Übersicht über Schemas und Operatoren
Diagrammschemas für Unternehmensexpositionsdiagramme in Microsoft Security Exposure Management Informationen zur Angriffsfläche bereitstellen, damit Sie verstehen können, wie potenzielle Bedrohungen wertvolle Ressourcen erreichen und kompromittieren können. In diesem Artikel werden die Schematabellen und Operatoren des Expositionsdiagramms zusammengefasst.
Schematabellen
Das Belichtungsdiagramm basiert auf den folgenden Tabellen:
- ExposureGraphNodes
- ExposureGraphEdges
ExposureGraphNodes
ExposureGraphNodes enthält Organisationsentitäten und deren Eigenschaften. Dazu gehören Entitäten wie Geräte, Identitäten, Benutzergruppen und Cloudressourcen wie virtuelle Computer (VMs), Speicher und Container. Jeder Knoten entspricht einer einzelnen Entität und kapselt Informationen zu ihren Merkmalen, Attributen und sicherheitsbezogenen Erkenntnissen innerhalb der Organisationsstruktur.
Im Folgenden sind ExposureGraphNodes-Spaltennamen , -Typen und -Beschreibungen aufgeführt:
-
NodeId
(string
) – Ein eindeutiger Knotenbezeichner. Beispiel: "650d6aa0-10a5-587e-52f4-280bfc014a08" -
NodeLabel
(string
): Die Knotenbezeichnung. Beispiele: "microsoft.compute/virtualmachines", "elasticloadbalancing.loadbalancer" -
NodeName
(string
): Der Anzeigename des Knotens. Beispiel: "nlb-test" (Name eines Netzwerklastenausgleichs) -
Categories
(Dynamic
(json)) – Die Kategorien des Knotens. Beispiel:
[
"compute",
"virtual_machine"
]
-
NodeProperties
(Dynamic
(json)) – Eigenschaften des Knotens, einschließlich Erkenntnissen im Zusammenhang mit der Ressource, z. B. ob die Ressource für das Internet verfügbar gemacht wird oder anfällig für Remotecodeausführung ist. Die Werte liegen im Rohdatenformat (unstrukturiert) vor. Beispiel:
{
"rawData": {
"osType": "linux",
"exposed to the internet":
{
"routes": [ { … } ]
}
}
}
- EntityIds (
Dynamic
(json)): Alle bekannten Knotenbezeichner. Beispiel:
{
"AzureResourceId": "A1",
"MdeMachineId": "M1",
}
ExposureGraphEdges
Das ExposureGraphEdges-Schema bietet zusammen mit dem ergänzenden ExposureGraphNodes-Schema Einblick in die Beziehungen zwischen Entitäten und Ressourcen im Diagramm. Viele Huntingszenarien erfordern die Untersuchung von Entitätsbeziehungen und Angriffspfaden. Wenn Sie beispielsweise nach Geräten suchen, die einem bestimmten kritischen Sicherheitsrisiko ausgesetzt sind, kann die Kenntnis der Beziehung zwischen Entitäten kritische Organisationsressourcen aufdecken.
Im Folgenden sind ExposureGraphEdges-Spaltennamen , Bezeichnungen und Beschreibungen aufgeführt:
-
EdgeId
(string
) – Der eindeutige Bezeichner für die Beziehung/den Edge. -
EdgeLabel
(string
) – Die Randbezeichnung. Beispiele: "auswirkungend", "leitet Datenverkehr an", "wird ausgeführt" und "enthält". Sie können eine Liste von Edgebeschriftungen anzeigen, indem Sie das Diagramm abfragen. Weitere Informationen finden Sie unter Auflisten aller Edgebezeichnungen in Ihrem Mandanten. -
SourceNodeId
(string
) – Knoten-ID der Edgequelle. Beispiel: "12346aa0-10a5-587e-52f4-280bfc014a08" -
SourceNodeName
(string
) – Der Anzeigename des Quellknotens. Beispiel: "mdvmaas-win-123" -
SourceNodeLabel
(string
) – Die Bezeichnung des Quellknotens. Beispiel: "microsoft.compute/virtualmachines" -
SourceNodeCategories
(Dynamic
(json)): Die Kategorienliste des Quellknotens. -
TargetNodeId
(string
) – Die Knoten-ID des Edgeziels. Beispiel: "45676aa0-10a5-587e-52f4-280bfc014a08" -
TargetNodeName
(string
) – Anzeigename des Zielknotens. Beispiel: gke-test-cluster-1 -
TargetNodeLabel
(string
) – Die Zielknotenbezeichnung. Beispiel: "compute.instances" -
TargetNodeCategories
(Dynamic
(json)) – Die Kategorienliste des Zielknotens. -
EdgeProperties
(Dynamic
(json)) – Optionale Daten, die für die Beziehung zwischen den Knoten relevant sind. Beispiel: Geben Sie für "EdgeLabel
Routes traffic to" mitEdgeProperties
vonnetworkReachability
Informationen zu den Port- und Protokollbereichen an, die zum Übertragen von Datenverkehr von Punkt A nach B verwendet werden.
{
"rawData": {
"networkReachability": {
"type": "NetworkReachability",
"routeRules": [
{
"portRanges": [
"8083"
],
"protocolRanges": [
"6"
]
},
{
"portRanges": [
"80"
],
"protocolRanges": [
"6"
]
},
{
"portRanges": [
"443"
],
"protocolRanges": [
"6"
]
}
]
}
}
}
KQL-Operatoren (Graph Kusto-Abfragesprache)
Microsoft Security Exposure Management basiert auf Belichtungsdiagrammtabellen und eindeutigen Belichtungsdiagrammoperatoren, um Vorgänge über Graphstrukturen zu ermöglichen. Das Diagramm wird mithilfe des make-graph
-Operators aus tabellarischen Daten erstellt und dann mithilfe von Graphoperatoren abgefragt.
Der Make-Graph-Operator
Erstellt make-graph operator
eine Graphstruktur aus tabellarischen Eingaben von Kanten und Knoten. Weitere Informationen zur Verwendung und Syntax finden Sie unter Make-Graph-Operator.
Der Graph-Match-Operator
Der graph-match
Operator sucht nach allen Vorkommen eines Graphmusters in einer Eingabegraphquelle. Weitere Informationen finden Sie unter Graph-Match-Operator.