помогая переходить от шумных, отключенных оповещений к уверенному принятию решений в большом масштабе.
Общие сценарии
Эти сценарии представляют собой пример того, что можно использовать с пользовательскими графами. Вы можете моделировать любые сущности, связи и данные из Sentinel озера данных, предоставляя графы, адаптированные к конкретным рабочим процессам безопасности и потребностям расследования.
| Сценарий | Ключевые вопросы, на которые граф может помочь ответить |
|---|---|
| Цепочка фишинговых сообщений электронной почты с расширенным бизнес-контекстом | • Кто получил фишинговое письмо, кто щелкнул ссылки и какие щелчки были разрешены прокси-сервером? • Какие сообщения электронной почты указывают на один и тот же URL-адрес, показывая волны с использованием общей инфраструктуры? Следуйте вложению → скачайте → выполнения процесса → устройстве, чтобы отобразить цепочку из папки "Входящие" в компрометацию. |
| DNS C2 охотник за маяками | • Отображение активности между устройствами и предметной областью, которая демонстрирует поведение маяка (низкий интервал дисперсии и высокий охват по времени), отделяя автоматический трафик от просмотра пользователем. • Следуйте полной цепочке доказательств из запроса DNS устройства → → разрешенного IP-→ индикатора угрозы. |
| Обнаружение цепочки поведенческих атак | • Отображение всех IP-адресов или пользователей, которые касаются поведения, сопоставленного с 3 или более различными методами MITRE. • Следуйте полному пути от индикатора угрозы через соответствующий IP-адрес, а также все связанные с ними действия для каждого затронутого пользователя. |
| Повышение привилегий OAuth | • Показать субъекты-службы, которые предоставили разрешения себе, а затем связали эти разрешения для достижения роли каталога нулевого уровня. Подпись цикла самостоятельной эскалации. |
Создание пользовательских графов в Microsoft Sentinel
Записные книжки Jupyter в Microsoft Visual Studio Code используются для интерактивного создания и анализа пользовательских графов с данными в озере данных Microsoft Sentinel. Записные книжки предоставляются расширением Microsoft Sentinel Visual Studio Code, которое позволяет взаимодействовать с Microsoft Sentinel озера данных с помощью Python для Spark (PySpark). Дополнительные сведения о расширении Microsoft Sentinel Visual Studio Code см. в разделе Установка Visual Studio Code и расширение Microsoft Sentinel.
Пользовательские графы можно создавать с помощью искусственного интеллекта или путем написания собственного кода с помощью ссылки на поставщик графа Microsoft Sentinel для определения модели графа (узлов и ребер), преобразования данных из озера данных Sentinel, а также использования языка запросов Graph (GQL) для запроса и анализа графов. Дополнительные сведения см. в статье Создание пользовательских графов с помощью ИИ в Microsoft Sentinel, справочник по поставщику графов Microsoft Sentinel и справочник по языку запросов графа (GQL) для Sentinel пользовательского графа.
После создания кода графа в записной книжке можно запустить записную книжку в интерактивном сеансе или запланировать задание графа. Графики, созданные во время интерактивного сеанса записной книжки, являются временными и доступны только в контексте сеанса записной книжки. Чтобы материализовать граф и предоставить общий доступ к команде, запланируйте задание графа для частого перестроения графа. После материализации граф становится доступным из интерфейса графа на портале Microsoft Defender в разделе Sentinel, Visual Studio Code Записные книжки и API запросов Graph.
В следующей таблице приведены шаги по созданию пользовательских графов в Microsoft Sentinel.
| Шаг | Описание |
|---|---|
| 1. Создание и изучение графа в интерактивном сеансе записной книжки | • Записные книжки Jupyter в Sentinel предоставляют интерактивную среду для изучения и анализа данных в Sentinel Lake. — Расширение Microsoft Sentinel включает библиотеку Python построителя графов. • Используйте записную книжку Jupyter в Sentinel для определения узлов и ребер с данными Lake и создания графов. • Библиотека построителя графов позволяет запрашивать граф с помощью языка запросов Графа (GQL) в записной книжке Jupyter Graph. |
| 2. Планирование задания графа для материализации графа | • Материализируйте граф в клиенте для дальнейшего доступа и совместной работы. • Используйте задания Sentinel, чтобы настроить частоту обновления материализованного графа с помощью данных Lake. • Запрашивать и визуализировать материализованные графы в интерфейсе графа в Microsoft Sentinel. |
| 3. Выполнение расширенных алгоритмов графа | • Используйте записные книжки Jupyter для доступа к встроенной поддержке аналитики GraphFrames и функций обхода графов. • Используйте специально созданные Sentinel графовые алгоритмы для распространенных вариантов использования безопасности. |
Подробные инструкции по созданию пользовательских графов в Microsoft Sentinel см. в разделе Пользовательские графы в Microsoft Sentinel.
Визуализация графов в Microsoft Sentinel
Microsoft Sentinel предоставляет несколько вариантов визуализации графов, включая интерфейс графов Microsoft Sentinel, записные книжки Jupyter в расширении Sentinel Visual Studio Code. Интерфейс графа позволяет выполнять запросы языка запросов Graph (GQL), просматривать схему графа, визуализировать граф, просматривать результаты графа в табличном формате и интерактивно перемещаться по графу до следующего прыжка простым щелчком.
Дополнительные сведения о визуализации графов в Microsoft Sentinel с помощью Sentinel графа см. в разделе Визуализация графов в Microsoft Sentinel графе (предварительная версия).