사용자 지정 그래프를 사용하면 Sentinel 데이터 레이크의 데이터와 비 Microsoft 원본의 데이터를 사용하여 고유한 보안 시나리오에 맞게 조정된 맞춤형 보안 그래프를 빌드할 수 있습니다. 패브릭에서 제공하는 사용자 지정 그래프를 사용하면 연결된 데이터를 빌드, 쿼리 및 시각화하고, 숨겨진 패턴 및 공격 경로를 파악하고, 격리된 상태에서 데이터를 분석할 때 감지하기 어려운 위험을 노출할 수 있습니다. 이러한 그래프는 AI 기반 에이전트 환경이 보다 효과적으로 작동하고, 조사 속도를 높이고, 폭발 반경을 드러내고, 시끄럽고 연결이 끊긴 경고에서 대규모의 자신감 있는 의사 결정으로 이동할 수 있도록 지원하는 지식 컨텍스트를 제공합니다.
일반적인 시나리오
이러한 시나리오는 사용자 지정 그래프로 가능한 항목의 샘플을 나타냅니다. Sentinel 데이터 레이크에서 엔터티, 관계 및 데이터를 모델링하여 특정 보안 워크플로 및 조사 요구에 맞게 조정된 그래프를 사용하도록 설정할 수 있습니다.
| 시나리오 | 그래프가 답변하는 데 도움이 될 수 있는 주요 질문 |
|---|---|
| 보강된 비즈니스 컨텍스트를 사용하여 피싱 이메일 킬 체인 | • 피싱 전자 메일을 받은 사람, 링크를 클릭한 사람, 실제로 프록시에서 허용한 클릭은 무엇인가요? • 공유 인프라를 사용하여 웨이브를 표시하는 동일한 URL을 가리키는 전자 메일은 무엇입니까? 첨부 파일 → 다운로드 → 프로세스 실행 → 디바이스를 다운로드하여 받은 편지함에서 손상까지의 체인을 표시합니다. |
| DNS C2 비콘 헌터 | • 비콘 동작(낮은 간격 차이 및 높은 시간 범위)을 나타내는 디바이스-도메인 활동을 표시하여 자동화된 트래픽을 사용자 검색과 분리합니다. • 디바이스 → DNS 쿼리 → 확인된 IP → 위협 지표의 전체 증거 체인을 따릅니다. |
| 동작 공격 체인 검색 | • 3개 이상의 MITRE 기술에 매핑된 동작을 터치하는 모든 IP/사용자를 표시합니다. • 영향을 받는 모든 사용자에게 연결된 모든 동작을 통해 일치하는 IP를 통해 위협 지표의 전체 경로를 따릅니다. |
| OAuth 권한 에스컬레이션 | • 자신에게 권한을 부여한 다음 계층 제로 디렉터리 역할에 도달하기 위해 해당 권한을 연결한 서비스 주체를 표시합니다. 자체 에스컬레이션 주기 서명입니다. |
Microsoft Sentinel 사용자 지정 그래프 빌드
Microsoft Visual Studio Code Jupyter Notebook을 사용하여 Microsoft Sentinel 데이터 레이크의 데이터로 사용자 지정 그래프를 대화형으로 만들고 분석합니다. Notebook은 Microsoft Sentinel Visual Studio Code 확장에서 제공되므로 Python for Spark(PySpark)를 사용하여 Microsoft Sentinel 데이터 레이크와 상호 작용할 수 있습니다. Microsoft Sentinel Visual Studio Code 확장에 대한 자세한 내용은 설치 Visual Studio Code 및 Microsoft Sentinel 확장을 참조하세요.
AI 지원 그래프 작성을 사용하거나 Microsoft Sentinel 그래프 공급자 참조를 사용하여 사용자 고유의 코드를 작성하여 그래프 모델(노드 및 에지)을 정의하고, Sentinel 데이터 레이크에서 데이터를 변환하고, Graph 쿼리 언어(GQL)를 사용하여 그래프를 쿼리하고 분석할 수 있습니다. 자세한 내용은 Microsoft Sentinel AI 지원 사용자 지정 그래프 작성, Microsoft Sentinel 그래프 공급자 참조 및 Sentinel사용자 지정 그래프에 대한 GQL(그래프 쿼리 언어) 참조를 참조하세요.
Notebook에서 그래프 코드를 작성하면 대화형 세션에서 Notebook을 실행하거나 그래프 작업을 예약할 수 있습니다. 대화형 Notebook 세션 중에 만든 그래프는 임시이며 Notebook 세션의 컨텍스트에서만 사용할 수 있습니다. 그래프를 구체화하고 팀과 공유하려면 그래프 작업을 예약하여 그래프를 자주 다시 작성합니다. 그래프가 구체화되면 Sentinel, Visual Studio Code Notebook 및 Graph 쿼리 API에서 Microsoft Defender 포털의 그래프 환경에서 액세스할 수 있습니다.
다음 표에는 Microsoft Sentinel 사용자 지정 그래프를 빌드하는 단계가 요약되어 있습니다.
| 단계 | 설명 |
|---|---|
| 1. 대화형 Notebook 세션에서 그래프 만들기 및 조사 | • Sentinel Jupyter Notebook은 Sentinel Lake에서 데이터를 탐색하고 분석하기 위한 대화형 환경을 제공합니다. - Microsoft Sentinel 확장에는 그래프 작성기 Python 라이브러리가 포함됩니다. • Sentinel Jupyter Notebook을 사용하여 Lake 데이터로 노드와 가장자리를 정의하고 그래프를 만듭니다. • 그래프 작성기 라이브러리를 사용하면 Jupyter 그래프 Notebook에서 GQL(그래프 쿼리 언어)을 사용하여 그래프를 쿼리할 수 있습니다. |
| 2. 그래프를 구체화하기 위한 그래프 작업 예약 | • 지속적인 액세스 및 협업을 위해 테넌트에서 그래프를 구체화합니다. • Sentinel 작업을 사용하여 레이크 데이터로 구체화된 그래프를 새로 고칠 빈도를 조정합니다. • Microsoft Sentinel 그래프 환경에서 구체화된 그래프를 쿼리하고 시각화합니다. |
| 3. 고급 그래프 알고리즘 실행 | • GraphFrames 분석 및 그래프 순회 함수에 대한 기본 제공 지원에 액세스하려면 Jupyter Notebook을 사용합니다. • 일반적인 보안 사용 사례에 대해 특별히 빌드된 Sentinel 그래프 알고리즘을 사용합니다. |
Microsoft Sentinel 사용자 지정 그래프를 빌드하는 방법에 대한 자세한 지침은 Microsoft Sentinel 사용자 지정 그래프를 참조하세요.
Microsoft Sentinel 그래프 시각화
Microsoft Sentinel 그래프 환경 Microsoft Sentinel, Sentinel Visual Studio Code 확장의 Jupyter Notebook을 포함하여 그래프를 시각화하기 위한 여러 옵션을 제공합니다. 그래프 환경을 사용하면 GQL(그래프 쿼리 언어) 쿼리를 실행하고, 그래프 스키마를 보고, 그래프를 시각화하고, 그래프 결과를 테이블 형식으로 보고, 간단한 클릭으로 그래프를 다음 홉으로 대화형으로 트래버스할 수 있습니다.
Sentinel 그래프를 사용하여 Microsoft Sentinel 그래프를 시각화하는 방법에 대한 자세한 내용은 Microsoft Sentinel 그래프에서 그래프 시각화(미리 보기)를 참조하세요.