Sdílet prostřednictvím

Přehled schémat a operátorů

  • Článek

Schémata grafů podnikové expozice v Správa míry rizika zabezpečení od Microsoftu poskytují informace o potenciálních hrozbách, které vám pomůžou pochopit, jak mohou potenciální hrozby dosáhnout a ohrozit cenné prostředky. Tento článek shrnuje tabulky a operátory schématu grafu expozice.

Tabulky schématu

Graf expozice vychází z následujících tabulek:

  • ExposureGraphNodes
  • ExposureGraphEdges

ExposureGraphNodes

ExposureGraphNodes obsahuje organizační entity a jejich vlastnosti. Patří mezi ně entity, jako jsou zařízení, identity, skupiny uživatelů a cloudové prostředky, jako jsou virtuální počítače, úložiště a kontejnery. Každý uzel odpovídá individuální entitě a zapouzdřuje informace o jejích vlastnostech, atributech a přehledech souvisejících se zabezpečením v rámci organizační struktury.

Tady jsou názvy, typy a popisy sloupců ExposureGraphNodes :

  • NodeId (string) – jedinečný identifikátor uzlu. Příklad: "650d6aa0-10a5-587e-52f4-280bfc014a08"
  • NodeLabel (string)- Popisek uzlu. Příklady: "microsoft.compute/virtualmachines", "elasticloadbalancing.loadbalancer"
  • NodeName (string)- Zobrazovaný název uzlu. Příklad: nlb-test (název nástroje pro vyrovnávání zatížení sítě)
  • Categories (Dynamic (json)) – kategorie uzlu. Příklad:
[
  "compute",
  "virtual_machine"
]
  • NodeProperties (Dynamic (json)) – vlastnosti uzlu, včetně přehledů souvisejících s prostředkem, jako je například to, jestli je prostředek vystavený na internetu nebo zda je ohrožený vzdáleným spuštěním kódu. Hodnoty jsou ve formátu nezpracovaných dat (nestrukturované). Příklad:
{   
"rawData": {
"osType": "linux",   
"exposed to the internet": 
{     
"routes": [ { … } ]   
}
} 
}
  • EntityIds (Dynamic (json)) – všechny známé identifikátory uzlů. Příklad:
{ 
"AzureResourceId": "A1",  
"MdeMachineId": "M1", 
}

ExposureGraphEdges

Schéma ExposureGraphEdges spolu s doplňujícím schématem ExposureGraphNodes poskytuje přehled o vztazích mezi entitami a prostředky v grafu. Mnoho scénářů proaktivního vyhledávání vyžaduje prozkoumání vztahů entit a cest útoku. Například při vyhledávání zařízení vystavených konkrétní kritické chybě zabezpečení může znalost vztahu mezi entitami odhalit kritické prostředky organizace.

Tady jsou názvy, popisky a popisy sloupců ExposureGraphEdges :

  • EdgeId (string) – jedinečný identifikátor relace/hrany.
  • EdgeLabel (string) – Popisek okraje. Příklady: "ovlivňující", "směruje provoz do", "je spuštěno" a "obsahuje". Seznam popisků hran můžete zobrazit dotazem na graf. Další informace najdete v tématu Výpis všech popisků hraničních zařízení ve vašem tenantovi.
  • SourceNodeId (string) – ID uzlu zdroje hraničních zařízení. Příklad: "12346aa0-10a5-587e-52f4-280bfc014a08"
  • SourceNodeName (string) – zobrazovaný název zdrojového uzlu. Příklad: mdvmaas-win-123
  • SourceNodeLabel (string) – Popisek zdrojového uzlu. Příklad: microsoft.compute/virtualmachines
  • SourceNodeCategories (Dynamic (json)) – seznam kategorií zdrojového uzlu.
  • TargetNodeId (string) – ID uzlu cíle hraničního zařízení. Příklad: "45676aa0-10a5-587e-52f4-280bfc014a08"
  • TargetNodeName (string) – zobrazovaný název cílového uzlu. Příklad: gke-test-cluster-1
  • TargetNodeLabel (string) – Popisek cílového uzlu. Příklad: compute.instances
  • TargetNodeCategories (Dynamic (json)) – seznam kategorií cílového uzlu.
  • EdgeProperties (Dynamic (json)) – volitelná data relevantní pro vztah mezi uzly. Příklad: Pro EdgeLabel "směrování provozu do" s parametrem networkReachabilityEdgeProperties zadejte informace o rozsahech portů a protokolů, které se používají k přenosu provozu z bodu A do B.
{   
 "rawData": {
  "networkReachability": {
    "type": "NetworkReachability",
    "routeRules": [
      {
        "portRanges": [
          "8083"
        ],
        "protocolRanges": [
          "6"
        ]
      },
      {
        "portRanges": [
          "80"
        ],
        "protocolRanges": [
          "6"
        ]
      },
      {
        "portRanges": [
          "443"
        ],
        "protocolRanges": [
          "6"
        ]
      }
    ]
  }
}
}

Operátory KQL (Graph dotazovací jazyk Kusto)

Správa míry rizika zabezpečení od Microsoftu využívá grafové tabulky expozice a jedinečné operátory grafů expozice, které umožňují operace nad strukturami grafů. Graf se sestaví z tabulkových dat pomocí operátoru make-graph a pak se dotazuje pomocí operátorů grafu.

Vymýšlejte operátor

Sestaví make-graph operator strukturu grafu z tabulkových vstupů hran a uzlů. Další informace o jeho použití a syntaxi najdete v tématu operátor make-graph.

Operátor porovnávání grafu

Operátor graph-match vyhledá všechny výskyty vzoru grafu ve vstupním zdroji grafu. Další informace najdete v tématu operátor graph-match.

Další kroky

Zadejte dotaz na graf podnikové expozice.