共用方式為

架構和運算子概觀

  • 發行項

Microsoft 安全性暴露風險管理 中的企業曝光圖表架構會提供受攻擊面資訊,以協助您瞭解潛在威脅的可能觸達方式,以及入侵寶貴的資產。 本文摘要說明曝光圖表架構數據表和運算符。

結構描述表格

曝光圖表依賴下列資料表:

  • ExposureGraphNodes
  • ExposureGraphEdges

ExposureGraphNodes

ExposureGraphNodes 包含組織實體及其屬性。 其中包括裝置、身分識別、使用者群組和雲端資產等實體,例如虛擬機 (VM) 、記憶體和容器。 每個節點都會對應至個別實體,並封裝組織結構內其特性、屬性和安全性相關深入解析的相關信息。

以下是 ExposureGraphNodes 資料行名稱、類型和描述:

  • NodeId string () - 唯一節點識別符。 範例:“650d6aa0-10a5-587e-52f4-280bfc014a08”
  • NodeLabel string () - 節點標籤。 範例:“microsoft.compute/virtualmachines”、“elasticloadbalancing.loadbalancer”
  • NodeName string () - 節點顯示名稱。 範例:「nlb-test」 (網路負載平衡器名稱)
  • Categories Dynamic ( (json) ) - 節點的類別。 例如:
[
  "compute",
  "virtual_machine"
]
  • NodeProperties Dynamic ( (json) ) - 節點的屬性,包括與資源相關的深入解析,例如資源是否向因特網公開,或容易受到遠端程式代碼執行的影響。 值是非結構化) (原始數據格式。 例如:
{   
"rawData": {
"osType": "linux",   
"exposed to the internet": 
{     
"routes": [ { … } ]   
}
} 
}
  • EntityIds (Dynamic (json) ) - 所有已知節點識別碼。 例如:
{ 
"AzureResourceId": "A1",  
"MdeMachineId": "M1", 
}

ExposureGraphEdges

ExposureGraphEdges 架構以及補充 ExposureGraphNodes 架構,可讓您查看圖形中實體與資產之間的關聯性。 許多搜捕案例都需要探索實體關聯性和攻擊路徑。 例如,當搜捕暴露於特定嚴重弱點的裝置時,知道實體之間的關聯性,可能會發現重要的組織資產。

以下是 ExposureGraphEdges 資料行名稱、標籤和描述:

  • EdgeId string () - 關聯性/邊緣的唯一標識符。
  • EdgeLabel string () - 邊緣標籤。 範例:「影響」、「將流量路由傳送至」、「正在執行中」和「包含」。您可以查詢圖形來檢視邊緣標籤清單。 如需詳細資訊,請 參閱列出租使用者中的所有邊緣標籤
  • SourceNodeId string () - 邊緣來源的節點識別碼。 範例:“12346aa0-10a5-587e-52f4-280bfc014a08”
  • SourceNodeName string () - 來源節點顯示名稱。 範例:“mdvmaas-win-123”
  • SourceNodeLabel string () - 來源節點標籤。 範例:“microsoft.compute/virtualmachines”
  • SourceNodeCategories Dynamic ( (json) ) - 來源節點的類別清單。
  • TargetNodeId string () - 邊緣目標的節點識別碼。 範例:“45676aa0-10a5-587e-52f4-280bfc014a08”
  • TargetNodeName string () - 目標節點的顯示名稱。 範例:gke-test-cluster-1
  • TargetNodeLabel string () - 目標節點標籤。 範例:“compute.instances”
  • TargetNodeCategories Dynamic ( (json) ) - 目標節點的類別清單。
  • EdgeProperties Dynamic ( (json) ) - 與節點之間關聯性相關的選擇性數據。 範例:針對 EdgeLabel 的 「將流量路由傳送至」EdgePropertiesnetworkReachability,提供用來將流量從點 A 傳輸至 B 的埠和通訊協定範圍的相關信息。
{   
 "rawData": {
  "networkReachability": {
    "type": "NetworkReachability",
    "routeRules": [
      {
        "portRanges": [
          "8083"
        ],
        "protocolRanges": [
          "6"
        ]
      },
      {
        "portRanges": [
          "80"
        ],
        "protocolRanges": [
          "6"
        ]
      },
      {
        "portRanges": [
          "443"
        ],
        "protocolRanges": [
          "6"
        ]
      }
    ]
  }
}
}

Graph Kusto 查詢語言 (KQL) 運算符

Microsoft 安全性暴露風險管理依賴曝光圖形數據表和唯一的曝光圖形運算符來啟用圖表結構的作業。 圖表是使用 make-graph 運算符從表格式數據建置,然後使用圖形運算符進行查詢。

make-graph 運算符

make-graph operator 從邊緣和節點的表格式輸入建置圖形結構。 如需其使用方式和語法的詳細資訊,請參閱 make-graph 運算符

圖形比對運算符

運算 graph-match 子會搜尋輸入圖形來源中所有出現的圖形模式。 如需詳細資訊,請參閱 圖形比對運算符

後續步驟

查詢企業曝光圖表