Dela via

Översikt över scheman och operatorer

  • Artikel

Diagramscheman för företagsexponering i Microsoft Security Exposure Management tillhandahålla information om attackytan för att hjälpa dig att förstå hur potentiella hot kan nå och kompromettera värdefulla tillgångar. Den här artikeln sammanfattar schematabeller och operatorer för exponeringsdiagram.

Schematabeller

Exponeringsdiagrammet förlitar sig på följande tabeller:

  • ExposureGraphNodes
  • ExposureGraphEdges

ExposureGraphNodes

ExposureGraphNodes innehåller organisationsentiteter och deras egenskaper. Dessa omfattar entiteter som enheter, identiteter, användargrupper och molntillgångar som virtuella datorer (VM), lagring och containrar. Varje nod motsvarar en enskild entitet och kapslar in information om dess egenskaper, attribut och säkerhetsrelaterade insikter i organisationsstrukturen.

Följande är ExposureGraphNodes-kolumnnamn , typer och beskrivningar:

  • NodeId (string) – En unik nodidentifierare. Exempel: "650d6aa0-10a5-587e-52f4-280bfc014a08"
  • NodeLabel (string)- Nodetiketten. Exempel: "microsoft.compute/virtualmachines", "elasticloadbalancing.loadbalancer"
  • NodeName (string)- Nodens visningsnamn. Exempel: "nlb-test" (ett namn på nätverkslastbalanseraren)
  • Categories (Dynamic (json)) – Nodens kategorier. Exempel:
[
  "compute",
  "virtual_machine"
]
  • NodeProperties (Dynamic (json)) – Nodens egenskaper, inklusive insikter relaterade till resursen, till exempel om resursen exponeras för Internet eller är sårbar för fjärrkodkörning. Värdena är i rådataformat (ostrukturerade). Exempel:
{   
"rawData": {
"osType": "linux",   
"exposed to the internet": 
{     
"routes": [ { … } ]   
}
} 
}
  • EntityIds (Dynamic (json)) – Alla kända nodidentifierare. Exempel:
{ 
"AzureResourceId": "A1",  
"MdeMachineId": "M1", 
}

ExposureGraphEdges

Schemat ExposureGraphEdges ger tillsammans med det kompletterande ExposureGraphNodes-schemat insyn i relationer mellan entiteter och tillgångar i diagrammet. Många jaktscenarier kräver utforskning av entitetsrelationer och attackvägar. När du till exempel letar efter enheter som exponeras för en specifik kritisk sårbarhet kan du upptäcka viktiga organisationstillgångar med vetskap om relationen mellan entiteter.

Följande är ExposureGraphEdges-kolumnnamn , etiketter och beskrivningar:

  • EdgeId (string) – Den unika identifieraren för relationen/gränsen.
  • EdgeLabel (string) – Gränsenhetsetiketten. Exempel: "påverkar", "dirigerar trafik till", "körs" och "innehåller". Du kan visa en lista med kantetiketter genom att fråga grafen. Mer information finns i Lista alla gränsetiketter i din klientorganisation.
  • SourceNodeId (string) – Nod-ID för gränsens källa. Exempel: "12346aa0-10a5-587e-52f4-280bfc014a08"
  • SourceNodeName (string) – Källnodens visningsnamn. Exempel: "mdvmaas-win-123"
  • SourceNodeLabel (string) – källnodetiketten. Exempel: "microsoft.compute/virtualmachines"
  • SourceNodeCategories (Dynamic (json)) – kategorilistan för källnoden.
  • TargetNodeId (string) – Nod-ID för gränsens mål. Exempel: "45676aa0-10a5-587e-52f4-280bfc014a08"
  • TargetNodeName (string) – Målnodens visningsnamn. Exempel: gke-test-cluster-1
  • TargetNodeLabel (string) – målnodetiketten. Exempel: "compute.instances"
  • TargetNodeCategories (Dynamic (json)) – kategorilistan för målnoden.
  • EdgeProperties (Dynamic (json)) – Valfria data som är relevanta för relationen mellan noderna. Exempel: För EdgeLabel "dirigerar trafik till" med EdgeProperties för networkReachabilityanger du information om port- och protokollintervallen som används för att överföra trafik från punkt A till B.
{   
 "rawData": {
  "networkReachability": {
    "type": "NetworkReachability",
    "routeRules": [
      {
        "portRanges": [
          "8083"
        ],
        "protocolRanges": [
          "6"
        ]
      },
      {
        "portRanges": [
          "80"
        ],
        "protocolRanges": [
          "6"
        ]
      },
      {
        "portRanges": [
          "443"
        ],
        "protocolRanges": [
          "6"
        ]
      }
    ]
  }
}
}

Operatorer för Graph Kusto-frågespråk (KQL)

Microsoft Security Exposure Management förlitar sig på graftabeller för exponering och unika exponeringsgrafoperatorer för att aktivera åtgärder över grafstrukturer. Diagrammet skapas från tabelldata med operatorn make-graph och efterfrågas sedan med hjälp av grafoperatorer.

Operatorn make-graph

make-graph operator Skapar en grafstruktur från tabellindata för kanter och noder. Mer information om dess användning och syntax finns i operatorn make-graph.

Operatorn graph-match

Operatorn graph-match söker efter alla förekomster av ett diagrammönster i en indatagrafkälla. Mer information finns i grafmatchningsoperatorn.

Nästa steg

Fråga företagets exponeringsdiagram.