Compartilhar via

Descrição geral dos esquemas e operadores

  • Artigo

Os esquemas de gráficos de exposição empresarial no Gerenciamento de Exposição da Segurança da Microsoft fornecem informações sobre a superfície de ataque, para o ajudar a compreender como as potenciais ameaças podem atingir e comprometer recursos valiosos. Este artigo resume os operadores e tabelas de esquema de gráficos de exposição.

Tabelas de esquema

O gráfico de exposição baseia-se nas seguintes tabelas:

  • ExposureGraphNodes
  • ExposureGraphEdges

ExposureGraphNodes

ExposureGraphNodes contém entidades organizacionais e as respetivas propriedades. Estas incluem entidades como dispositivos, identidades, grupos de utilizadores e recursos da cloud, como máquinas virtuais (VMs), armazenamento e contentores. Cada nó corresponde a uma entidade individual e encapsula informações sobre as suas características, atributos e informações relacionadas com segurança na estrutura organizacional.

Seguem-se nomes, tipos e descrições de colunas ExposureGraphNodes :

  • NodeId (string) - Um identificador de nó exclusivo. Exemplo: "650d6aa0-10a5-587e-52f4-280bfc014a08"
  • NodeLabel (string)- A etiqueta do nó. Exemplos: "microsoft.compute/virtualmachines", "elasticloadbalancing.loadbalancer"
  • NodeName (string)- O nome a apresentar do nó. Exemplo: "nlb-test" (um nome de balanceador de carga de rede)
  • Categories (Dynamic (json)) - As categorias do nó. Exemplo:
[
  "compute",
  "virtual_machine"
]
  • NodeProperties (Dynamic (json)) - Propriedades do nó, incluindo informações relacionadas com o recurso, tais como se o recurso está exposto à Internet ou vulnerável à execução remota de código. Os valores estão no formato de dados não processados (não estruturados). Exemplo:
{   
"rawData": {
"osType": "linux",   
"exposed to the internet": 
{     
"routes": [ { … } ]   
}
} 
}
  • EntityIds (Dynamic (json)) – todos os identificadores de nós conhecidos. Exemplo:
{ 
"AzureResourceId": "A1",  
"MdeMachineId": "M1", 
}

ExposureGraphEdges

O esquema ExposureGraphEdges , juntamente com o esquema ExposureGraphNodes complementar, fornece visibilidade sobre as relações entre entidades e recursos no gráfico. Muitos cenários de investigação requerem a exploração de relações entre entidades e caminhos de ataque. Por exemplo, ao procurar dispositivos expostos a uma vulnerabilidade crítica específica, conhecer a relação entre entidades pode descobrir recursos organizacionais críticos.

Seguem-se os nomes, etiquetas e descrições das colunas ExposureGraphEdges :

  • EdgeId (string) - O identificador exclusivo da relação/edge.
  • EdgeLabel (string) - A etiqueta de extremidade. Exemplos: "a afetar", "encaminha o tráfego para", "está em execução" e "contém". Pode ver uma lista de etiquetas edge ao consultar o gráfico. Para obter mais informações, consulte Listar todas as etiquetas edge no seu inquilino.
  • SourceNodeId (string) - ID do nó da origem do edge. Exemplo: "12346aa0-10a5-587e-52f4-280bfc014a08"
  • SourceNodeName (string) - O nome a apresentar do nó de origem. Exemplo: "mdvmaas-win-123"
  • SourceNodeLabel (string) - A etiqueta do nó de origem. Exemplo: "microsoft.compute/virtualmachines"
  • SourceNodeCategories (Dynamic (json)) - A lista de categorias do nó de origem.
  • TargetNodeId (string) - O ID do nó do destino da extremidade. Exemplo: "45676aa0-10a5-587e-52f4-280bfc014a08"
  • TargetNodeName (string) - Nome a apresentar do nó de destino. Exemplo: gke-test-cluster-1
  • TargetNodeLabel (string) - A etiqueta do nó de destino. Exemplo: "compute.instances"
  • TargetNodeCategories (Dynamic (json)) - A lista de categorias do nó de destino.
  • EdgeProperties (Dynamic (json)) - Dados opcionais relevantes para a relação entre os nós. Exemplo: para "encaminha o EdgeLabel tráfego para" com EdgeProperties o de networkReachability, forneça informações sobre os intervalos de portas e protocolos que são utilizados para transferir tráfego do ponto A para o B.
{   
 "rawData": {
  "networkReachability": {
    "type": "NetworkReachability",
    "routeRules": [
      {
        "portRanges": [
          "8083"
        ],
        "protocolRanges": [
          "6"
        ]
      },
      {
        "portRanges": [
          "80"
        ],
        "protocolRanges": [
          "6"
        ]
      },
      {
        "portRanges": [
          "443"
        ],
        "protocolRanges": [
          "6"
        ]
      }
    ]
  }
}
}

Operadores do Graph Linguagem de Consulta Kusto (KQL)

Gerenciamento de Exposição da Segurança da Microsoft baseia-se em tabelas de gráficos de exposição e operadores de gráficos de exposição exclusivos para permitir operações através de estruturas de gráficos. O gráfico é criado a partir de dados tabulares com o make-graph operador e, em seguida, consultado com operadores de grafos.

O operador make-graph

O make-graph operator cria uma estrutura de grafos a partir de entradas tabulares de arestas e nós. Para obter mais informações sobre a sua utilização e sintaxe, veja operador make-graph.

O operador de correspondência de grafos

O graph-match operador procura todas as ocorrências de um padrão de gráfico numa origem de grafo de entrada. Para obter mais informações, veja Operador de correspondência de grafos.

Próximas etapas

Consultar o gráfico de exposição empresarial.