Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Das Hunting-Diagramm bietet Visualisierungsfunktionen in der erweiterten Suche , indem Bedrohungsszenarien als interaktive Diagramme gerendert werden. Dieses Feature ermöglicht es SoC-Analysten (Security Operations Center), Bedrohungsjägern und Sicherheitsforschern, die Bedrohungssuche und Die Reaktion auf Vorfälle einfacher und intuitiver durchzuführen und so ihre Effizienz und Fähigkeit zur Bewertung möglicher Sicherheitsprobleme zu verbessern.
Analysten verlassen sich häufig auf Kusto-Abfragesprache-Abfragen (KQL), um Beziehungen zwischen Entitäten aufzudecken. Dieser Ansatz kann sowohl zeitaufwändig als auch anfällig für Aufsichten sein. Das Hunting-Diagramm vereinfacht und beschleunigt das Durchsuchen von Sicherheitsdaten, indem diese Beziehungen visualisiert werden. Sie können Pfade und mögliche Drosselungspunkte nachverfolgen sowie Einblicke anzeigen und verschiedene Aktionen basierend auf den Ergebnissen ausführen, die tabellarische Abfragen möglicherweise übersehen.
Zugriff erhalten
Um hunting graph, advanced hunting oder andere Microsoft Defender XDR-Funktionen verwenden zu können, benötigen Sie eine geeignete Rolle in Microsoft Entra ID. Informieren Sie sich über die erforderlichen Rollen und Berechtigungen für die erweiterte Suche.
Außerdem müssen Sie über die folgenden Zugriffsberechtigungen verfügen:
- Microsoft Sentinel Data Lake
- Mindestens schreibgeschützter Zugriff in Microsoft Security Exposure Management
Wo finde ich das Hunting-Diagramm?
Sie können die Seite hunting graph finden, indem Sie im Microsoft Defender-Portal zur linken Navigationsleiste wechseln und Untersuchung & Antwort>Hunting>Erweiterte Suche auswählen.
Wählen Sie auf der Seite "Erweiterte Suche" das Hunting graph-Symbol 
Wählen Sie oben auf der Seite das Symbol "Neues Erstellen" 
Wählen Sie dann Hunting graph aus.
Eine neue Seite für das Huntingdiagramm wird auf der Seite für die erweiterte Suche als Registerkarte Mit der Bezeichnung Neue Suche angezeigt.
Features des Suchdiagramms
Die interaktiven Diagramme, die das Huntingdiagramm generiert, verwenden Knoten und Kanten , um Entitäten in Ihrer Umgebung anzuzeigen, z. B. ein Gerät, ein Benutzerkonto oder eine IP-Adresse sowie deren Beziehungen oder Verbindungseigenschaften. Erfahren Sie mehr über Diagramme und Visualisierungen in Microsoft Defender.
Die untere rechte Ecke des Diagramms enthält Steuerelementschaltflächen, mit denen Sie vergrößern und verkleinern sowie die Ebenen des Diagramms anzeigen können.
Erste Schritte mit hunting graph
Verwenden vordefinierter Szenarien im Hunting graph
Mit dem Hunting graph können Sie mit vordefinierten Szenarien suchen. Bei diesen Szenarien handelt es sich um vordefinierte erweiterte Huntingabfragen, mit denen Sie spezifische und häufig gestellte Fragen für bestimmte Anwendungsfälle beantworten können.
Um die Suche mit einem vordefinierten Szenario zu starten, wählen Sie auf einer neuen Hunting Graph-Seite Die Option Mit vordefinierten Szenarien suchen aus. Es wird ein Seitenbereich angezeigt, in dem Sie dann die folgenden Schritte ausführen können:
- Wählen Sie ein Szenario aus, und geben Sie die erforderlichen Eingaben ein.
- Anwenden von Filtern auf das Diagramm
- Rendern des Graphen
Schritt 1: Auswählen eines Szenarios und Eingeben von Szenarioeingaben
In der folgenden Tabelle werden die vordefinierten Szenarien im Hunting graph und die entsprechenden erforderlichen Szenarioeingaben beschrieben, falls zutreffend. Für Szenarien, in denen Eingaben erforderlich sind, können Sie in den bereitgestellten Suchfeldern eingeben oder suchen und auswählen.
