График атак на идентичность в Microsoft Sentinel

Граф атак на идентификацию Microsoft Sentinel визуализирует пути атак на основе идентификации в Azure, показывая, как злоумышленники перемещаются по сети. Он помогает командам безопасности понимать связи между идентификационными данными, разрешениями, ресурсами и потенциальными векторами атак. Граф выделяет риски, часто скрытые в сложных взаимосвязях идентификационных данных, таких как косвенный доступ через группы. Основные варианты использования включают обнаружение путей атак, анализ радиуса поражения и обнаружение чрезмерно привилегированных идентификационных данных. Функция поддерживает обзоры доступа и упрощает реагирование на инциденты, визуализируя связи. Правильная настройка требует Microsoft Sentinel и разрешений владельца на уровне подписки, а также критически важной активации соединителя Azure Resource Graph вручную. Аналитики по-прежнему должны проверять результаты с помощью других инструментов перед устранением, поскольку граф помогает в обнаружении. Язык запросов графа (GQL) улучшает расследование, запрашивая связанные данные, выявляя взаимосвязи. Он упрощает то, что когда-то требовало ручного сбора данных, обеспечивая более быстрый анализ. Граф фокусируется на таких взаимосвязях, как доступ к ресурсам по идентификационным данным, что приводит к более быстрому обнаружению угроз. Это в конечном итоге улучшает состояние безопасности в средах Azure.