什么是 Microsoft Sentinel 图？

Microsoft Sentinel 图形是一项统一的图形分析功能，Microsoft Sentinel 支持跨安全、合规性、标识和Microsoft安全生态系统的基于图形的体验，使安全团队能够在其数字资产中建模、分析和可视化复杂的关系。

与传统的表格数据方法不同，Sentinel 图形使防御者和 AI 代理能够根据互连的资产、标识、活动和威胁情报进行推理，解锁更深入的见解，并加速应对跨入侵前和违规后演变的网络威胁。 图形能够直观地表示用户、设备、云资源、数据流、活动和攻击者操作所构成的真实世界网络。 通过将这些关系表示为节点和边缘，安全团队可以回答表难以或不可能的问题，例如，如果特定用户帐户遭到入侵，会发生什么情况？ 或者，被入侵的文档的影响范围是多少？

在所有阶段启用防御

Sentinel 图谱提供互联安全图谱，帮助您在防御的每个阶段。 图形功能通过整个 Defender 和 Microsoft Purview 中的新方案进行扩展，跨所有阶段提供基于图形的防御策略，从入侵前到泄露后，以及跨资产、活动和威胁情报。

例如，数字环境包括 Active Directory、服务器、虚拟机和其他资产、漏洞、配置错误和过度特权是常见的，并且可以通过泄露的帐户增加安全漏洞的风险。 攻击者可能会渗透到组织、泄露令牌，并最终获取对敏感信息的访问权限，从而导致数据外泄。

Microsoft Sentinel 图形提供基础图形分析功能，将活动、资产和威胁情报功能互连，在这些网络中增强分析，并在整个Microsoft解决方案中实现全面基于图形的安全性（跨入侵前和违规后）。

1. Microsoft安全暴露管理（MSEM）和Microsoft Defender for Cloud（MDC）中的攻击路径等功能提供了主动管理攻击面、保护关键资产以及探索和缓解暴露风险的建议。
2. [新增]Defender 中事件图中的爆炸半径分析可帮助你评估和可视化攻击者可能从入侵实体到关键资产的易受攻击路径。
3. [新增]Defender 中基于图形的搜寻有助于直观地遍历用户、设备和其他实体之间的关系的复杂 Web，以揭示关键资产的特权访问路径，以确定事件和响应工作的优先级。
4. [新增]通过 Microsoft Purview Insider Risk Management 进行的活动分析支持用户风险评估，并帮助识别 SharePoint 和 OneDrive 中风险用户活动的数据泄漏爆炸半径。
5. [新增]Microsoft Purview 数据安全调查图，通过指向敏感数据访问和移动、映射潜在的外泄路径以及可视化链接到有风险文件的用户和活动（全部在一个视图中）来帮助了解泄露范围。

Microsoft Sentinel 图形的功能共同支持跨安全生命周期的所有阶段进行防御。

与 Microsoft 安全解决方案集成

Microsoft Sentinel 图形为Microsoft的安全组合提供新的高级功能：

开始

要开始使用 Microsoft Sentinel Graph，请执行以下操作：

Pricing

所有新的 Microsoft Sentinel 基于图形的体验都包含在现有的 Defender 和 Microsoft Purview 许可证中。 但是，Sentinel 图形是基于 Sentinel 数据湖构建的，需要启用数据源。 启用数据源会产生引入、数据处理和数据湖存储成本。 对于 Sentinel SIEM 客户，大多数必需的数据源都是 Sentinel 免费数据源 的一部分。在数据被引入到分析层后，这些数据源在数据湖中即可免费使用。 如果直接加载到数据湖，非实体源（如 Microsoft Entra ID 日志）会产生引入、数据处理和数据湖存储成本；如果加载到分析层，则会产生分析层引入成本。 有关详细信息，请参阅 Sentinel 数据湖计费。