Partilhar via

Compreender gráficos e visualizações no Microsoft Defender

  • Aplica-se a: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Defender utilizar gráficos interativos para visualizar caminhos de ataque, raio de explosão e relações entre entidades no seu ambiente. Estas visualizações fornecem uma visão geral de uma possível ameaça ou ataque, permitindo que você e a sua equipa de operações de segurança (SOC) investiguem e os procurem rapidamente.

Os gráficos gerados no portal do Defender são compostos por nós e arestas. Este artigo enumera e define os ícones mais utilizados para o gráfico destes elementos.

Nós

Um diz respeito a uma entidade no seu ambiente (por exemplo, um dispositivo, uma conta de utilizador ou um endereço IP, entre outros). Normalmente, os gráficos do portal do Defender retratam os nós como um dos seguintes ícones circulares:

Ícone Tipo de nó Exemplos de tipo de entidade
Ícone de nó geral. Geral Plano do serviço de aplicações
Ícone de nó de computação. Calcular Dispositivo, máquina virtual, Microsoft Azure Logic App
Ícone de nó de rede. Rede Interface, endereço IP público, grupo de segurança de rede
Ícone do nó de dados. Dados Arquivo de dados SQL, Azure Monitorizar área de trabalho do Log Analytics, conta de armazenamento Hubs de Eventos do Azure
Ícone do nó Contentores. Containers Cluster do Kubernetes
Ícone do nó de chaves. Chaves & segredos Cofre de chaves
Ícone do nó de DevOps. DevOps Azure repositórios de DevOps
Ícone do nó de APIs. APIs Aplicações na cloud
Ícone do nó de identidade. Acesso & identidade Conta de utilizador, principal de serviço Microsoft Entra ID
Ícone do nó IoT. IoT
Ícone de nó de certificado. Certificado
Ícone de nó IP. Endereço IP
Ícone do nó Subscrições. Subscrições

Selecionar um nó abre um painel lateral que fornece mais detalhes sobre a entidade escolhida, como o nome da entidade, o tipo, a data da última atualização e a origem de deteção. Este painel também pode apresentar informações adicionais, como caminhos de ataque e raio de explosão, consoante o nó selecionado e a respetiva relação com outros nós no gráfico.

Captura de ecrã do painel lateral no gráfico de investigação que contém os detalhes do nó.

As entidades e também podem aparecer como nós agrupados, que têm indicadores numéricos (por exemplo, para indicar o número total de contas de utilizador). Para expandir e ver todos os nós num nó agrupado, utilize o botão de alternar desagrupar .

Um nó também pode ter qualquer um dos seguintes indicadores à sua volta:

  • Recurso crítico - Indica que uma entidade é classificada como crítica para a empresa ou valiosa, conforme identificado na gestão de recursos crítica no Gestão da exposição de segurança da Microsoft. Este indicador aparece como um ícone de recurso Crítico da coroa dourada. Os nós que representam os ativos críticos também têm uma auréola dourada à sua volta.

  • Vulnerabilidade – indica que foi detetada, pelo menos, uma vulnerabilidade na entidade. Este indicador aparece como um ícone de Vulnerabilidade de erro vermelho.

  • Explorar recursos ligados – indica que o nó pode expandir o gráfico de investigação mais além dos resultados iniciais. Expandir o gráfico permite-lhe explorar outras relações que a entidade selecionada tem com as outras. Este indicador aparece como um sinal de adição azul Ícone explorar recurso ligado..

  • Origem de deteção – indica a origem de dados da entidade. Este indicador aparece como o ícone do produto Defender que protege a entidade a azul (por exemplo, o ícone do Defender para Ponto Final. para Microsoft Defender para Endpoint ou o ícone do Defender para a Cloud. para Microsoft Defender para a Cloud).

    Sugestão

    Pode ativar e desativar este indicador ao alternar o comutador Origem de Deteção nas Camadas do gráfico.

Arestas

Um limite indica a relação ou as propriedades de ligação entre dois nós. Os gráficos do portal do Defender representam uma aresta como linhas ou setas direcionais que podem ter os seguintes ícones:

Ícone Tipo de limite
Ícone Conter aresta. Contém
Ícone de aresta de rota. Encaminha o tráfego para
Ícone de limite de permissão. Tem permissão para/Tem função ativada
Ícone Autenticar limite. Pode autenticar como/Pode autenticar para
Ícone de extremidade push. Emita
Ícone Manter aresta. Manutenção
Ícone do limite da aplicação. Aplicação
Ícone Mover aresta. Move dados para
Ícone de aresta exposto. Exposto à Internet
Ícone de limite de início de sessão. Pode iniciar sessão interativa para/Pode iniciar sessão através da rede para/Pode iniciar sessão interativa remota para
Ícone Executar limite. É executado em
Ícone Aprovisionar limite. Aprovisionamentos
Identifique o ícone de extremidade. Identificado como proprietário de
Ícone de limite de membro. Membro do
Ícone de limite em execução. Está em execução
Ícone de limite genérico. Genérico/Afeta
Ícone Criar aresta. Criado a partir de/Utilizado para criar

Selecionar uma aresta abre um painel lateral que fornece mais detalhes sobre as propriedades da ligação. Se dois nós tiverem mais do que uma relação, é apresentado um número no limite, em vez de um ícone. Pode encontrar mais informações sobre as relações destes nós ao pairar o rato sobre o número ou ao abrir o painel lateral.

Captura de ecrã do painel lateral no gráfico de investigação que contém os detalhes do limite.

Consulte também

  • Last updated on