Partager via


Vue d’ensemble des schémas et des opérateurs

Les schémas de graphe d’exposition d’entreprise dans Sécurité Microsoft - Gestion de l’exposition fournissent des informations sur la surface d’attaque pour vous aider à comprendre comment les menaces potentielles peuvent atteindre et compromettre les ressources précieuses. Cet article résume les tables et opérateurs de schéma de graphe d’exposition.

Tableaux de schéma

Le graphique d’exposition s’appuie sur les tableaux suivants :

  • ExposureGraphNodes
  • ExposureGraphEdges

ExposureGraphNodes

ExposureGraphNodes contient des entités organisationnelles et leurs propriétés. Il s’agit notamment d’entités telles que les appareils, les identités, les groupes d’utilisateurs et les ressources cloud telles que les machines virtuelles, le stockage et les conteneurs. Chaque nœud correspond à une entité individuelle et encapsule des informations sur ses caractéristiques, ses attributs et ses insights liés à la sécurité au sein de la structure organisationnelle.

Voici les noms, types et descriptions des colonnes ExposureGraphNodes :

  • NodeId (string) : identificateur de nœud unique. Exemple : « 650d6aa0-10a5-587e-52f4-280bfc014a08 »
  • NodeLabel (string)- Étiquette de nœud. Exemples : « microsoft.compute/virtualmachines », « elasticloadbalancing.loadbalancer »
  • NodeName (string)- Nom complet du nœud. Exemple : « nlb-test » (nom d’équilibreur de charge réseau)
  • Categories (Dynamic (json)) : catégories du nœud. Exemple :
[
  "compute",
  "virtual_machine"
] 
  • NodeProperties (Dynamic (json)) : propriétés du nœud, y compris les insights liés à la ressource, par exemple si la ressource est exposée à Internet ou vulnérable à l’exécution de code à distance. Les valeurs sont au format de données brutes (non structurées). Exemple :
{   
"rawData": {
"osType": "linux",   
"exposed to the internet": 
{     
"routes": [ { … } ]   
}
} 
}
  • EntityIds (Dynamic (json)) : tous les identificateurs de nœud connus. Exemple :
{ 
"AzureResourceId": "A1",  
"MdeMachineId": "M1", 
}

ExposureGraphEdges

Le schéma ExposureGraphEdges , ainsi que le schéma ExposureGraphNodes complémentaire, fournit une visibilité sur les relations entre les entités et les ressources dans le graphique. De nombreux scénarios de chasse nécessitent l’exploration des relations d’entité et des chemins d’attaque. Par exemple, lorsque vous recherchez des appareils exposés à une vulnérabilité critique spécifique, connaître la relation entre les entités peut révéler des ressources organisationnelles critiques.

Les noms, étiquettes et descriptions des colonnes ExposureGraphEdges sont les suivants :

  • EdgeId (string) : identificateur unique de la relation/arête.
  • EdgeLabel (string) : étiquette d’arête. Exemples : « affectant », « route le trafic vers », « est en cours d’exécution » et « contient ». Vous pouvez afficher une liste d’étiquettes de bord en interrogeant le graphe. Pour plus d’informations, consultez Répertorier toutes les étiquettes de périphérie dans votre locataire.
  • SourceNodeId (string) : ID de nœud de la source de l’arête. Exemple : « 12346aa0-10a5-587e-52f4-280bfc014a08 »
  • SourceNodeName (string) : nom complet du nœud source. Exemple : « mdvmaas-win-123 »
  • SourceNodeLabel (string) : étiquette du nœud source. Exemple : « microsoft.compute/virtualmachines »
  • SourceNodeCategories (Dynamic (json)) : liste des catégories du nœud source.
  • TargetNodeId (string) : ID de nœud de la cible de l’arête. Exemple : « 45676aa0-10a5-587e-52f4-280bfc014a08 »
  • TargetNodeName (string) : nom d’affichage du nœud cible. Exemple : gke-test-cluster-1
  • TargetNodeLabel (string) : étiquette du nœud cible. Exemple : « compute.instances »
  • TargetNodeCategories ( (Dynamic json)) : liste des catégories du nœud cible.
  • EdgeProperties (Dynamic (json)) : données facultatives pertinentes pour la relation entre les nœuds. Exemple : pour « route le EdgeLabel trafic vers » avec EdgeProperties de , fournissez des networkReachabilityinformations sur les plages de ports et de protocoles utilisées pour transférer le trafic du point A vers le point B.
{   
 "rawData": {
  "networkReachability": {
    "type": "NetworkReachability",
    "routeRules": [
      {
        "portRanges": [
          "8083"
        ],
        "protocolRanges": [
          "6"
        ]
      },
      {
        "portRanges": [
          "80"
        ],
        "protocolRanges": [
          "6"
        ]
      },
      {
        "portRanges": [
          "443"
        ],
        "protocolRanges": [
          "6"
        ]
      }
    ]
  }
}
}

Opérateurs KQL (Graph Langage de requête Kusto)

Sécurité Microsoft - Gestion de l’exposition s’appuie sur des tables de graphiques d’exposition et des opérateurs de graphe d’exposition uniques pour permettre les opérations sur les structures de graphe. Le graphe est généré à partir de données tabulaires à l’aide de l’opérateur make-graph , puis interrogé à l’aide d’opérateurs de graphe.

Opérateur make-graph

Génère make-graph operator une structure de graphe à partir d’entrées tabulaires d’arêtes et de nœuds. Pour plus d’informations sur son utilisation et sa syntaxe, consultez Opérateur make-graph.

Opérateur de correspondance de graphe

L’opérateur graph-match recherche toutes les occurrences d’un modèle de graphe dans une source de graphe d’entrée. Pour plus d’informations, consultez Opérateur de correspondance de graphe.

Étapes suivantes

Interrogez le graphique d’exposition de l’entreprise.