Vue d’ensemble des schémas et des opérateurs
Les schémas de graphe d’exposition d’entreprise dans Sécurité Microsoft - Gestion de l’exposition fournissent des informations sur la surface d’attaque pour vous aider à comprendre comment les menaces potentielles peuvent atteindre et compromettre les ressources précieuses. Cet article résume les tables et opérateurs de schéma de graphe d’exposition.
Tableaux de schéma
Le graphique d’exposition s’appuie sur les tableaux suivants :
- ExposureGraphNodes
- ExposureGraphEdges
ExposureGraphNodes
ExposureGraphNodes contient des entités organisationnelles et leurs propriétés. Il s’agit notamment d’entités telles que les appareils, les identités, les groupes d’utilisateurs et les ressources cloud telles que les machines virtuelles, le stockage et les conteneurs. Chaque nœud correspond à une entité individuelle et encapsule des informations sur ses caractéristiques, ses attributs et ses insights liés à la sécurité au sein de la structure organisationnelle.
Voici les noms, types et descriptions des colonnes ExposureGraphNodes :
-
NodeId
(string
) : identificateur de nœud unique. Exemple : « 650d6aa0-10a5-587e-52f4-280bfc014a08 » -
NodeLabel
(string
)- Étiquette de nœud. Exemples : « microsoft.compute/virtualmachines », « elasticloadbalancing.loadbalancer » -
NodeName
(string
)- Nom complet du nœud. Exemple : « nlb-test » (nom d’équilibreur de charge réseau) -
Categories
(Dynamic
(json)) : catégories du nœud. Exemple :
[
"compute",
"virtual_machine"
]
-
NodeProperties
(Dynamic
(json)) : propriétés du nœud, y compris les insights liés à la ressource, par exemple si la ressource est exposée à Internet ou vulnérable à l’exécution de code à distance. Les valeurs sont au format de données brutes (non structurées). Exemple :
{
"rawData": {
"osType": "linux",
"exposed to the internet":
{
"routes": [ { … } ]
}
}
}
- EntityIds (
Dynamic
(json)) : tous les identificateurs de nœud connus. Exemple :
{
"AzureResourceId": "A1",
"MdeMachineId": "M1",
}
ExposureGraphEdges
Le schéma ExposureGraphEdges , ainsi que le schéma ExposureGraphNodes complémentaire, fournit une visibilité sur les relations entre les entités et les ressources dans le graphique. De nombreux scénarios de chasse nécessitent l’exploration des relations d’entité et des chemins d’attaque. Par exemple, lorsque vous recherchez des appareils exposés à une vulnérabilité critique spécifique, connaître la relation entre les entités peut révéler des ressources organisationnelles critiques.
Les noms, étiquettes et descriptions des colonnes ExposureGraphEdges sont les suivants :
-
EdgeId
(string
) : identificateur unique de la relation/arête. -
EdgeLabel
(string
) : étiquette d’arête. Exemples : « affectant », « route le trafic vers », « est en cours d’exécution » et « contient ». Vous pouvez afficher une liste d’étiquettes de bord en interrogeant le graphe. Pour plus d’informations, consultez Répertorier toutes les étiquettes de périphérie dans votre locataire. -
SourceNodeId
(string
) : ID de nœud de la source de l’arête. Exemple : « 12346aa0-10a5-587e-52f4-280bfc014a08 » -
SourceNodeName
(string
) : nom complet du nœud source. Exemple : « mdvmaas-win-123 » -
SourceNodeLabel
(string
) : étiquette du nœud source. Exemple : « microsoft.compute/virtualmachines » -
SourceNodeCategories
(Dynamic
(json)) : liste des catégories du nœud source. -
TargetNodeId
(string
) : ID de nœud de la cible de l’arête. Exemple : « 45676aa0-10a5-587e-52f4-280bfc014a08 » -
TargetNodeName
(string
) : nom d’affichage du nœud cible. Exemple : gke-test-cluster-1 -
TargetNodeLabel
(string
) : étiquette du nœud cible. Exemple : « compute.instances » -
TargetNodeCategories
( (Dynamic
json)) : liste des catégories du nœud cible. -
EdgeProperties
(Dynamic
(json)) : données facultatives pertinentes pour la relation entre les nœuds. Exemple : pour « route leEdgeLabel
trafic vers » avecEdgeProperties
de , fournissez desnetworkReachability
informations sur les plages de ports et de protocoles utilisées pour transférer le trafic du point A vers le point B.
{
"rawData": {
"networkReachability": {
"type": "NetworkReachability",
"routeRules": [
{
"portRanges": [
"8083"
],
"protocolRanges": [
"6"
]
},
{
"portRanges": [
"80"
],
"protocolRanges": [
"6"
]
},
{
"portRanges": [
"443"
],
"protocolRanges": [
"6"
]
}
]
}
}
}
Opérateurs KQL (Graph Langage de requête Kusto)
Sécurité Microsoft - Gestion de l’exposition s’appuie sur des tables de graphiques d’exposition et des opérateurs de graphe d’exposition uniques pour permettre les opérations sur les structures de graphe. Le graphe est généré à partir de données tabulaires à l’aide de l’opérateur make-graph
, puis interrogé à l’aide d’opérateurs de graphe.
Opérateur make-graph
Génère make-graph operator
une structure de graphe à partir d’entrées tabulaires d’arêtes et de nœuds. Pour plus d’informations sur son utilisation et sa syntaxe, consultez Opérateur make-graph.
Opérateur de correspondance de graphe
L’opérateur graph-match
recherche toutes les occurrences d’un modèle de graphe dans une source de graphe d’entrée. Pour plus d’informations, consultez Opérateur de correspondance de graphe.