Del via


Oversigt over skemaer og operatorer

Grafskemaer for eksponering i virksomheder i Microsoft Security Exposure Management levere oplysninger om angrebsoverfladen for at hjælpe dig med at forstå, hvordan potentielle trusler kan nå ud til og kompromittere værdifulde aktiver. I denne artikel opsummeres skematabeller og operatorer for eksponeringsgrafen.

Skematabeller

Eksponeringsgrafen er afhængig af følgende tabeller:

  • ExposureGraphNodes
  • ExposureGraphEdges

ExposureGraphNodes

ExposureGraphNodes indeholder organisationsenheder og deres egenskaber. Disse omfatter enheder som enheder, identiteter, brugergrupper og cloudaktiver, f.eks. virtuelle maskiner (VM'er), lager og objektbeholdere. Hver node svarer til et individuelt objekt og indkapsler oplysninger om dens egenskaber, attributter og sikkerhedsrelaterede indsigt i organisationsstrukturen.

Følgende er Kolonnenavne, typer og beskrivelser for ExposureGraphNodes :

  • NodeId (string) – Et entydigt node-id. Eksempel: "650d6aa0-10a5-587e-52f4-280bfc014a08"
  • NodeLabel (string)- Nodemærkaten. Eksempler: "microsoft.compute/virtualmachines", "elasticloadbalancing.loadbalancer"
  • NodeName (string)- Det viste navn på noden. Eksempel: "nlb-test" (et navn på en netværksbelastningsjustering)
  • Categories (Dynamic (json)) - Nodens kategorier. Eksempel:
[
  "compute",
  "virtual_machine"
] 
  • NodeProperties (Dynamic (json)) – Egenskaber for noden, herunder indsigt, der er relateret til ressourcen, f.eks. om ressourcen er eksponeret for internettet eller sårbar over for fjernkørsel af kode. Værdier er i rå dataformat (ustruktureret). Eksempel:
{   
"rawData": {
"osType": "linux",   
"exposed to the internet": 
{     
"routes": [ { … } ]   
}
} 
}
  • EntityIds (Dynamic (json)) – Alle kendte node-id'er. Eksempel:
{ 
"AzureResourceId": "A1",  
"MdeMachineId": "M1", 
}

ExposureGraphEdges

Skemaet ExposureGraphEdges giver sammen med det komplementerende ExposureGraphNodes-skema indblik i relationer mellem objekter og aktiver i grafen. Mange jagtscenarier kræver udforskning af objektrelationer og angrebsstier. Når du f.eks. jagter enheder, der eksponeres for en bestemt kritisk sårbarhed, kan viden om relationen mellem enheder afdække vigtige organisatoriske aktiver.

Følgende er kolonnenavne, navne og beskrivelser for ExposureGraphEdges :

  • EdgeId (string) – Det entydige id for relationen/kanten.
  • EdgeLabel (string) – Kantnavnet. Eksempler: "påvirker", "dirigerer trafik til", "kører", og "indeholder". Du kan få vist en liste over kantmærkater ved at forespørge på grafen. Du kan få flere oplysninger under Vis alle kantmærkater i din lejer.
  • SourceNodeId (string) – Node-id for kantens kilde. Eksempel: "12346aa0-10a5-587e-52f4-280bfc014a08"
  • SourceNodeName (string) – Det viste navn på kildenoden. Eksempel: "mdvmaas-win-123"
  • SourceNodeLabel (string) – Kildenodenavnet. Eksempel: "microsoft.compute/virtualmachines"
  • SourceNodeCategories (Dynamic (json)) – Kategorilisten for kildenoden.
  • TargetNodeId (string) – Node-id'et for kantens mål. Eksempel: "45676aa0-10a5-587e-52f4-280bfc014a08"
  • TargetNodeName (string) – Vist navn på destinationsnoden. Eksempel: gke-test-cluster-1
  • TargetNodeLabel (string) – Destinationsnodenavnet. Eksempel: "compute.instances"
  • TargetNodeCategories (Dynamic (json)) – Kategorilisten for destinationsnoden.
  • EdgeProperties (Dynamic (json)) – Valgfrie data, der er relevante for relationen mellem noderne. Eksempel: For EdgeLabel "ruterne trafik til" med EdgeProperties skal networkReachabilitydu angive oplysninger om de port- og protokolområder, der bruges til at overføre trafik fra punkt A til B.
{   
 "rawData": {
  "networkReachability": {
    "type": "NetworkReachability",
    "routeRules": [
      {
        "portRanges": [
          "8083"
        ],
        "protocolRanges": [
          "6"
        ]
      },
      {
        "portRanges": [
          "80"
        ],
        "protocolRanges": [
          "6"
        ]
      },
      {
        "portRanges": [
          "443"
        ],
        "protocolRanges": [
          "6"
        ]
      }
    ]
  }
}
}

Graf KQL-operatorer (Kusto Query Language)

Microsoft Security Exposure Management er afhængig af eksponeringsgraftabeller og entydige eksponeringsgrafoperatorer for at muliggøre handlinger over grafstrukturer. Grafen er baseret på tabeldata ved hjælp af operatoren make-graph og forespørges derefter ved hjælp af grafoperatorer.

Make-graph-operatoren

opretter make-graph operator en grafstruktur ud fra input i tabelformat af kanter og noder. Du kan få flere oplysninger om brugen og syntaksen i make-graph-operatoren.

Operatoren graph-match

Operatoren graph-match søger efter alle forekomster af et grafmønster i en inputgrafkilde. Du kan finde flere oplysninger under graph-match-operator.

Næste trin

Forespørg i grafen over virksomhedseksponering.