Delen via

Overzicht van schema's en operators

  • Artikel

Grafiekschema's voor ondernemingsblootstelling in Microsoft Security Exposure Management informatie over aanvallen bieden om u te helpen begrijpen hoe potentiële bedreigingen waardevolle activa kunnen bereiken en in gevaar kunnen brengen. Dit artikel bevat een overzicht van de schematabellen en operatoren voor blootstellingsgrafieken.

Schematabellen

De blootstellingsgrafiek is afhankelijk van de volgende tabellen:

  • ExposureGraphNodes
  • ExposureGraphEdges

ExposureGraphNodes

ExposureGraphNodes bevat organisatie-entiteiten en hun eigenschappen. Deze omvatten entiteiten zoals apparaten, identiteiten, gebruikersgroepen en cloudassets, zoals virtuele machines (VM's), opslag en containers. Elk knooppunt komt overeen met een afzonderlijke entiteit en bevat informatie over de kenmerken, kenmerken en beveiligingsgerelateerde inzichten binnen de organisatiestructuur.

Hieronder ziet u de kolomnamen, typen en beschrijvingen van ExposureGraphNodes :

  • NodeId (string) - Een unieke knooppunt-id. Voorbeeld: "650d6aa0-10a5-587e-52f4-280bfc014a08"
  • NodeLabel (string)- Het knooppuntlabel. Voorbeelden: 'microsoft.compute/virtualmachines', 'elasticloadbalancing.loadbalancer'
  • NodeName (string)- De weergavenaam van het knooppunt. Voorbeeld: 'nlb-test' (naam van een netwerk load balancer)
  • Categories (Dynamic (json)) - De categorieën van het knooppunt. Voorbeeld:
[
  "compute",
  "virtual_machine"
]
  • NodeProperties (Dynamic (json)) - Eigenschappen van het knooppunt, inclusief inzichten met betrekking tot de resource, zoals of de resource beschikbaar is voor internet of kwetsbaar is voor externe code-uitvoering. Waarden hebben een onbewerkte gegevensindeling (ongestructureerd). Voorbeeld:
{   
"rawData": {
"osType": "linux",   
"exposed to the internet": 
{     
"routes": [ { … } ]   
}
} 
}
  • EntityIds (Dynamic (json)): alle bekende knooppunt-id's. Voorbeeld:
{ 
"AzureResourceId": "A1",  
"MdeMachineId": "M1", 
}

ExposureGraphEdges

Het ExposureGraphEdges-schema biedt, samen met het aanvullende ExposureGraphNodes-schema , inzicht in relaties tussen entiteiten en assets in de grafiek. Veel opsporingsscenario's vereisen het verkennen van entiteitsrelaties en aanvalspaden. Wanneer u bijvoorbeeld zoekt naar apparaten die worden blootgesteld aan een specifiek kritiek beveiligingsprobleem, kan het weten van de relatie tussen entiteiten kritieke organisatieassets aan het licht brengen.

Hieronder ziet u de kolomnamen, labels en beschrijvingen van ExposureGraphEdges :

  • EdgeId (string) - De unieke id voor de relatie/edge.
  • EdgeLabel (string) - Het randlabel. Voorbeelden: 'beïnvloedt', 'routeert verkeer naar', 'wordt uitgevoerd' en 'bevat'. U kunt een lijst met randlabels weergeven door een query uit te voeren op de grafiek. Zie Alle randlabels in uw tenant weergeven voor meer informatie.
  • SourceNodeId (string) - Knooppunt-id van de bron van de edge. Voorbeeld: "12346aa0-10a5-587e-52f4-280bfc014a08"
  • SourceNodeName (string) - De weergavenaam van het bronknooppunt. Voorbeeld: "mdvmaas-win-123"
  • SourceNodeLabel (string) - Het label van het bronknooppunt. Voorbeeld: 'microsoft.compute/virtualmachines'
  • SourceNodeCategories (Dynamic (json)) - De lijst met categorieën van het bronknooppunt.
  • TargetNodeId (string) - De knooppunt-id van het doel van de edge. Voorbeeld: "45676aa0-10a5-587e-52f4-280bfc014a08"
  • TargetNodeName (string) - Weergavenaam van het doelknooppunt. Voorbeeld: gke-test-cluster-1
  • TargetNodeLabel (string) - Het doelknooppuntlabel. Voorbeeld: 'compute.instances'
  • TargetNodeCategories (Dynamic (json)): de lijst met categorieën van het doelknooppunt.
  • EdgeProperties (Dynamic (json)) - Optionele gegevens die relevant zijn voor de relatie tussen de knooppunten. Voorbeeld: geef voor de EdgeLabel 'routes verkeer naar' met EdgeProperties van networkReachabilityinformatie op over de poort- en protocolbereiken die worden gebruikt om verkeer van punt A naar B over te brengen.
{   
 "rawData": {
  "networkReachability": {
    "type": "NetworkReachability",
    "routeRules": [
      {
        "portRanges": [
          "8083"
        ],
        "protocolRanges": [
          "6"
        ]
      },
      {
        "portRanges": [
          "80"
        ],
        "protocolRanges": [
          "6"
        ]
      },
      {
        "portRanges": [
          "443"
        ],
        "protocolRanges": [
          "6"
        ]
      }
    ]
  }
}
}

KQL-operators (Graph Kusto-querytaal)

Microsoft Security Exposure Management is afhankelijk van blootstellingsgrafiektabellen en unieke operatoren voor blootstellingsgrafieken om bewerkingen via grafiekstructuren mogelijk te maken. De grafiek wordt gebouwd op basis van tabelgegevens met behulp van de make-graph operator en wordt vervolgens opgevraagd met behulp van grafiekoperatoren.

De operator grafiek maken

De make-graph operator bouwt een grafiekstructuur op basis van tabellaire invoer van randen en knooppunten. Zie operator voor grafiek maken voor meer informatie over het gebruik en de syntaxis ervan.

De operator graph-match

De graph-match operator zoekt naar alle exemplaren van een grafiekpatroon in een invoergrafiekbron. Zie graph-match operator voor meer informatie.

Volgende stappen

Query's uitvoeren op de grafiek van de ondernemingsblootstelling.