Microsoft Sentinel 是一款可擴展、雲端原生的安全資訊與事件管理 (SIEM) 解決方案,透過內建 AI、自動化、威脅情報,以及現代化的資料湖與圖架構,提供跨多雲及多平台環境的成本效益安全。 Microsoft Sentinel 資料湖與圖表是一個租戶範圍的資料庫,用於收集、儲存及管理來自各種來源的大量安全相關資料。 這些解決方案與 Microsoft Purview 解決方案整合,並支援資料風險圖表。
以下 Microsoft Purview 解決方案提供資料風險圖功能:
資料風險圖
Microsoft Purview 解決方案中的資料風險圖由 Microsoft Sentinel 圖形驅動,讓您能在互動式圖譜體驗中檢視受影響資產、使用者及其活動之間的連結。 Microsoft Sentinel 圖是 Microsoft Sentinel 內建的統一圖分析功能,為 Microsoft Purview 解決方案提供基於圖形的體驗。 欲了解更多關於 Microsoft Sentinel 資料圖的資訊,請參閱「什麼是 Microsoft Sentinel 圖?」
資料風險圖原生呈現真實世界的網路,涵蓋使用者、裝置、雲端資源、資料流、活動及攻擊者行動,這些行為與 Microsoft Purview 解決方案中識別的活動相關。 將活動與資產連結有助於分析師:
- 了解上下文:查看使用者的角色與檔案位置,以評估行為是否典型或可疑。
- 評估影響:視覺化哪些資產可能因追蹤敏感地點內的活動路徑而受到影響。
- 有效協作:利用資料風險圖向利害關係人傳達發現,展示使用者、行動與資產之間的連結。
資料風險圖控制
Microsoft Purview 解決方案中的資料風險圖具有以下控制功能,幫助您發現並處理項目關係及連接節點的資訊:
- 可移動節點:透過移動節點改變圖形呈現方式,以自訂節點、關係與連接的視圖。
- 層級: 漏洞 層作為資料風險圖中的預設 洞察層 呈現。 要更改圖層,請在圖表左下角選擇圖 層控制項 。
- 最大化圖表視圖:要快速最大化圖表,請選擇圖表左下角的 縮放以配合(Zoom to Fit )控制。
- 將圖表縮放至任意大小:若要放大或縮小圖表大小,請在圖表左下角選擇 + or - 控制項。 在圖表左下角選擇 設定 控制項,以啟用或關閉 縮放滑桿 控制。
資料風險圖功能
Microsoft Purview 解決方案中的資料風險圖具備以下功能,幫助您發現並處理項目關係及連接節點的資訊:
- 節點:節點包含彼此關聯的使用者、網站、檔案及 IP 位址。
- 關係:節點間描述彼此互動方式的連結。 每段關係上的徽章描述行動與意義。 例如,徽章可能包含「登入」、「下載」、「上傳」等。
先決條件與入職變更
若要在資料安全性調查與內部風險管理中使用資料風險圖,您必須先加入 Microsoft Sentinel 資料湖與圖表,並符合特定要求。 此外,當你加入資料湖與圖表時,流程會在組織的多個領域和服務上做出調整。 這個流程包括你現有的資料湖、Microsoft Defender 中的主工作區及其他連接工作空間,以及更多。
資料風險圖採用按需付費的計費模式來擷取和儲存資料,但使用資料風險圖不會產生額外費用。 若填入資料風險圖所需的資料已啟用或儲存,則不會額外收費。
有關所有先決條件、帳單資訊及入職流程變更的逐步指引,請參閱以下文章:
- Microsoft Sentinel data lake and Microsoft Sentinel graph 的前置條件
- 導入 Microsoft Sentinel 資料湖與 Microsoft Sentinel 圖形時所做的變更
設定資料風險圖
當您符合 Microsoft Sentinel 資料湖與 Microsoft Sentinel 圖形的前置條件,並了解新手導入過程中所做的變更後,您即可在 Microsoft Purview 解決方案中設定資料風險圖。 Microsoft Purview 資料風險圖中的所有活動與資產資料都會儲存在您的組織資料湖中。
請參閱以下文章,以設定 Microsoft Purview 解決方案中的資料風險圖: