Udostępnij za pośrednictwem

Omówienie schematów i operatorów

  • Artykuł

Schematy wykresów narażenia przedsiębiorstwa w Zarządzanie stopniem zagrożenia bezpieczeństwa przez firmę Microsoft udostępniają informacje o powierzchni ataków, aby ułatwić zrozumienie, w jaki sposób potencjalne zagrożenia mogą dotrzeć i naruszyć cenne zasoby. W tym artykule podsumowano tabele i operatory schematu wykresu ekspozycji.

Tabele schematów

Wykres ekspozycji opiera się na następujących tabelach:

  • ExposureGraphNodes
  • ExposureGraphEdges

ExposureGraphNodes

ExposureGraphNodes zawiera jednostki organizacyjne i ich właściwości. Należą do nich jednostki, takie jak urządzenia, tożsamości, grupy użytkowników i zasoby w chmurze, takie jak maszyny wirtualne, magazyn i kontenery. Każdy węzeł odpowiada pojedynczej jednostce i hermetyzuje informacje o jej cechach, atrybutach i szczegółowych informacjach związanych z zabezpieczeniami w strukturze organizacyjnej.

Poniżej przedstawiono nazwy kolumn ExposureGraphNodes , typy i opisy:

  • NodeId (string) — unikatowy identyfikator węzła. Przykład: "650d6aa0-10a5-587e-52f4-280bfc014a08"
  • NodeLabel (string)- Etykieta węzła. Przykłady: "microsoft.compute/virtualmachines", "elasticloadbalancing.loadbalancer"
  • NodeName (string)— nazwa wyświetlana węzła. Przykład: "nlb-test" (nazwa modułu równoważenia obciążenia sieciowego)
  • Categories (Dynamic (json)) — kategorie węzła. Przykład:
[
  "compute",
  "virtual_machine"
]
  • NodeProperties (Dynamic (json)) — właściwości węzła, w tym szczegółowe informacje związane z zasobem, takie jak to, czy zasób jest uwidoczniany w Internecie, czy narażony na zdalne wykonywanie kodu. Wartości są w formacie danych pierwotnych (bez struktury). Przykład:
{   
"rawData": {
"osType": "linux",   
"exposed to the internet": 
{     
"routes": [ { … } ]   
}
} 
}
  • EntityIds (Dynamic (json)) — wszystkie znane identyfikatory węzłów. Przykład:
{ 
"AzureResourceId": "A1",  
"MdeMachineId": "M1", 
}

ExposureGraphEdges

Schemat ExposureGraphEdges wraz z uzupełniającym się schematem ExposureGraphNodes zapewnia wgląd w relacje między jednostkami i zasobami na grafie. Wiele scenariuszy wyszukiwania zagrożeń wymaga eksploracji relacji jednostek i ścieżek ataku. Na przykład podczas wyszukiwania zagrożeń dla urządzeń narażonych na określoną krytyczną lukę w zabezpieczeniach, znając relację między jednostkami, można odkryć krytyczne zasoby organizacyjne.

Poniżej przedstawiono nazwy kolumn ExposureGraphEdges , etykiety i opisy:

  • EdgeId (string) — unikatowy identyfikator relacji/krawędzi.
  • EdgeLabel (string) — etykieta krawędzi. Przykłady: "wpływ", "kieruje ruch do", "jest uruchomiony" i "zawiera". Listę etykiet krawędzi można wyświetlić, wykonując zapytanie dotyczące grafu. Aby uzyskać więcej informacji, zobacz Wyświetlanie listy wszystkich etykiet krawędzi w dzierżawie.
  • SourceNodeId (string) — identyfikator węzła źródła krawędzi. Przykład: "12346aa0-10a5-587e-52f4-280bfc014a08"
  • SourceNodeName (string) — nazwa wyświetlana węzła źródłowego. Przykład: "mdvmaas-win-123"
  • SourceNodeLabel (string) — etykieta węzła źródłowego. Przykład: "microsoft.compute/virtualmachines"
  • SourceNodeCategories (Dynamic (json)) — lista kategorii węzła źródłowego.
  • TargetNodeId (string) — identyfikator węzła obiektu docelowego krawędzi. Przykład: "45676aa0-10a5-587e-52f4-280bfc014a08"
  • TargetNodeName (string) — nazwa wyświetlana węzła docelowego. Przykład: gke-test-cluster-1
  • TargetNodeLabel (string) — etykieta węzła docelowego. Przykład: "compute.instances"
  • TargetNodeCategories (Dynamic (json)) — lista kategorii węzła docelowego.
  • EdgeProperties (Dynamic (json)) — opcjonalne dane istotne dla relacji między węzłami. Przykład: w polu EdgeLabel "routes traffic to" with EdgeProperties of networkReachability, podaj informacje o zakresach portów i protokołów, które są używane do przenoszenia ruchu z punktu A do punktu B.
{   
 "rawData": {
  "networkReachability": {
    "type": "NetworkReachability",
    "routeRules": [
      {
        "portRanges": [
          "8083"
        ],
        "protocolRanges": [
          "6"
        ]
      },
      {
        "portRanges": [
          "80"
        ],
        "protocolRanges": [
          "6"
        ]
      },
      {
        "portRanges": [
          "443"
        ],
        "protocolRanges": [
          "6"
        ]
      }
    ]
  }
}
}

Operatory Graph język zapytań Kusto (KQL)

Zarządzanie stopniem zagrożenia bezpieczeństwa przez firmę Microsoft opiera się na tabelach wykresów ekspozycji i unikatowych operatorach wykresów ekspozycji, aby włączyć operacje na strukturach grafów. Wykres jest kompilowany na podstawie danych tabelarycznych przy użyciu make-graph operatora, a następnie wysyłany przy użyciu operatorów grafów.

Operator make-graph

Tworzy make-graph operator strukturę grafów na podstawie tabelarycznych danych wejściowych krawędzi i węzłów. Aby uzyskać więcej informacji na temat jego użycia i składni, zobacz operator make-graph.

Operator dopasowania grafu

Operator wyszukuje graph-match wszystkie wystąpienia wzorca grafu w źródle grafu wejściowego. Aby uzyskać więcej informacji, zobacz operator dopasowania grafu.

Następne kroki

Wykonaj zapytanie dotyczące wykresu narażenia przedsiębiorstwa.