Microsoft Defender 포털의 그래프 환경을 사용하면 피싱 분석을 위해 빌드된 그래프를 사용하여 최근 인시던트의 영향을 신속하게 평가하고, 공격자를 프로파일링하고, Microsoft 원격 분석 및 타사 데이터에서 경로를 추적하는 등 사용자 지정 그래프에 대한 대화형 그래프 기반 조사를 수행할 수 있습니다. 이 환경을 사용하면 그래프 쿼리를 실행하여 organization 가장 중요한 인사이트를 시각화하고 그래프의 임시 순회를 지원하므로 관심 있는 엔터티를 신속하게 조사할 수 있습니다. 그래프 스키마를 연구하여 그래프에 정의된 관계를 이해하고 표시된 메타데이터를 사용하여 결과의 범위를 좁힐 수 있습니다. 테이블 뷰를 사용하여 결과의 유효성을 신속하게 검사하고 기존 워크플로에 쉽게 통합할 수 있도록 내보낼 수 있습니다. Microsoft Visual Studio Code Jupyter Notebook을 사용하여 사용자 지정 그래프를 만들고 구체화한 다음, Microsoft Sentinel 그래프 환경을 사용하여 사용자 지정 그래프를 쿼리하고 시각화합니다.
이 문서에서는 Sentinel 그래프를 사용하여 그래프를 쿼리, 시각화 및 상호 작용하여 새로운 인사이트를 얻는 방법을 설명합니다.
필수 구성 요소
- 사용자 지정 그래프가 테넌트에서 존재합니다.
- Microsoft Sentinel 그래프 환경에 액세스하고 쿼리하여 시각화를 생성하려면 적절한 권한이 있어야 합니다. 자세한 내용은 Microsoft Sentinel 사용자 지정 그래프 시작을 참조하세요.
그래프 액세스
Microsoft Sentinel 그래프 환경에 액세스하려면 Microsoft Defender 포털에 로그인하고 탐색 창에서 Microsoft Sentinel>Graphs를 선택합니다.
Sentinel 그래프 관리 페이지에는 Visual Studio Code Sentinel 확장을 사용하여 만든 사용자 지정 그래프가 나열됩니다. 사용자 지정 그래프를 만들지 않은 경우 시작할 사용자 지정 그래프를 만듭니 다.
사용자 지정 그래프를 이미 만든 경우 Sentinel 그래프 관리 페이지에 사용 가능한 모든 사용자 지정 그래프가 표시됩니다. 그래프 타일에서 ... 메뉴를 선택하여 각 사용자 지정 그래프의 개요를 봅니다.
사용자 지정 그래프 쿼리
그래프 타일에서 쿼리 그래프 를 선택하여 그래프 쿼리 페이지를 봅니다.
스키마를 보고 그래프 온톨로지(노드, 에지 및 쿼리에 사용할 수 있는 해당 속성)를 이해할 수 있습니다.
시작 탭 선택
제안된 쿼리 목록이 표시됩니다. 모든 그래프 쿼리 시각화에 대한 쿼리 편집을 선택하여 쿼리 편집기 상자에 쿼리를 복사합니다.
이 쿼리는 그래프의 원홉 연결과 일치하여 원본 노드, 지시된 관계 및 대상 노드를 찾습니다. 최대 100개의 일치 항목에 대한 전체 노드 및 관계를 반환하므로 원시 그래프 구조를 빠르게 탐색하는 데 유용합니다.
MATCH (x)-[y]->(z) RETURN * LIMIT 100GQL 사용에 대한 자세한 내용은 GQL(그래프 쿼리 언어) 참조를 참조하세요.
GQL 쿼리 실행을 선택하여 결과를 확인합니다. 완료되면 그래프 시각화가 나타납니다.
노드와 연결된 속성을 포함하여 노드 세부 정보를 볼 노드를 선택합니다. 이 정보를 사용하여 후속 쿼리 및 시각화를 알릴 수 있습니다.
테이블 탭을 선택하여 결과의 테이블 형식 표현을 봅니다. 행을 선택하여 각 셀에 대한 기본 JSON 데이터를 확인합니다.
그래프와 상호 작용
다음 기능을 사용하여 그래프를 트래버스하고 탐색합니다.
노드 색
노드는 형식별로 색으로 구분되므로 그래프에서 다양한 엔터티 형식을 쉽게 시각화할 수 있습니다.
그래프 범례
그래프 범례는 그래프의 모든 노드 형식을 해당 색과 개수로 표시합니다. 또한 모든 에지 형식을 나열하므로 노드가 서로 연결하는 방법을 이해할 수 있습니다.
노드 레이블
그래프를 확대하면 더 많은 노드 레이블이 나타납니다. 표시되는 첫 번째 레이블은 더 큰 원으로 표현되는 가장 많이 연결된 노드입니다. 확대/축소를 계속하면 더 많은 노드 레이블이 연결의 내림차순으로 표시됩니다.
노드 세부 정보 보기
노드를 선택하여 오른쪽에 있는 세부 정보 창을 엽니다. 여기에 표시된 메타데이터를 사용하여 향후 쿼리를 구체화합니다(예: 지리적 지역, 부서 또는 마지막으로 업데이트된 날짜를 필터링).
연결된 자산 살펴보기
노드 세부 정보 창에서 또는 노드를 마우스 오른쪽 단추로 클릭하여 연결된 자산 탐색 을 선택하여 그래프를 트래버스하고 이 노드에서 다음 홉을 볼 수 있습니다.
노드 위로 마우스로 가리키기
노드를 마우스로 가리키면 연결이 강조 표시됩니다. 이렇게 하면 노드의 연결을 보다 명확하게 볼 수 있도록 관련 없는 노드와 에지를 숨기고 연결된 노드 레이블을 포함한 키 노드 정보를 표시합니다.
그래프 필터링
그래프 캔버스의 오른쪽 위에 있는 필터를 사용하여 노드 형식 또는 에지 관계별로 시각화된 결과의 범위를 좁힐 수 있습니다.
캔버스 컨트롤 - 다시 정렬 및 확대/축소
- 노드를 끌어 캔버스에서 위치 변경
- 오른쪽 아래에 있는 최근 단추를 사용하여 보기 다시 설정
- 커서 또는 오른쪽 아래의 확대/축소 컨트롤을 사용하여 확대 또는 축소
테이블 보기
테이블 탭을 선택하여 데이터의 테이블 형식 표현을 볼 수 있습니다. 테이블에서 다음을 수행할 수 있습니다.
- GQL 쿼리가 원하는 결과를 생성했는지 확인합니다.
- 테이블을 검색하고 정렬하여 관심 있는 엔터티를 빠르게 찾습니다.
- 개별 셀에 대한 기본 JSON을 보고 향후 쿼리에서 사용할 수 있는 키 컨텍스트를 제공합니다.
- 다른 기존 워크플로에서 사용할 CSV 형식으로 내보냅니다.
연산자를 사용하여 RETURN 테이블 형식을 사용자 지정하여 열 구조를 정의하거나 원하는 순서로 결과를 정렬할 수도 있습니다. 자세한 내용은 GQL 설명서를 참조하세요.