Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Defender interaktive Diagramme verwenden, um Angriffspfade, Explosionsradius und Beziehungen zwischen Entitäten in Ihrer Umgebung zu visualisieren. Diese Visualisierungen bieten eine Vogelperspektive für eine mögliche Bedrohung oder einen Angriff, sodass Sie und Ihr SOC-Team (Security Operations) diese schnell untersuchen und jagen können.
Die im Defender-Portal generierten Diagramme bestehen aus Knoten und Kanten. In diesem Artikel werden die häufig verwendeten Symbole für das Diagramm dieser Elemente aufgelistet und definiert.
Nodes
Ein Knoten bezieht sich auf eine Entität in Ihrer Umgebung (z. B. ein Gerät, ein Benutzerkonto oder eine IP-Adresse). Defender-Portaldiagramme stellen Knoten in der Regel als eines der folgenden kreisförmigen Symbole dar:
| Icon | Knotentyp | Beispiele für Entitätstypen |
|---|---|---|
|
Allgemein | App Service-Plan |
|
Compute | Gerät, virtueller Computer, Microsoft Azure Logic App |
|
Netzwerk | Schnittstelle, öffentliche IP-Adresse, Netzwerksicherheitsgruppe |
|
Daten | SQL-Datenspeicher, Azure Log Analytics-Arbeitsbereich überwachen, Speicherkonto, Azure Event Hubs |
|
Container | Kubernetes-Cluster |
|
Schlüssel & Geheimnisse | Schlüsseltresor |
|
DevOps | Azure DevOps-Repositorys |
|
APIs | Cloudanwendungen |
|
Identitäts- &-Zugriff | Benutzerkonto, Microsoft Entra-ID-Dienstprinzipal |
|
Iot | |
|
Zertifikat | |
|
IP-Adresse | |
|
Abonnements |
Wenn Sie einen Knoten auswählen, wird ein Seitenbereich geöffnet, der weitere Details zur ausgewählten Entität enthält, z. B. Entitätsname, Typ, Datum der letzten Aktualisierung und Ermittlungsquelle. In diesem Bereich werden möglicherweise auch zusätzliche Informationen wie Angriffspfade und Explosionsradius angezeigt, abhängig vom ausgewählten Knoten und seiner Beziehung zu anderen Knoten im Diagramm.
Entitäten und können auch als gruppierte Knoten angezeigt werden, die über numerische Indikatoren verfügen (z. B. um die Gesamtzahl der Benutzerkonten anzugeben). Um alle Knoten in einem gruppierten Knoten zu erweitern und anzuzeigen, verwenden Sie den Umschalter Gruppierung aufheben .
Ein Knoten kann auch einen der folgenden Indikatoren um sich herum haben:
Kritische Ressource: Gibt an, dass eine Entität als unternehmenskritisch oder wertvoll klassifiziert wird, wie in der kritischen Ressourcenverwaltung in Microsoft Security Exposure Management identifiziert. Dieser Indikator wird als Golden Crown
. Die Knoten, die kritische Ressourcen darstellen, haben auch einen goldenen Halo, der sie umgibt.Sicherheitsrisiko : Gibt an, dass mindestens ein Sicherheitsrisiko für die Entität erkannt wurde. Dieser Indikator wird als rotes
angezeigt.Untersuchen verbundener Ressourcen : Gibt an, dass der Knoten das Huntingdiagramm weiter über die ersten Ergebnisse hinaus erweitern kann. Wenn Sie das Diagramm erweitern, können Sie andere Beziehungen untersuchen, die die ausgewählte Entität mit den anderen hat. Dieser Indikator wird als blaues Pluszeichen Symbol
angezeigt.Ermittlungsquelle : Gibt die Datenquelle der Entität an. Dieser Indikator wird als Symbol des Defender-Produkts angezeigt, das die Entität in Blau schützt (z
für Microsoft Defender for Endpoint oder 
für Microsoft Defender für Cloud).Tipp
Sie können diesen Indikator aktivieren und deaktivieren, indem Sie den Schalter Ermittlungsquelle in den Ebenen des Diagramms umschalten.
Kanten
Ein Rand gibt die Beziehungs- oder Verbindungseigenschaften zwischen zwei Knoten an. Die Diagramme des Defender-Portals stellen eine Kante als Linien oder Richtungspfeile dar, die die folgenden Symbole aufweisen können:
| Icon | Edgetyp |
|---|---|
|
Enthält |
|
Leitet Datenverkehr an |
|
Verfügt über die Berechtigung /Hat die Rolle für |
|
Kann sich authentifizieren als / Kann sich bei authentifizieren |
|
Schiebt |
|
Unterhält |
|
Application |
|
Verschiebt Daten in |
|
Im Internet verfügbar gemacht |
|
Kann interaktive Anmeldung bei / Kann sich über das Netzwerk anmelden bei / Kann die interaktive Remoteanmeldung an |
|
Ausführung auf |
|
Proviant |
|
Identifiziert als Besitzer von |
|
Mitglied von |
|
Wird ausgeführt |
|
Generisch/Betrifft |
|
Erstellt aus / Wird zum Erstellen verwendet |
Wenn Sie eine Kante auswählen, wird ein Seitenbereich geöffnet, der weitere Details zu den Verbindungseigenschaften enthält. Wenn zwei Knoten über mehr als eine Beziehung verfügen, wird am Rand anstelle eines Symbols eine Zahl angezeigt. Weitere Informationen zu den Beziehungen dieser Knoten finden Sie, indem Sie auf die Zahl zeigen oder den Seitenbereich öffnen.
