Compartir a través de

Introducción a los esquemas y operadores

  • Artículo

Los esquemas de grafos de exposición empresarial en Administración de exposición de seguridad Microsoft proporcionan información sobre la superficie expuesta a ataques, para ayudarle a comprender cómo podrían llegar las posibles amenazas a activos valiosos y poner en peligro los recursos. En este artículo se resumen los operadores y tablas de esquema de gráficos de exposición.

Tablas del esquema

El gráfico de exposición se basa en las tablas siguientes:

  • ExposureGraphNodes
  • ExposureGraphEdges

ExposureGraphNodes

ExposureGraphNodes contiene entidades organizativas y sus propiedades. Entre ellas se incluyen entidades como dispositivos, identidades, grupos de usuarios y recursos en la nube, como máquinas virtuales , almacenamiento y contenedores. Cada nodo corresponde a una entidad individual y encapsula información sobre sus características, atributos e información relacionada con la seguridad dentro de la estructura organizativa.

A continuación se muestran los nombres de columna, tipos y descripciones de ExposureGraphNodes :

  • NodeId (string) - Un identificador de nodo único. Ejemplo: "650d6aaa0-10a5-587e-52f4-280bfc014a08"
  • NodeLabel (string)- La etiqueta del nodo. Ejemplos: "microsoft.compute/virtualmachines", "elasticloadbalancing.loadbalancer"
  • NodeName (string)- Nombre para mostrar del nodo. Ejemplo: "nlb-test" (un nombre de equilibrador de carga de red)
  • Categories (Dynamic (json)): las categorías del nodo. Ejemplo:
[
  "compute",
  "virtual_machine"
]
  • NodeProperties (Dynamic (json)): propiedades del nodo, incluida la información relacionada con el recurso, como si el recurso se expone a Internet o es vulnerable a la ejecución remota de código. Los valores están en formato de datos sin procesar (no estructurados). Ejemplo:
{   
"rawData": {
"osType": "linux",   
"exposed to the internet": 
{     
"routes": [ { … } ]   
}
} 
}
  • EntityIds (Dynamic (json)): todos los identificadores de nodo conocidos. Ejemplo:
{ 
"AzureResourceId": "A1",  
"MdeMachineId": "M1", 
}

ExposureGraphEdges

El esquema ExposureGraphEdges , junto con el esquema ExposureGraphNodes complementario, proporciona visibilidad sobre las relaciones entre entidades y recursos en el gráfico. Muchos escenarios de búsqueda requieren la exploración de las relaciones de entidad y las rutas de acceso de ataque. Por ejemplo, al buscar dispositivos expuestos a una vulnerabilidad crítica específica, conocer la relación entre entidades puede descubrir recursos de la organización críticos.

A continuación se muestran los nombres de columna, las etiquetas y las descripciones de ExposureGraphEdges :

  • EdgeId (string) - El identificador único de la relación/borde.
  • EdgeLabel (string) - La etiqueta perimetral. Ejemplos: "que afecta", "enruta el tráfico a", "está en ejecución" y "contiene". Puede ver una lista de etiquetas perimetrales consultando el gráfico. Para obtener más información, vea Enumerar todas las etiquetas perimetrales del inquilino.
  • SourceNodeId (string) - Id. de nodo del origen del perímetro. Ejemplo: "12346aaa0-10a5-587e-52f4-280bfc014a08"
  • SourceNodeName (string) - Nombre para mostrar del nodo de origen. Ejemplo: "mdvmaas-win-123"
  • SourceNodeLabel (string) : la etiqueta del nodo de origen. Ejemplo: "microsoft.compute/virtualmachines"
  • SourceNodeCategories (Dynamic (json)): lista de categorías del nodo de origen.
  • TargetNodeId (string) - El identificador de nodo del destino del perímetro. Ejemplo: "45676aaa0-10a5-587e-52f4-280bfc014a08"
  • TargetNodeName (string) - Nombre para mostrar del nodo de destino. Ejemplo: gke-test-cluster-1
  • TargetNodeLabel (string) - La etiqueta del nodo de destino. Ejemplo: "compute.instances"
  • TargetNodeCategories (Dynamic (json)): lista de categorías del nodo de destino.
  • EdgeProperties (Dynamic (json)): datos opcionales pertinentes para la relación entre los nodos. Ejemplo: para "enrutar el EdgeLabel tráfico a" con EdgeProperties de networkReachability, proporcione información sobre los intervalos de puertos y protocolos que se usan para transferir el tráfico del punto A a B.
{   
 "rawData": {
  "networkReachability": {
    "type": "NetworkReachability",
    "routeRules": [
      {
        "portRanges": [
          "8083"
        ],
        "protocolRanges": [
          "6"
        ]
      },
      {
        "portRanges": [
          "80"
        ],
        "protocolRanges": [
          "6"
        ]
      },
      {
        "portRanges": [
          "443"
        ],
        "protocolRanges": [
          "6"
        ]
      }
    ]
  }
}
}

Operadores de Graph Lenguaje de consulta Kusto (KQL)

Administración de exposición de seguridad Microsoft se basa en tablas de gráficos de exposición y operadores de grafos de exposición únicos para habilitar las operaciones sobre estructuras de grafos. El gráfico se compila a partir de datos tabulares mediante el make-graph operador y, a continuación, se consulta mediante operadores de grafo.

Operador make-graph

make-graph operator crea una estructura de grafo a partir de entradas tabulares de bordes y nodos. Para obtener más información sobre su uso y su sintaxis, consulte operador make-graph.

Operador graph-match

El graph-match operador busca todas las repeticiones de un patrón de gráfico en un origen de grafo de entrada. Para obtener más información, vea operador graph-match.

Pasos siguientes

Consulte el gráfico de exposición empresarial.