Visão geral de esquemas e operadores

  • Artigo

Esquemas de grafo de exposição empresarial no Gerenciamento de Exposição de Segurança da Microsoft fornecem informações de superfície de ataque, para ajudá-lo a entender como possíveis ameaças podem atingir e comprometer ativos valiosos. Este artigo resume as tabelas e operadores de esquema de grafo de exposição.

O Gerenciamento de Exposição de Segurança está atualmente em versão prévia pública.

Importante

Algumas informações neste artigo estão relacionadas ao produto pré-lançado que pode ser modificado substancialmente antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, com relação às informações aqui fornecidas.

Tabelas de esquema

O grafo de exposição depende das seguintes tabelas:

  • ExposureGraphNodes
  • ExposureGraphEdges

ExposureGraphNodes

ExposureGraphNodes contém entidades organizacionais e suas propriedades. Elas incluem entidades como dispositivos, identidades, grupos de usuários e ativos de nuvem, como máquinas virtuais (VMs), armazenamento e contêineres. Cada nó corresponde a uma entidade individual e encapsula informações sobre suas características, atributos e insights relacionados à segurança dentro da estrutura organizacional.

Veja a seguir os nomes, tipos e descrições da coluna ExposureGraphNodes :

  • NodeId (string) – Um identificador de nó exclusivo. Exemplo: "650d6aa0-10a5-587e-52f4-280bfc014a08"
  • NodeLabel (string)- O rótulo de nó. Exemplos: "microsoft.compute/virtualmachines", "elasticloadbalancing.loadbalancer"
  • NodeName (string)- O nome de exibição do nó. Exemplo: "nlb-test" (um nome de balanceador de carga de rede)
  • Categories (Dynamic (json)) – As categorias do nó. Exemplo:
[
  "compute",
  "virtual_machine"
]
  • NodeProperties (Dynamic (json)) – Propriedades do nó, incluindo insights relacionados ao recurso, como se o recurso está exposto à Internet ou vulnerável à execução remota de código. Os valores estão em formato de dados brutos (não estruturados). Exemplo:
{   
"rawData": {
"osType": "linux",   
"exposed to the internet": 
{     
"routes": [ { … } ]   
}
} 
}
  • EntityIds (Dynamic (json)) – Todos os identificadores de nó conhecidos. Exemplo:
{ 
"AzureResourceId": "A1",  
"MdeMachineId": "M1", 
}

ExposureGraphEdges

O esquema ExposureGraphEdges , juntamente com o esquema de complementação ExposureGraphNodes , fornece visibilidade sobre as relações entre entidades e ativos no grafo. Muitos cenários de caça exigem exploração de relações de entidade e caminhos de ataque. Por exemplo, ao procurar dispositivos expostos a uma vulnerabilidade crítica específica, conhecer a relação entre entidades, pode descobrir ativos organizacionais críticos.

Veja a seguir os nomes, rótulos e descrições da coluna ExposureGraphEdges :

  • EdgeId (string) – O identificador exclusivo para a relação/borda.
  • EdgeLabel (string) – O rótulo de borda. Exemplos: "afetando", "roteia o tráfego para", "está em execução" e "contém". Você pode exibir uma lista de rótulos de borda consultando o grafo. Para obter mais informações, confira Listar todos os rótulos de borda em seu locatário.
  • SourceNodeId (string) – ID do nó da origem da borda. Exemplo: "12346aa0-10a5-587e-52f4-280bfc014a08"
  • SourceNodeName (string) – O nome de exibição do nó de origem. Exemplo: "mdvmaas-win-123"
  • SourceNodeLabel (string) – O rótulo de nó de origem. Exemplo: "microsoft.compute/virtualmachines"
  • SourceNodeCategories (Dynamic (json)) – A lista de categorias do nó de origem.
  • TargetNodeId (string) – A ID do nó do destino da borda. Exemplo: "45676aa0-10a5-587e-52f4-280bfc014a08"
  • TargetNodeName (string) – Nome de exibição do nó de destino. Exemplo: gke-test-cluster-1
  • TargetNodeLabel (string) – O rótulo de nó de destino. Exemplo: "compute.instances"
  • TargetNodeCategories (Dynamic (json)) – A lista de categorias do nó de destino.
  • EdgeProperties (Dynamic (json)) – Dados opcionais relevantes para a relação entre os nós. Exemplo: para o "roteia o EdgeLabel tráfego para" com EdgeProperties , networkReachabilityforneça informações sobre a porta e os intervalos de protocolo que são usados para transferir o tráfego do ponto A para o B.
{   
 "rawData": {
  "networkReachability": {
    "type": "NetworkReachability",
    "routeRules": [
      {
        "portRanges": [
          "8083"
        ],
        "protocolRanges": [
          "6"
        ]
      },
      {
        "portRanges": [
          "80"
        ],
        "protocolRanges": [
          "6"
        ]
      },
      {
        "portRanges": [
          "443"
        ],
        "protocolRanges": [
          "6"
        ]
      }
    ]
  }
}
}

Operadores de Linguagem de Consulta Kusto de grafo (KQL)

O Gerenciamento de Exposição de Segurança da Microsoft depende de tabelas de grafo de exposição e operadores de grafo de exposição exclusivos para habilitar operações em estruturas de grafo. O grafo é criado a partir de dados tabulares usando o make-graph operador e, em seguida, consultado usando operadores de grafo.

O operador make-graph

O make-graph operator cria uma estrutura de grafo a partir de entradas tabulares de bordas e nós. Para obter mais informações sobre seu uso e sintaxe, consulte operador make-graph.

O operador de correspondência de grafo

O graph-match operador pesquisa todas as ocorrências de um padrão de grafo em uma fonte de grafo de entrada. Para obter mais informações, consulte operador de correspondência de grafo.

Próximas etapas

Consulte o grafo de exposição empresarial.