Übersicht über benutzerdefinierte Graphen (Vorschau)

Mit benutzerdefinierten Graphen können Sie maßgeschneiderte Sicherheitsdiagramme erstellen, die auf Ihre einzigartigen Sicherheitsszenarien abgestimmt sind, indem Sie Daten aus Sentinel Data Lake sowie nicht von Microsoft stammenden Quellen verwenden. Mit benutzerdefinierten Graphen, die von Fabric unterstützt werden, können Sie verbundene Daten erstellen, abfragen und visualisieren, verborgene Muster und Angriffspfade aufdecken und Dabei helfen, Risiken aufzudecken, die schwer zu erkennen sind, wenn Daten isoliert analysiert werden. Benutzerdefinierte Graphen liefern den Wissenskontext, der KI-gestützte Agentenerlebnisse effektiver macht, Untersuchungen beschleunigt, den Auswirkungsbereich aufzeigt und Ihnen hilft, von unübersichtlichen, voneinander isolierten Warnmeldungen zu fundierten Entscheidungen in großem Maßstab zu gelangen.

Häufige Szenarien

Diese Szenarien stellen ein Beispiel dafür dar, was mit benutzerdefinierten Graphen möglich ist. Sie können alle Entitäten, Beziehungen und Daten aus dem Sentinel Data Lake modellieren, um Graphen zu ermöglichen, die auf Ihre spezifischen Sicherheitsworkflows und Untersuchungsanforderungen zugeschnitten sind.

Szenario Wichtige Fragen, die graph beantworten kann
Phishing-E-Mail-Kill Chain mit angereichertem Geschäftskontext - Wer hat die Phishing-E-Mail erhalten, wer auf die Links geklickt hat und welche Klicks tatsächlich vom Proxy zugelassen wurden?
- Welche E-Mails verweisen auf dieselbe URL und offenbaren Wellen mit gemeinsam genutzter Infrastruktur? Anhang → Download → Prozessausführung → Gerät, um die Kette vom Posteingang bis zur Kompromittierung darzustellen.
DNS-C2-Beacon-Jäger - Geräte-zu-Domänen-Aktivitäten anzeigen, die Beaconing-Verhalten zeigen (geringe Intervallabweichung und hohe Zeitabdeckung), und dabei automatisierten Datenverkehr von menschlichem Surfverhalten trennen.
- Folgen Sie der vollständigen Nachweiskette vom Gerät → DNS-Abfrage → aufgelösten IP-→ Bedrohungsindikator.
Erkennung von Verhaltensangriffsketten – Zeigen Sie alle IPs/Benutzer an, die mit Verhaltensweisen in Berührung kommen, die drei oder mehr verschiedenen MITRE-Techniken zugeordnet sind.
- Verfolgen Sie den vollständigen Pfad von einem Bedrohungsindikator über die übereinstimmende IP über alle zugehörigen Verhaltensweisen hinweg bis zu jedem betroffenen Benutzer.
OAuth-Rechteausweitung - Dienstprinzipale anzeigen, die sich selbst Berechtigungen erteilt und diese Berechtigungen dann verkettet haben, um eine Tier-0-Verzeichnisrolle zu erreichen. Signatur des Selbsteskalationszyklus.

Erstellen benutzerdefinierter Diagramme in Microsoft Sentinel

Verwenden Sie die Jupyter Notebooks in Microsoft Visual Studio Code, um benutzerdefinierte Diagramme mit Ihren Daten im Microsoft Sentinel Data Lake interaktiv zu erstellen und zu analysieren. Die Notebooks werden von der Microsoft Sentinel Visual Studio Code-Erweiterung bereitgestellt, mit der Sie mithilfe von Python für Spark (PySpark) mit dem Microsoft Sentinel Data Lake interagieren können. Weitere Informationen zur Microsoft Sentinel Visual Studio Code-Erweiterung finden Sie unter Installieren von Visual Studio Code und der Microsoft Sentinel-Erweiterung.

