Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Wykres wyszukiwania zagrożeń zapewnia możliwości wizualizacji w zaawansowanym wyszukiwaniu zagrożeń przez renderowanie scenariuszy zagrożeń jako interaktywnych grafów. Ta funkcja umożliwia analitykom centrum operacji zabezpieczeń (SOC), łowcom zagrożeń i badaczom bezpieczeństwa łatwiejsze i intuicyjne przeprowadzanie zagrożeń i reagowania na zdarzenia, zwiększając ich wydajność i zdolność do oceny możliwych problemów z bezpieczeństwem.
Analitycy często polegają na zapytaniach język zapytań Kusto (KQL), aby odkryć relacje między jednostkami. Takie podejście może być czasochłonne i podatne na niedopatrzenia. Wykres wyszukiwania zagrożeń upraszcza i przyspiesza eksplorację danych zabezpieczeń, wizualizując te relacje. Możesz śledzić ścieżki i możliwe punkty zadławienia, a także uzyskiwać szczegółowe informacje o powierzchni i podejmować różne akcje w oparciu o wyniki, które mogą zostać pominięte przez zapytania tabelaryczne.
Uzyskiwanie dostępu
Aby korzystać z wykresu wyszukiwania zagrożeń, zaawansowanego wyszukiwania zagrożeń lub innych możliwości Microsoft Defender XDR, potrzebna jest odpowiednia rola w Tożsamość Microsoft Entra. Przeczytaj o wymaganych rolach i uprawnieniach do zaawansowanego wyszukiwania zagrożeń.
Musisz również mieć następujący dostęp lub uprawnienia:
- Microsoft Sentinel data lake
- Co najmniej dostęp tylko do odczytu w Zarządzanie stopniem zagrożenia bezpieczeństwa przez firmę Microsoft
Gdzie znaleźć wykres wyszukiwania zagrożeń
Stronę wykresu wyszukiwania zagrożeń można znaleźć, przechodząc do lewego paska nawigacyjnego w portalu Microsoft Defender i wybierając pozycję Badanie & odpowiedzi>Na zaawansowane>wyszukiwanie zagrożeń.
Na stronie zaawansowanego wyszukiwania zagrożeń wybierz ikonę wykresu wyszukiwania zagrożeń 
W górnej części strony lub wybierz ikonę Utwórz nową ikonę 
a następnie wybierz pozycję Wykres wyszukiwania zagrożeń.
Nowa strona wykresu wyszukiwania zagrożeń jest wyświetlana jako karta z etykietą Nowe wyszukiwanie na zaawansowanej stronie wyszukiwania zagrożeń.
Funkcje grafu wyszukiwania zagrożeń
Wykresy interaktywne generowane przez wykres wyszukiwania zagrożeń używają węzłów i krawędzi do wyświetlania jednostek w środowisku, takich jak urządzenie, konto użytkownika lub adres IP, a także ich relacje lub właściwości połączenia. Dowiedz się więcej na temat wykresów i wizualizacji w Microsoft Defender.
W prawym dolnym rogu grafu znajdują się przyciski sterujące, które umożliwiają powiększanie i pomniejszanie oraz wyświetlanie warstw grafu.
Rozpoczynanie pracy z wykresem wyszukiwania zagrożeń
Używanie wstępnie zdefiniowanych scenariuszy na wykresie wyszukiwania zagrożeń
Wykres wyszukiwania zagrożeń umożliwia wyszukiwanie za pomocą wstępnie zdefiniowanych scenariuszy. Te scenariusze to wstępnie utworzone zaawansowane zapytania dotyczące wyszukiwania zagrożeń, które ułatwiają odpowiadanie na konkretne i typowe pytania dotyczące konkretnych przypadków użycia.
Aby rozpocząć wyszukiwanie zagrożeń od wstępnie zdefiniowanego scenariusza, na nowej stronie wykresu wyszukiwania wyszukiwania wybierz pozycję Wyszukaj ze wstępnie zdefiniowanymi scenariuszami. Zostanie wyświetlony panel boczny, w którym można wykonać następujące czynności:
- Wybierz scenariusz i wprowadź wymagane dane wejściowe
- Stosowanie filtrów na wykresie
- Renderowanie grafu
Krok 1. Wybieranie scenariusza i wprowadzanie danych wejściowych scenariusza
W poniższej tabeli opisano wstępnie zdefiniowane scenariusze na grafie wyszukiwania zagrożeń oraz odpowiednie wymagane dane wejściowe scenariusza, jeśli mają zastosowanie. W przypadku scenariuszy, które wymagają danych wejściowych, możesz wpisać lub wyszukać i wybrać je w podanych polach wyszukiwania.