| Szenario | Beschreibung | Eingaben |
|---|---|---|
| Pfade zwischen zwei Entitäten | Stellen Sie zwei Entitäten (Knoten) bereit, um die Pfade zwischen ihnen anzuzeigen. Verwenden Sie dieses Szenario, wenn Sie ermitteln möchten, ob ein Pfad von einer Entität zu einer anderen führt. |
|
| Entitäten, die Zugriff auf einen Schlüsseltresor haben | Stellen Sie einen bestimmten Schlüsseltresor bereit, um Pfade von verschiedenen Entitäten (Geräte, virtuelle Computer, Container, Server usw.) anzuzeigen, die direkten oder indirekten Zugriff darauf haben. Verwenden Sie dieses Szenario im Falle einer Sicherheitsverletzung, wartungsarbeiten oder bei der Bewertung der Auswirkungen von Entitäten, die Zugriff auf ein vertrauliches Medienobjekt wie einen Schlüsseltresor haben könnten. |
Zielschlüsseltresor |
| Benutzer mit Zugriff auf vertrauliche Daten | Stellen Sie alle vertraulichen Datenspeicher bereit, die von Interesse sind, um Benutzer anzuzeigen, die Zugriff darauf haben. Verwenden Sie dieses Szenario, wenn Sie wissen möchten, welche Entitäten Zugriff auf vertrauliche Daten haben, insbesondere in Fällen, in denen ein Vorfall auf ungewöhnlichen Zugriff auf vertrauliche Dateien hinweist. |
Zielspeicherkonto |
| Kritische Benutzer mit Zugriff auf Speicherkonten, die vertrauliche Daten enthalten | In diesem Szenario werden kritische Benutzer mit Zugriff auf Speicherressourcen identifiziert, die vertrauliche Daten enthalten. Verwenden Sie dieses Szenario, um nicht autorisierten Zugriff, Gefährdungsrisiko und Sicherheitsverletzungen basierend auf den privilegierten Benutzern zu verhindern, zu bewerten und zu überwachen. |
(Keine) |
| Datenexfiltration durch ein Gerät | Geben Sie eine Geräte-ID an, um Pfade zu Speicherkonten anzuzeigen, auf die sie Zugriff haben. für instance, um zu überprüfen, auf welche Speicherkonten ein bestimmtes Gerät in einer BYOD-Umgebung (Bring Your Own Device) zugreifen kann. Verwenden Sie dieses Szenario, wenn Sie verdächtige oder nicht autorisierte Datenübertragungen von Unternehmensgeräten und in externe Quellen untersuchen. |
Quellgerät |
| Pfade zu einem sehr kritischen Kubernetes-Cluster | Stellen Sie einen Kubernetes-Cluster mit hoher Wichtigkeit bereit, um Benutzer, virtuelle Computer und Container anzuzeigen, die Zugriff darauf haben. Verwenden Sie dieses Szenario, um die Behandlung von Angriffspfaden zu bewerten, zu analysieren und zu priorisieren, die zu einem sehr kritischen Kubernetes-Cluster führen. |
Kubernetes-Zielcluster |
| Identitäten mit Zugriff auf Azure DevOps-Repositorys | Geben Sie einen Azure DevOps-Repositorynamen (ADO) an, um Benutzer anzuzeigen, die Lese- und/oder Schreibzugriff auf dieses Repository haben. Verwenden Sie dieses Szenario, um Entitäten mit Zugriff auf ADO-Repositorys zu identifizieren, die häufig vertrauliche Ressourcen und daher wertvolle Ziele für Bedrohungsakteure enthalten. Dieses Szenario bietet Ihnen Sichtbarkeit und ermöglicht Es Ihnen, Ihre Reaktion im Falle einer Sicherheitsverletzung zu planen. |
ADO-Zielrepository |
| Identifizieren von Knoten mit der höchsten Anzahl von Pfaden zu SQL-Datenspeichern | In diesem Szenario werden die Knoten identifiziert, die in der höchsten Anzahl von Pfaden angezeigt werden, die zu SQL-Datenspeichern führen. Das Szenario ermittelt Pfade im Diagramm, in denen Benutzer über Rollen oder Berechtigungen für den Zugriff auf die SQL-Datenspeicher verfügen. Verwenden Sie dieses Szenario, um Einblick in Speicher zu erhalten, die möglicherweise vertrauliche Informationen enthalten, die Auswirkungen im Falle einer Sicherheitsverletzung zu bewerten und Ihre Risikominderung und Reaktion vorzubereiten. |
(Keine) |
| Angriffspfade zu einer kritischen Ressource | Zeigen Sie die potenziellen Routen durch verschiedene Knoten an, die zu einem Ziel führen. Verwenden Sie dieses Szenario, um potenzielle laterale Bewegungen zu untersuchen, die eine kritische Ressource über Ihr Netzwerk erreichen könnten. |
Kritisches Zielobjekt |
| Entitätsverbindungen | Suchen Sie die direkten Verbindungen einer bestimmten Entität, und analysieren Sie deren Beziehungen. | Quellentität Anmerkung: Sie können eine beliebige Entität als Seedingknoten für das Diagramm verwenden. Das Diagramm zeigt eingehende und ausgehende Verbindungen an. |
Schritt 2: Anwenden von Filtern
Sie können relevante Filter hinzufügen, um die Kartenansicht Ihres ausgewählten Szenarios genauer zu gestalten. Wenn Sie beispielsweise nur die kürzesten Pfade anzeigen möchten, wählen Sie diese Option aus.
Erweiterte Filter
Standardmäßig wenden die vordefinierten Szenarien automatisch bestimmte Filter an, die Sie im Abschnitt Erweiterte Filter des Seitenbereichs anzeigen können. Sie können diese Filter entfernen oder neue hinzufügen, um den graphen, den Sie generieren möchten, weiter zu verfeinern.
Um Filter zu entfernen, wählen Sie das Symbol Filter entfernen
neben jedem Filter, oder wählen Sie Alle löschen aus, um sie alle gleichzeitig zu entfernen.
Um einen Filter hinzuzufügen, wählen Sie Filter hinzufügen und dann einen der unterstützten Knoten- oder Edgefilter aus. In der folgenden Tabelle sind diese unterstützten Operatoren und Filter aufgeführt. Je nach gewähltem Szenario sind einige dieser Filter möglicherweise nicht als Optionen verfügbar.
| Filtertyp | Operator | Filters |
|---|---|---|
| Quellknoten | gleich |
|
| Zielknoten | gleich |
|
| Edgetyp | gleich |
|
| Kantenrichtung | gleich |
|
Schritt 3: Rendern des Diagramms
Nachdem Sie ein Szenario ausgewählt und die erforderlichen Filter angewendet haben, wählen Sie Ausführen aus, um das Diagramm zu rendern. Nachdem das Diagramm gerendert wurde, können Sie es weiter untersuchen, indem Sie Knoten und Kanten auswählen, um weitere Informationen zu Entitäten und Beziehungen anzuzeigen, oder um bestimmte Entitäten zu erweitern oder sich auf bestimmte Entitäten zu konzentrieren.