Rakenteiden ja operaattoreiden yleiskatsaus
Yritysten altistumiskaaviorakenteet Microsoft-suojauksen altistumishallinta tarjoavat hyökkäyksen pintatietoja, joiden avulla ymmärrät, miten mahdolliset uhat voivat saavuttaa arvokkaita resursseja ja vaarantaa ne. Tässä artikkelissa on yhteenveto altistuskaavion rakenteen taulukoista ja operaattoreista.
Rakennetaulukot
Altistumiskaavio perustuu seuraaviin taulukoihin:
- ExposureGraphNodes
- ExposureGraphEdges
ExposureGraphNodes
ExposureGraphNodes sisältää organisaation entiteettejä ja niiden ominaisuuksia. Näitä ovat esimerkiksi entiteetit, kuten laitteet, käyttäjätiedot, käyttäjäryhmät ja pilviresurssit, kuten näennäiskoneet, tallennustila ja säilöt. Jokainen solmu vastaa yksittäistä entiteettiä ja kapseloi tiedot sen ominaisuuksista, määritteistä ja tietoturvaan liittyvistä merkityksellisistä tiedoista organisaation rakenteessa.
Seuraavat ovat ExposureGraphNodes-sarakkeiden nimet, tyypit ja kuvaukset:
-
NodeId
(string
) – Yksilöllinen solmun tunniste. Esimerkki: "650d6aa0-10a5-587e-52f4-280bfc014a08" -
NodeLabel
(string
)- Solmun otsikko. Esimerkkejä: "microsoft.compute/virtualmachines", "elasticloadbalancing.loadbalancer" -
NodeName
(string
)- Solmun näyttönimi. Esimerkki: "nlb-test" (verkon kuormituksentasaimen nimi) -
Categories
(Dynamic
(json)) - Solmun luokat. Esimerkki:
[
"compute",
"virtual_machine"
]
-
NodeProperties
(Dynamic
(json)) – Solmun ominaisuudet, mukaan lukien resurssiin liittyvät merkitykselliset tiedot, kuten se, onko resurssi alttiina Internetille vai alttiina koodin etäsuorittamiselle. Arvot ovat raakatietomuodossa (rakenteeton). Esimerkki:
{
"rawData": {
"osType": "linux",
"exposed to the internet":
{
"routes": [ { … } ]
}
}
}
- EntityIds (
Dynamic
(json)) – Kaikki tunnetut solmutunnisteet. Esimerkki:
{
"AzureResourceId": "A1",
"MdeMachineId": "M1",
}
ExposureGraphEdges
ExposureGraphEdges-rakenne ja täydentävä ExposureGraphNodes-rakenne tarjoavat näkyvyyden kaavion entiteettien ja resurssien välisiin suhteisiin. Monet metsästysskenaariot edellyttävät entiteettisuhteiden ja hyökkäyspolkujen tutkimista. Kun esimerkiksi metsästät laitteita, jotka ovat alttiina tietylle kriittiselle haavoittuvuudelle, entiteettien välisen suhteen tunteminen voi paljastaa kriittisiä organisaatioresursseja.
Seuraavat ovat ExposureGraphEdges-sarakkeiden nimet, otsikot ja kuvaukset:
-
EdgeId
(string
) – Suhteen/reunan yksilöllinen tunniste. -
EdgeLabel
(string
) - Reunan selite. Esimerkkejä: "vaikuttaa", "reitittää liikenteen kohteeseen", "on käynnissä" ja "sisältää". Voit tarkastella reunaotsikoiden luetteloa tekemällä kyselyn kaavioon. Lisätietoja on artikkelissa Luetteloi kaikki vuokraajan reunaotsikot. -
SourceNodeId
(string
) – Edgen lähteen solmutunnus. Esimerkki: "12346aa0-10a5-587e-52f4-280bfc014a08" -
SourceNodeName
(string
) - Lähdesolmun näyttönimi. Esimerkki: "mdvmaas-win-123" -
SourceNodeLabel
(string
) - Lähdesolmun otsikko. Esimerkki: "microsoft.compute/virtualmachines" -
SourceNodeCategories
(Dynamic
(json)) – Lähdesolmun luokkaluettelo. -
TargetNodeId
(string
) – Reunan kohteen solmutunnus. Esimerkki: "45676aa0-10a5-587e-52f4-280bfc014a08" -
TargetNodeName
(string
) - Kohdesolmun näyttönimi. Esimerkki: gke-test-cluster-1 -
TargetNodeLabel
(string
) - Kohdesolmun otsikko. Esimerkki: "compute.instances" -
TargetNodeCategories
(Dynamic
(json)) - Kohdesolmun luokkaluettelo. -
EdgeProperties
(Dynamic
(json)) – Solmujen suhteeseen liittyvät valinnaiset tiedot. Esimerkki: "EdgeLabel
reitittää liikenteen kohteeseen" kohteen kanssanetworkReachability
EdgeProperties
, anna tietoja portista ja protokollaalueista, joita käytetään liikenteen siirtämiseen pisteestä A kohteeseen B.
{
"rawData": {
"networkReachability": {
"type": "NetworkReachability",
"routeRules": [
{
"portRanges": [
"8083"
],
"protocolRanges": [
"6"
]
},
{
"portRanges": [
"80"
],
"protocolRanges": [
"6"
]
},
{
"portRanges": [
"443"
],
"protocolRanges": [
"6"
]
}
]
}
}
}
Graph Kusto Query Language (KQL) -operaattorit
Microsoft-suojauksen altistumishallinta käyttää altistuskaaviotaulukoita ja ainutlaatuisia altistuskaavio-operaattoreita mahdollistaakseen toiminnan kaaviorakenteissa. Kaavio luodaan taulukkomuotoisista tiedoista -operaattorin make-graph
avulla, ja siihen tehdään kyselyjä kaavio-operaattoreilla.
Make-graph-operaattori
Muodostaa make-graph operator
kaaviorakenteen reunojen ja solmujen taulukkomuotoisista syötistä. Lisätietoja sen käytöstä ja syntaksista on kohdassa Make-graph-operaattori.
Kaaviovastaavuusoperaattori
Operaattori graph-match
etsii kaikki syötteen kaavion lähteen kaaviokuvion esiintymät. Lisätietoja on kohdassa graph-match-operaattori.