Oversigt over skemaer og operatorer
Grafskemaer for eksponering i virksomheder i Microsoft Security Exposure Management levere oplysninger om angrebsoverfladen for at hjælpe dig med at forstå, hvordan potentielle trusler kan nå ud til og kompromittere værdifulde aktiver. I denne artikel opsummeres skematabeller og operatorer for eksponeringsgrafen.
Skematabeller
Eksponeringsgrafen er afhængig af følgende tabeller:
- ExposureGraphNodes
- ExposureGraphEdges
ExposureGraphNodes
ExposureGraphNodes indeholder organisationsenheder og deres egenskaber. Disse omfatter enheder som enheder, identiteter, brugergrupper og cloudaktiver, f.eks. virtuelle maskiner (VM'er), lager og objektbeholdere. Hver node svarer til et individuelt objekt og indkapsler oplysninger om dens egenskaber, attributter og sikkerhedsrelaterede indsigt i organisationsstrukturen.
Følgende er Kolonnenavne, typer og beskrivelser for ExposureGraphNodes :
-
NodeId
(string
) – Et entydigt node-id. Eksempel: "650d6aa0-10a5-587e-52f4-280bfc014a08" -
NodeLabel
(string
)- Nodemærkaten. Eksempler: "microsoft.compute/virtualmachines", "elasticloadbalancing.loadbalancer" -
NodeName
(string
)- Det viste navn på noden. Eksempel: "nlb-test" (et navn på en netværksbelastningsjustering) -
Categories
(Dynamic
(json)) - Nodens kategorier. Eksempel:
[
"compute",
"virtual_machine"
]
-
NodeProperties
(Dynamic
(json)) – Egenskaber for noden, herunder indsigt, der er relateret til ressourcen, f.eks. om ressourcen er eksponeret for internettet eller sårbar over for fjernkørsel af kode. Værdier er i rå dataformat (ustruktureret). Eksempel:
{
"rawData": {
"osType": "linux",
"exposed to the internet":
{
"routes": [ { … } ]
}
}
}
- EntityIds (
Dynamic
(json)) – Alle kendte node-id'er. Eksempel:
{
"AzureResourceId": "A1",
"MdeMachineId": "M1",
}
ExposureGraphEdges
Skemaet ExposureGraphEdges giver sammen med det komplementerende ExposureGraphNodes-skema indblik i relationer mellem objekter og aktiver i grafen. Mange jagtscenarier kræver udforskning af objektrelationer og angrebsstier. Når du f.eks. jagter enheder, der eksponeres for en bestemt kritisk sårbarhed, kan viden om relationen mellem enheder afdække vigtige organisatoriske aktiver.
Følgende er kolonnenavne, navne og beskrivelser for ExposureGraphEdges :
-
EdgeId
(string
) – Det entydige id for relationen/kanten. -
EdgeLabel
(string
) – Kantnavnet. Eksempler: "påvirker", "dirigerer trafik til", "kører", og "indeholder". Du kan få vist en liste over kantmærkater ved at forespørge på grafen. Du kan få flere oplysninger under Vis alle kantmærkater i din lejer. -
SourceNodeId
(string
) – Node-id for kantens kilde. Eksempel: "12346aa0-10a5-587e-52f4-280bfc014a08" -
SourceNodeName
(string
) – Det viste navn på kildenoden. Eksempel: "mdvmaas-win-123" -
SourceNodeLabel
(string
) – Kildenodenavnet. Eksempel: "microsoft.compute/virtualmachines" -
SourceNodeCategories
(Dynamic
(json)) – Kategorilisten for kildenoden. -
TargetNodeId
(string
) – Node-id'et for kantens mål. Eksempel: "45676aa0-10a5-587e-52f4-280bfc014a08" -
TargetNodeName
(string
) – Vist navn på destinationsnoden. Eksempel: gke-test-cluster-1 -
TargetNodeLabel
(string
) – Destinationsnodenavnet. Eksempel: "compute.instances" -
TargetNodeCategories
(Dynamic
(json)) – Kategorilisten for destinationsnoden. -
EdgeProperties
(Dynamic
(json)) – Valgfrie data, der er relevante for relationen mellem noderne. Eksempel: ForEdgeLabel
"ruterne trafik til" medEdgeProperties
skalnetworkReachability
du angive oplysninger om de port- og protokolområder, der bruges til at overføre trafik fra punkt A til B.
{
"rawData": {
"networkReachability": {
"type": "NetworkReachability",
"routeRules": [
{
"portRanges": [
"8083"
],
"protocolRanges": [
"6"
]
},
{
"portRanges": [
"80"
],
"protocolRanges": [
"6"
]
},
{
"portRanges": [
"443"
],
"protocolRanges": [
"6"
]
}
]
}
}
}
Graf KQL-operatorer (Kusto Query Language)
Microsoft Security Exposure Management er afhængig af eksponeringsgraftabeller og entydige eksponeringsgrafoperatorer for at muliggøre handlinger over grafstrukturer. Grafen er baseret på tabeldata ved hjælp af operatoren make-graph
og forespørges derefter ved hjælp af grafoperatorer.
Make-graph-operatoren
opretter make-graph operator
en grafstruktur ud fra input i tabelformat af kanter og noder. Du kan få flere oplysninger om brugen og syntaksen i make-graph-operatoren.
Operatoren graph-match
Operatoren graph-match
søger efter alle forekomster af et grafmønster i en inputgrafkilde. Du kan finde flere oplysninger under graph-match-operator.