Jaa


Rakenteiden ja operaattoreiden yleiskatsaus

Yritysten altistumiskaaviorakenteet Microsoft-suojauksen altistumishallinta tarjoavat hyökkäyksen pintatietoja, joiden avulla ymmärrät, miten mahdolliset uhat voivat saavuttaa arvokkaita resursseja ja vaarantaa ne. Tässä artikkelissa on yhteenveto altistuskaavion rakenteen taulukoista ja operaattoreista.

Rakennetaulukot

Altistumiskaavio perustuu seuraaviin taulukoihin:

  • ExposureGraphNodes
  • ExposureGraphEdges

ExposureGraphNodes

ExposureGraphNodes sisältää organisaation entiteettejä ja niiden ominaisuuksia. Näitä ovat esimerkiksi entiteetit, kuten laitteet, käyttäjätiedot, käyttäjäryhmät ja pilviresurssit, kuten näennäiskoneet, tallennustila ja säilöt. Jokainen solmu vastaa yksittäistä entiteettiä ja kapseloi tiedot sen ominaisuuksista, määritteistä ja tietoturvaan liittyvistä merkityksellisistä tiedoista organisaation rakenteessa.

Seuraavat ovat ExposureGraphNodes-sarakkeiden nimet, tyypit ja kuvaukset:

  • NodeId (string) – Yksilöllinen solmun tunniste. Esimerkki: "650d6aa0-10a5-587e-52f4-280bfc014a08"
  • NodeLabel (string)- Solmun otsikko. Esimerkkejä: "microsoft.compute/virtualmachines", "elasticloadbalancing.loadbalancer"
  • NodeName (string)- Solmun näyttönimi. Esimerkki: "nlb-test" (verkon kuormituksentasaimen nimi)
  • Categories (Dynamic (json)) - Solmun luokat. Esimerkki:
[
  "compute",
  "virtual_machine"
] 
  • NodeProperties (Dynamic (json)) – Solmun ominaisuudet, mukaan lukien resurssiin liittyvät merkitykselliset tiedot, kuten se, onko resurssi alttiina Internetille vai alttiina koodin etäsuorittamiselle. Arvot ovat raakatietomuodossa (rakenteeton). Esimerkki:
{   
"rawData": {
"osType": "linux",   
"exposed to the internet": 
{     
"routes": [ { … } ]   
}
} 
}
  • EntityIds (Dynamic (json)) – Kaikki tunnetut solmutunnisteet. Esimerkki:
{ 
"AzureResourceId": "A1",  
"MdeMachineId": "M1", 
}

ExposureGraphEdges

ExposureGraphEdges-rakenne ja täydentävä ExposureGraphNodes-rakenne tarjoavat näkyvyyden kaavion entiteettien ja resurssien välisiin suhteisiin. Monet metsästysskenaariot edellyttävät entiteettisuhteiden ja hyökkäyspolkujen tutkimista. Kun esimerkiksi metsästät laitteita, jotka ovat alttiina tietylle kriittiselle haavoittuvuudelle, entiteettien välisen suhteen tunteminen voi paljastaa kriittisiä organisaatioresursseja.

Seuraavat ovat ExposureGraphEdges-sarakkeiden nimet, otsikot ja kuvaukset:

  • EdgeId (string) – Suhteen/reunan yksilöllinen tunniste.
  • EdgeLabel (string) - Reunan selite. Esimerkkejä: "vaikuttaa", "reitittää liikenteen kohteeseen", "on käynnissä" ja "sisältää". Voit tarkastella reunaotsikoiden luetteloa tekemällä kyselyn kaavioon. Lisätietoja on artikkelissa Luetteloi kaikki vuokraajan reunaotsikot.
  • SourceNodeId (string) – Edgen lähteen solmutunnus. Esimerkki: "12346aa0-10a5-587e-52f4-280bfc014a08"
  • SourceNodeName (string) - Lähdesolmun näyttönimi. Esimerkki: "mdvmaas-win-123"
  • SourceNodeLabel (string) - Lähdesolmun otsikko. Esimerkki: "microsoft.compute/virtualmachines"
  • SourceNodeCategories (Dynamic (json)) – Lähdesolmun luokkaluettelo.
  • TargetNodeId (string) – Reunan kohteen solmutunnus. Esimerkki: "45676aa0-10a5-587e-52f4-280bfc014a08"
  • TargetNodeName (string) - Kohdesolmun näyttönimi. Esimerkki: gke-test-cluster-1
  • TargetNodeLabel (string) - Kohdesolmun otsikko. Esimerkki: "compute.instances"
  • TargetNodeCategories (Dynamic (json)) - Kohdesolmun luokkaluettelo.
  • EdgeProperties (Dynamic (json)) – Solmujen suhteeseen liittyvät valinnaiset tiedot. Esimerkki: "EdgeLabelreitittää liikenteen kohteeseen" kohteen kanssanetworkReachabilityEdgeProperties, anna tietoja portista ja protokollaalueista, joita käytetään liikenteen siirtämiseen pisteestä A kohteeseen B.
{   
 "rawData": {
  "networkReachability": {
    "type": "NetworkReachability",
    "routeRules": [
      {
        "portRanges": [
          "8083"
        ],
        "protocolRanges": [
          "6"
        ]
      },
      {
        "portRanges": [
          "80"
        ],
        "protocolRanges": [
          "6"
        ]
      },
      {
        "portRanges": [
          "443"
        ],
        "protocolRanges": [
          "6"
        ]
      }
    ]
  }
}
}

Graph Kusto Query Language (KQL) -operaattorit

Microsoft-suojauksen altistumishallinta käyttää altistuskaaviotaulukoita ja ainutlaatuisia altistuskaavio-operaattoreita mahdollistaakseen toiminnan kaaviorakenteissa. Kaavio luodaan taulukkomuotoisista tiedoista -operaattorin make-graph avulla, ja siihen tehdään kyselyjä kaavio-operaattoreilla.

Make-graph-operaattori

Muodostaa make-graph operator kaaviorakenteen reunojen ja solmujen taulukkomuotoisista syötistä. Lisätietoja sen käytöstä ja syntaksista on kohdassa Make-graph-operaattori.

Kaaviovastaavuusoperaattori

Operaattori graph-match etsii kaikki syötteen kaavion lähteen kaaviokuvion esiintymät. Lisätietoja on kohdassa graph-match-operaattori.

Seuraavat vaiheet

Tee kysely yrityksen altistumiskaaviosta.