Sie können benutzerdefinierte Diagramme entweder mithilfe der KI-gestützten Grapherstellung oder durch Schreiben ihres eigenen Codes mithilfe der Microsoft Sentinel Graphanbieterreferenz erstellen, um Ihr Graphmodell (Knoten und Kanten) zu definieren, Ihre Daten aus dem Sentinel Data Lake zu transformieren und die Graph Query Language (GQL) zum Abfragen und Analysieren Ihrer Diagramme zu verwenden. Weitere Informationen finden Sie unter KI-gestützte benutzerdefinierte Grapherstellung in Microsoft SentinelMicrosoft Sentinel Graphanbieterreferenz und GQL-Referenz (Graph Query Language) für Sentinel benutzerdefinierten Graphen.

Nachdem Sie den Graphcode im Notebook erstellt haben, können Sie das Notebook in einer interaktiven Sitzung ausführen oder einen Graphauftrag planen. Diagramme, die während der interaktiven Notebooksitzung erstellt wurden, sind kurzlebig und nur im Kontext der Notebooksitzung verfügbar. Um Ihren Graphen zu materialisieren und mit Ihrem Team zu teilen, planen Sie einen Graph-Job, um Ihren Graphen regelmäßig neu zu erstellen. Sobald der Graph materialisiert wurde, kann darauf über die Graph-Ansicht im Microsoft Defender-Portal unter Sentinel, Visual Studio Code-Notebooks und Graph-Abfrage-APIs zugegriffen werden.

In der folgenden Tabelle sind die Schritte zum Erstellen von benutzerdefinierten Graphen in Microsoft Sentinel zusammengefasst:

Schritt Beschreibung
1. Erstellen und Untersuchen eines Graphen in einer interaktiven Notebooksitzung – Jupyter-Notizbücher in Sentinel bieten eine interaktive Umgebung zum Untersuchen und Analysieren von Daten im Sentinel Lake.
– Die Microsoft Sentinel-Erweiterung enthält eine Python-Bibliothek des Graph-Generators.
– Verwenden Sie das Jupyter-Notizbuch in Sentinel, um Knoten und Kanten mit Lake-Daten zu definieren und Diagramme zu erstellen.
– Mit der Graph Builder-Bibliothek können Sie ein Diagramm mithilfe der Graph-Abfragesprache (Graph Query Language, GQL) im Jupyter-Diagrammnotizbuch abfragen.
2. Planen eines Graphauftrags zur Materialisierung Ihres Graphen – Materialisieren Sie Ihr Diagramm in Ihrem Mandanten für den fortgesetzten Zugriff und die Zusammenarbeit.
– Verwenden Sie Sentinel-Aufträge, um anzupassen, wie oft Sie ein materialisiertes Diagramm mit Lake-Daten aktualisieren möchten.
- Materialisierte Graphen in der Graph-Erfahrung in Microsoft Sentinel abfragen und visualisieren.
3. Ausführen erweiterter Graphalgorithmen – Verwenden Sie Jupyter-Notizbücher für den Zugriff auf integrierte Unterstützung für GraphFrames-Analysen und Graph-Traversalfunktionen.
- Verwenden Sie speziell integrierte Sentinel-Diagrammalgorithmen für häufige Sicherheitsanwendungsfälle.

Ausführliche Anweisungen zum Erstellen von benutzerdefinierten Graphen in Microsoft Sentinel finden Sie unter Benutzerdefinierte Graphen in Microsoft Sentinel.

Visualisieren von Diagrammen in Microsoft Sentinel

Microsoft Sentinel bietet mehrere Möglichkeiten zur Visualisierung von Graphen, darunter die Graphoberfläche in Microsoft Sentinel sowie Jupyter-Notebooks in der Sentinel-Erweiterung für Visual Studio Code. Auf der Graphoberfläche können Sie GQL-Abfragen (Graph Query Language) ausführen, das Diagrammschema anzeigen, das Diagramm visualisieren, Diagrammergebnisse im tabellarischen Format anzeigen und das Diagramm mit einem einfachen Klick interaktiv zum nächsten Hop durchlaufen.

Screenshot des Sentinel Graphen in Microsoft Sentinel mit einer Graphvisualisierung

Weitere Informationen zum Visualisieren von Diagrammen in Microsoft Sentinel mithilfe Sentinel Graphen finden Sie unter Visualisieren von Diagrammen in Microsoft Sentinel Graphen (Vorschau).