| Scenariusz | Opis | Wejścia |
|---|---|---|
| Ścieżki między dwiema jednostkami | Podaj dwie jednostki (węzły), aby wyświetlić ścieżki między nimi. Użyj tego scenariusza, jeśli chcesz sprawdzić, czy istnieje ścieżka prowadząca z jednej jednostki do innej. |
|
| Jednostki, które mają dostęp do magazynu kluczy | Podaj określony magazyn kluczy do wyświetlania ścieżek z różnych jednostek (urządzeń, maszyn wirtualnych, kontenerów, serwerów i innych), które mają do niego bezpośredni lub pośredni dostęp. Użyj tego scenariusza w przypadku naruszenia zabezpieczeń, prac konserwacyjnych lub oceny wpływu jednostek, które mogą mieć dostęp do poufnych zasobów, takich jak magazyn kluczy. |
Docelowy magazyn kluczy |
| Użytkownicy z dostępem do poufnych danych | Podaj dowolny poufny magazyn danych, aby wyświetlić użytkowników, którzy mają do niego dostęp. Użyj tego scenariusza, jeśli chcesz wiedzieć, które jednostki mają dostęp do poufnych danych, zwłaszcza w przypadkach, gdy zdarzenie wskazuje nietypowy dostęp do poufnych plików. |
Docelowe konto magazynu |
| Krytyczni użytkownicy z dostępem do kont magazynu zawierających dane poufne | W tym scenariuszu zidentyfikowano krytycznych użytkowników z dostępem do zasobów magazynu zawierających dane poufne. Ten scenariusz umożliwia zapobieganie, ocenianie i monitorowanie nieautoryzowanego dostępu, ryzyka narażenia i naruszenia zabezpieczeń na podstawie uprzywilejowanych użytkowników. |
(Brak) |
| Eksfiltracja danych przez urządzenie | Podaj identyfikator urządzenia, aby wyświetlić ścieżki do kont magazynu, do których ma dostęp; na przykład, aby sprawdzić, do jakich kont magazynu może uzyskać dostęp określone urządzenie w środowisku byOD (Bring Your Own Device). Ten scenariusz jest używany podczas badania podejrzanego lub nieautoryzowanego transferu danych z urządzeń firmowych i do źródeł zewnętrznych. |
Urządzenie źródłowe |
| Ścieżki do klastra Kubernetes o wysokim znaczeniu | Zapewnij klaster Kubernetes o wysokiej krytyczności, aby wyświetlać użytkowników, maszyny wirtualne i kontenery, które mają do niego dostęp. Ten scenariusz służy do oceny, analizowania i określania priorytetów obsługi ścieżek ataków prowadzących do bardzo krytycznego klastra Kubernetes. |
Docelowy klaster Kubernetes |
| Tożsamości z dostępem do repozytoriów Azure DevOps | Podaj nazwę repozytorium Azure DevOps (ADO), aby wyświetlić użytkowników, którzy mają dostęp do odczytu i/lub zapisu do wspomnianego repozytorium. Ten scenariusz służy do identyfikowania jednostek z dostępem do repozytoriów ADO, które często zawierają poufne zasoby, a tym samym cenne cele dla podmiotów zagrożeń. Ten scenariusz zapewnia wgląd i umożliwia planowanie odpowiedzi w przypadku naruszenia zabezpieczeń. |
Docelowe repozytorium ADO |
| Identyfikowanie węzłów w największej liczbie ścieżek do magazynów danych SQL | W tym scenariuszu zidentyfikowano węzły, które są wyświetlane w największej liczbie ścieżek prowadzących do magazynów danych SQL. Scenariusz odnajduje ścieżki na grafie, w których użytkownicy mają role lub uprawnienia dostępu do magazynów danych SQL. Ten scenariusz umożliwia uzyskanie wglądu w magazyny, które mogą zawierać poufne informacje, ocenę wpływu w przypadku naruszenia zabezpieczeń oraz przygotowanie środków zaradczych i reagowania. |
(Brak) |
| Ścieżki ataku do krytycznego zasobu | Wyświetl potencjalne trasy przez różne węzły prowadzące do celu. Ten scenariusz służy do analizowania potencjalnego przenoszenia bocznego, które może osiągnąć krytyczny zasób za pośrednictwem sieci. |
Docelowy zasób krytyczny |
| Połączenia jednostek | Znajdź bezpośrednie połączenia danej jednostki i przeanalizuj jej relacje. | Jednostka źródłowa Nuta: Jako węzła inicjowania wykresu można użyć dowolnej jednostki. Wykres wskazuje połączenia przychodzące i wychodzące. |
Krok 2. Stosowanie filtrów
Możesz dodać odpowiednie filtry, aby widok mapy wybranego scenariusza był bardziej precyzyjny. Jeśli na przykład chcesz wyświetlić tylko najkrótsze ścieżki, wybierz tę opcję.
Filtry zaawansowane
Domyślnie wstępnie zdefiniowane scenariusze automatycznie stosują określone filtry, które można wyświetlić w sekcji Filtry zaawansowane panelu bocznego. Możesz usunąć te filtry lub dodać nowe, aby jeszcze bardziej uściślić wykres, który chcesz wygenerować.
Aby usunąć filtry, wybierz ikonę Usuń filtr
Obok każdego filtru lub wybierz pozycję Wyczyść wszystko , aby usunąć je wszystkie jednocześnie.
Aby dodać filtr, wybierz pozycję Dodaj filtr , a następnie wybierz dowolny z obsługiwanych filtrów węzła lub krawędzi. Poniższa tabela zawiera listę obsługiwanych operatorów i filtrów. W zależności od wybranego scenariusza niektóre z tych filtrów mogą nie być dostępne jako opcje.
| Typ filtru | Operator | Filtry |
|---|---|---|
| Węzeł źródłowy | Equals |
|
| Węzeł docelowy | Equals |
|
| Typ krawędzi | Equals |
|
| Kierunek krawędzi | Equals |
|
Krok 3. Renderowanie grafu
Po wybraniu scenariusza i zastosowaniu niezbędnych filtrów wybierz pozycję Uruchom , aby renderować wykres. Po wyrenderowaniu wykresu można go dalej eksplorować, wybierając węzły i krawędzie, aby wyświetlić więcej informacji na temat jednostek i relacji, lub rozwinąć lub skupić się na określonych jednostkach.