Udostępnij przez

Omówienie wykresów i wizualizacji w Microsoft Defender

  • Dotyczy: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Defender używać interaktywnych wykresów do wizualizowania ścieżek ataku, promienia wybuchu i relacji między jednostkami w środowisku. Te wizualizacje zapewniają widok z lotu ptaka na możliwe zagrożenie lub atak, dzięki czemu Ty i Twój zespół ds. operacji zabezpieczeń (SOC) możesz szybko badać i polować na nie.

Wykresy generowane w portalu usługi Defender składają się z węzłów i krawędzi. W tym artykule wylicza i definiuje powszechnie używane ikony grafu tych elementów.

Węzłów

Węzeł dotyczy jednostki w twoim środowisku (na przykład urządzenia, konta użytkownika lub adresu IP). Wykresy portalu usługi Defender zwykle przedstawiają węzły jako dowolną z następujących okrągłych ikon:

Ikona Typ węzła Przykłady typów jednostek
Ikona węzła ogólnego. Ogólne Plan usługi App Service
Ikona węzła obliczeniowego. Obliczenia Urządzenie, maszyna wirtualna, aplikacja logiki microsoft Azure
Ikona węzła sieciowego. Sieci Interfejs, publiczny adres IP, sieciowa grupa zabezpieczeń
Ikona węzła danych. Dane Magazyn danych SQL, obszar roboczy usługi Log Analytics Azure Monitor, konto magazynu, Azure Event Hubs
Ikona węzła Kontenery. Kontenery Klaster Kubernetes
Ikona węzła Klucze. Klucze & wpisów tajnych Magazyn kluczy
Ikona węzła DevOps. DevOps Azure repozytoriów DevOps
Ikona węzła interfejsów API. Apis Aplikacje w chmurze
Ikona węzła tożsamości. Dostęp & tożsamości Konto użytkownika, jednostka usługi Microsoft Entra identyfikatora
Ikona węzła IoT. Iot
Ikona węzła certyfikatu. Certyfikat
Ikona węzła IP. Adres IP
Ikona węzła Subskrypcje. Subskrypcji

Wybranie węzła powoduje otwarcie panelu bocznego, który zawiera więcej szczegółów dotyczących wybranej jednostki, takich jak nazwa jednostki, typ, data ostatniej aktualizacji i źródło odnajdywania. Ten panel może również wyświetlać dodatkowe informacje, takie jak ścieżki ataku i promień wybuchu, w zależności od wybranego węzła i jego relacji z innymi węzłami na grafie.

Zrzut ekranu przedstawiający panel boczny na wykresie wyszukiwania zagrożeń zawierający szczegóły węzła.

Jednostki i mogą również być wyświetlane jako węzły pogrupowane, które mają wskaźniki liczbowe (na przykład w celu wskazania całkowitej liczby kont użytkowników). Aby rozwinąć i wyświetlić wszystkie węzły w węźle zgrupowanym, użyj przełącznika rozgrupowania .

Węzeł może również zawierać dowolny z następujących wskaźników:

  • Zasób krytyczny — wskazuje, że jednostka jest klasyfikowana jako krytyczna dla działania firmy lub wartościowa, jak określono w krytycznym zarządzaniu zasobami w Zarządzanie stopniem zagrożenia bezpieczeństwa przez firmę Microsoft. Ten wskaźnik jest wyświetlany jako ikona zasobu krytycznego z złotą koroną.. Węzły reprezentujące krytyczne zasoby mają również wokół nich złotą aureolę.

  • Luka w zabezpieczeniach — wskazuje, że w jednostce wykryto co najmniej jedną lukę w zabezpieczeniach. Ten wskaźnik jest wyświetlany jako czerwona ikona luki w zabezpieczeniach..

  • Eksplorowanie połączonych zasobów — wskazuje, że węzeł może rozszerzyć wykres wyszukiwania zagrożeń dalej niż początkowe wyniki. Rozwinięcie wykresu umożliwia eksplorowanie innych relacji, które wybrana jednostka ma z innymi. Ten wskaźnik jest wyświetlany jako niebieski znak plus Eksploruj ikonę połączonego zasobu.

  • Źródło odnajdywania — wskazuje źródło danych jednostki. Ten wskaźnik jest wyświetlany jako ikona produktu Defender chroniącego jednostkę w kolorze niebieskim (na przykład ikona usługi Defender for Endpoint. dla Ochrona punktu końcowego w usłudze Microsoft Defender lub ikona usługi Defender for Cloud. w przypadku Microsoft Defender dla chmury).

    Porada

    Ten wskaźnik można włączyć i wyłączyć wykres, przełączając przełącznik Źródła odnajdywania w warstwach wykresu.

Krawędzie

Krawędź wskazuje właściwości relacji lub połączenia między dwoma węzłami. Wykresy portalu usługi Defender przedstawiają krawędź jako linie lub strzałki kierunkowe, które mogą mieć następujące ikony:

Ikona Typ krawędzi
Zawiera ikonę krawędzi. Contains
Ikona krawędzi trasy. Kieruje ruch do
Ikona krawędzi uprawnień. Ma uprawnienia do /Ma rolę na
Ikona uwierzytelniania krawędzi. Może uwierzytelniać się jako / Może uwierzytelniać się w
Ikona wypychania krawędzi. Popycha
Obsługa ikony krawędzi. Utrzymuje
Ikona krawędzi aplikacji. Aplikacja
Ikona przenoszenia krawędzi. Przenosi dane do
Ikona uwidocznionej krawędzi. Uwidocznione w Internecie
Ikona krawędzi logowania. Czy logowanie interakcyjne do / Może zalogować się za pośrednictwem sieci do / Może zdalne logowanie interakcyjne do
Ikona krawędzi uruchamiania. Działa na
Ikona aprowizowania krawędzi. Przepisy
Zidentyfikuj ikonę krawędzi. Zidentyfikowane jako właściciel
Ikona krawędzi elementu członkowskiego. Członek
Ikona uruchamiania krawędzi. Jest uruchomiona
Ogólna ikona krawędzi. Ogólny / wpływa
Ikona tworzenia krawędzi. Utworzono na podstawie /Użyto do utworzenia

Wybranie krawędzi powoduje otwarcie panelu bocznego, który zawiera więcej szczegółów na temat właściwości połączenia. Jeśli dwa węzły mają więcej niż jedną relację, na krawędzi zostanie wyświetlona liczba zamiast ikony. Więcej informacji na temat relacji tych węzłów można znaleźć, umieszczając wskaźnik myszy na liczbie lub otwierając panel boczny.

Zrzut ekranu przedstawiający panel boczny na wykresie wyszukiwania zagrożeń zawierający szczegóły krawędzi.

Zobacz też

  • Last updated on