Microsoft Sentinel 中的身份攻击图

Microsoft Sentinel 的身份攻击图谱可视化了 Azure 中基于身份的攻击路径，揭示攻击者如何横向移动。它帮助安全团队理解身份、权限、资源及潜在攻击向量之间的关联。该图谱突出了复杂身份关系中常被隐藏的风险，例如通过组进行的间接访问。关键用例包括攻击路径发现、爆炸半径分析和过度授权身份检测。该功能支持访问审查，并通过可视化连接简化事件响应。正确配置需要 Microsoft Sentinel 和订阅级别的 Owner 权限，且手动激活 Azure Resource Graph 连接器至关重要。分析师在 remediation 前仍应使用其他工具验证发现结果，因为该图谱主要用于发现。图查询语言（GQL）通过查询关联数据来增强调查，识别关系，简化了以往需要手动收集数据的工作，从而实现更快的分析。该图谱聚焦于身份对资源的访问等关系，从而加速威胁检测。最终，这将提升 Azure 环境的安全态势。