通过

架构和运算符概述

  • 项目

Microsoft 安全风险管理中的企业暴露图架构提供攻击面信息,以帮助你了解潜在威胁如何到达并泄露有价值的资产。 本文汇总了公开图架构表和运算符。

架构表

曝光图依赖于下表:

  • ExposureGraphNodes
  • ExposureGraphEdges

ExposureGraphNodes

ExposureGraphNodes 包含组织实体及其属性。 这些实体包括设备、标识、用户组和云资产(例如虚拟机 (VM) 、存储和容器)。 每个节点对应于单个实体,并在组织结构中封装有关其特征、属性和安全相关见解的信息。

以下是 ExposureGraphNodes 列名称、类型和说明:

  • NodeId string () - 唯一节点标识符。 示例:“650d6aa0-10a5-587e-52f4-280bfc014a08”
  • NodeLabel string () - 节点标签。 示例:“microsoft.compute/virtualmachines”、“elasticloadbalancing.loadbalancer”
  • NodeName string () - 节点显示名称。 示例:“nlb-test” (网络负载均衡器名称)
  • Categories Dynamic ( (json) ) - 节点的类别。 示例:
[
  "compute",
  "virtual_machine"
]
  • NodeProperties Dynamic ( (json) ) - 节点的属性,包括与资源相关的见解,例如资源是公开给 Internet 还是容易受到远程代码执行。 值采用原始数据格式 (非结构化) 。 示例:
{   
"rawData": {
"osType": "linux",   
"exposed to the internet": 
{     
"routes": [ { … } ]   
}
} 
}
  • EntityIds (Dynamic (json) ) - 所有已知节点标识符。 示例:
{ 
"AzureResourceId": "A1",  
"MdeMachineId": "M1", 
}

ExposureGraphEdges

ExposureGraphEdges 架构与补充 ExposureGraphNodes 架构一起提供对图中实体和资产之间关系的可见性。 许多搜寻方案需要探索实体关系和攻击路径。 例如,在搜寻暴露在特定关键漏洞中的设备时,了解实体之间的关系可以发现关键的组织资产。

以下是 ExposureGraphEdges 列名称、标签和说明:

  • EdgeId string () - 关系/边缘的唯一标识符。
  • EdgeLabel string () - 边缘标签。 示例:“影响”、“将流量路由到”、“正在运行”和“包含”。可以通过查询图形来查看边缘标签列表。 有关详细信息,请参阅 列出租户中的所有边缘标签
  • SourceNodeId string () - 边缘源的节点 ID。 示例:“12346aa0-10a5-587e-52f4-280bfc014a08”
  • SourceNodeName string () - 源节点显示名称。 示例:“mdvmaas-win-123”
  • SourceNodeLabel string () - 源节点标签。 示例:“microsoft.compute/virtualmachines”
  • SourceNodeCategories Dynamic ( (json) ) - 源节点的类别列表。
  • TargetNodeId string () - 边缘目标的节点 ID。 示例:“45676aa0-10a5-587e-52f4-280bfc014a08”
  • TargetNodeName string () - 目标节点的显示名称。 示例:gke-test-cluster-1
  • TargetNodeLabel string () - 目标节点标签。 示例:“compute.instances”
  • TargetNodeCategories Dynamic ( (json) ) - 目标节点的类别列表。
  • EdgeProperties Dynamic ( (json) ) - 与节点之间的关系相关的可选数据。 示例:对于 EdgeLabelEdgePropertiesnetworkReachability“将流量路由到”,请提供有关用于将流量从点 A 传输到 B 的端口和协议范围的信息。
{   
 "rawData": {
  "networkReachability": {
    "type": "NetworkReachability",
    "routeRules": [
      {
        "portRanges": [
          "8083"
        ],
        "protocolRanges": [
          "6"
        ]
      },
      {
        "portRanges": [
          "80"
        ],
        "protocolRanges": [
          "6"
        ]
      },
      {
        "portRanges": [
          "443"
        ],
        "protocolRanges": [
          "6"
        ]
      }
    ]
  }
}
}

图形Kusto 查询语言 (KQL) 运算符

Microsoft 安全风险管理依赖于暴露图表和唯一曝光图运算符来启用对图形结构的操作。 使用 运算符根据表格数据 make-graph 生成图形,然后使用图形运算符进行查询。

生成图运算符

make-graph operator 边缘和节点的表格输入生成图形结构。 有关其用法和语法的详细信息,请参阅 make-graph 运算符

图形匹配运算符

运算符 graph-match 在输入图源中搜索图形模式的所有匹配项。 有关详细信息,请参阅 图形匹配运算符

后续步骤

查询企业曝光图