次の方法で共有

Microsoft Defenderのグラフと視覚化について

  • 適用対象: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Defender対話型グラフを使用して、環境内のエンティティ間の攻撃パス、爆発半径、リレーションシップを視覚化します。 これらの視覚化は、脅威または攻撃の可能性を鳥瞰的に把握し、あなたとセキュリティ運用 (SOC) チームが迅速に調査および 捜索 できるようにします。

Defender ポータルで生成されたグラフは、 ノードエッジで構成されます。 この記事では、これらの要素をグラフ化するために一般的に使用されるアイコンを列挙して定義します。

Nodes

ノードは、環境内のエンティティ (デバイス、ユーザー アカウント、IP アドレスなど) に関連します。 Defender ポータル グラフは、通常、ノードを次のいずれかの円形アイコンとして表します。

Icon ノードの種類 エンティティ型の例
[全般] ノード アイコン。 全般 アプリ サービス プラン
コンピューティング ノード アイコン。 計算 デバイス、仮想マシン、Microsoft Azure Logic App
ネットワーク ノード アイコン。 ネットワーク インターフェイス、パブリック IP アドレス、ネットワーク セキュリティ グループ
データ ノード アイコン。 データ SQL データ ストア、Azure Monitor Log Analytics ワークスペース、ストレージ アカウント、Azure Event Hubs
コンテナー ノード アイコン。 Containers Kubernetes クラスター
キー ノード アイコン。 キー & シークレット キー コンテナー
DevOps ノード アイコン。 DevOps DevOps リポジトリをAzureする
API ノード アイコン。 API クラウド アプリケーション
ID ノード アイコン。 ID & アクセス ユーザー アカウント、Microsoft Entra ID サービス プリンシパル
IoT ノード アイコン。 IoT
証明書ノード アイコン。 証明書
IP ノード アイコン。 IP アドレス
サブスクリプション ノード アイコン。 サブスクリプション

ノードを選択すると、選択したエンティティの詳細 (エンティティ名、型、最終更新日、検出ソースなど) が表示されるサイド パネルが開きます。 このパネルには、選択したノードとグラフ内の他のノードとの関係に応じて、攻撃パスやブラスト半径などの追加情報が表示される場合もあります。

ノードの詳細を含むハンティング グラフのサイド パネルのスクリーンショット。

エンティティと は、数値インジケーターを持つ グループ化されたノードとして表示される場合もあります (たとえば、ユーザー アカウントの合計数を示します)。 グループ化されたノード内のすべてのノードを展開して表示するには、 グループ解除 トグルを使用します。

ノードの周囲には、次のいずれかのインジケーターが含まれている場合もあります。

  • 重要な資産 - エンティティが、Microsoft セキュリティ露出管理の重要な資産管理で識別される、ビジネスクリティカルまたは貴重なとして分類されることを示します。 このインジケーターは、ゴールデン クラウン の [重要な資産] アイコンとして表示されます。. 重要な資産を表すノードには、それらを囲むゴールデン ハローもあります。

  • 脆弱性 - エンティティで少なくとも 1 つの脆弱性が検出されたことを示します。 このインジケーターは、赤いバグ の脆弱性アイコンとして表示されます。

  • 接続された資産を探索する - ノードが最初の結果を超えてハンティング グラフをさらに拡張できることを示します。 グラフを展開すると、選択したエンティティが他のエンティティと持つ他のリレーションシップを調べることができます。 このインジケーターは、青いプラス記号 [ 接続済み資産の探索] アイコンとして表示されます。

  • 検出ソース - エンティティのデータ ソースを示します。 このインジケーターは、エンティティを青で保護する Defender 製品のアイコンとして表示されます (たとえば、Defender for Endpoint アイコン。Microsoft Defender for Endpointの場合は Defender for Cloud アイコン、クラウドの場合 Microsoft Defenderは Defender for Cloud アイコンなど)。

    ヒント

    グラフの [レイヤー] で [検出ソース] スイッチを切り替えることで、グラフのオンとオフを切り替えることができます。

エッジ

エッジは、2 つのノード間のリレーションシップまたは接続プロパティを示します。 Defender ポータル グラフには、次のアイコンが表示される線または方向矢印としてエッジが示されています。

Icon エッジの種類
エッジ アイコンを含む。 Contains
ルート エッジ アイコン。 へのトラフィックのルーティング
アクセス許可エッジ アイコン。 に対するアクセス許可を持ち、ロールを持つ
認証エッジ アイコン。 として認証できます/ に対して認証できます
エッジ アイコンをプッシュします。 プッシュ
エッジ アイコンを維持します。 維持
アプリケーション エッジ アイコン。 アプリケーション
エッジの移動アイコン。 データを に移動する
公開されたエッジ アイコン。 インターネットに公開
ログイン エッジ アイコン。 への対話型ログオンが可能/ にネットワーク経由でログオンできます/ へのリモート 対話型ログオンが可能
[実行エッジ] アイコン。 で実行されます
プロビジョニング エッジ アイコン。
エッジを識別するアイコン。 の所有者として識別される
メンバー エッジ アイコン。 所属するグループ
実行中のエッジ アイコン。 実行中
汎用エッジ アイコン。 ジェネリック/影響
エッジ アイコンを作成します。 作成元/ 作成に使用

エッジを選択すると、接続プロパティの詳細を提供するサイド パネルが開きます。 2 つのノードに複数のリレーションシップがある場合は、アイコンの代わりにエッジに数値が表示されます。 これらのノードの関係の詳細については、番号の上にマウス ポインターを合わせるか、サイド パネルを開きます。

エッジの詳細を含むハンティング グラフのサイド パネルのスクリーンショット。

関連項目

  • Last updated on