다음을 통해 공유

Microsoft Defender 그래프 및 시각화 이해

  • 적용 대상: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Defender 대화형 그래프를 사용하여 사용자 환경의 엔터티 간의 공격 경로, 폭발 반경 및 관계를 시각화합니다. 이러한 시각화는 가능한 위협 또는 공격에 대한 조감도를 제공하여 사용자와 SOC(보안 운영) 팀이 신속하게 조사하고 사냥 할 수 있도록 합니다.

Defender 포털에서 생성된 그래프는 노드에지로 구성됩니다. 이 문서에서는 이러한 요소 그래프에 일반적으로 사용되는 아이콘을 열거하고 정의합니다.

노드

노드는 사용자 환경의 엔터티(예: 디바이스, 사용자 계정 또는 IP 주소 등)와 관련이 있습니다. Defender 포털 그래프는 일반적으로 노드를 다음 원형 아이콘 중 하나로 표시합니다.

아이콘 노드 유형 엔터티 형식 예제
일반 노드 아이콘입니다. 일반 App Service 계획
컴퓨팅 노드 아이콘. 계산 디바이스, 가상 머신, Microsoft Azure Logic App
네트워킹 노드 아이콘. 네트워킹 인터페이스, 공용 IP 주소, 네트워크 보안 그룹
데이터 노드 아이콘. 데이터 SQL 데이터 저장소, Azure Monitor Log Analytics 작업 영역, 스토리지 계정, Azure Event Hubs
컨테이너 노드 아이콘. 컨테이너 Kubernetes 클러스터
키 노드 아이콘. 키 & 비밀 키 자격 증명 모음
DevOps 노드 아이콘. DevOps Azure DevOps 리포지토리
API 노드 아이콘. API 클라우드 애플리케이션
ID 노드 아이콘. ID & 액세스 사용자 계정, Microsoft Entra ID 서비스 주체
IoT 노드 아이콘. IoT
인증서 노드 아이콘. 인증서
IP 노드 아이콘. IP 주소
구독 노드 아이콘. 구독

노드를 선택하면 엔터티 이름, 형식, 마지막 업데이트 날짜 및 검색 원본과 같이 선택한 엔터티에 대한 자세한 정보를 제공하는 측면 패널이 열립니다. 이 패널은 선택한 노드 및 그래프의 다른 노드와의 관계에 따라 공격 경로 및 폭발 반경과 같은 추가 정보를 표시할 수도 있습니다.

노드 세부 정보가 포함된 헌팅 그래프의 측면 패널 스크린샷

엔터티 및 는 숫자 표시기가 있는 그룹화된 노드로 표시될 수도 있습니다(예: 총 사용자 계정 수를 나타내기 위해). 그룹화된 노드의 모든 노드를 확장하고 보려면 그룹 해제 토글을 사용합니다.

노드에는 다음과 같은 표시기가 있을 수도 있습니다.

  • 중요 자산 - 엔터티가 Microsoft 보안 노출 관리 중요한 자산 관리에서 식별된 대로 중요 비즈니스용 또는 가치 있는 것으로 분류됨을 나타냅니다. 이 지표는 골든 크라운 중요 자산 아이콘으로 나타납니다. 또한 중요한 자산을 나타내는 노드에는 황금 후광이 있습니다.

  • 취약성 - 엔터티에서 하나 이상의 취약성이 검색되었음을 나타냅니다. 이 표시기가 빨간색 버그 취약성 아이콘으로 표시됩니다.

  • 연결된 자산 탐색 - 노드가 초기 결과 이상으로 헌팅 그래프를 확장할 수 있음을 나타냅니다. 그래프를 확장하면 선택한 엔터티가 다른 엔터티와 가진 다른 관계를 탐색할 수 있습니다. 이 표시기가 파란색 더하기 기호로 연결된 자산 탐색 아이콘으로 나타납니다.

  • 검색 원본 - 엔터티의 데이터 원본을 나타냅니다. 이 표시기가 엔터티를 파란색으로 보호하는 Defender 제품의 아이콘으로 나타납니다(예: 엔드포인트용 Defender 아이콘. 엔드포인트용 Microsoft Defender 경우 또는 클라우드용 Defender 아이콘.클라우드용 Microsoft Defender).

    그래프의 레이어에서 검색 원본 스위치를 전환하여 그래프를 켜고 끌 수 있습니다.

가장자리

에지는 두 노드 간의 관계 또는 연결 속성을 나타냅니다. Defender 포털 그래프는 가장자리를 다음 아이콘이 있을 수 있는 선 또는 방향 화살표로 표시합니다.

아이콘 에지 유형
에지 포함 아이콘. Contains
경로 가장자리 아이콘. 트래픽을 로 라우팅합니다.
사용 권한 에지 아이콘. 에 대한 권한 부여/에 역할 사용
에지 인증 아이콘. 로 인증 가능/인증 가능
에지 푸시 아이콘. 못 살게 굴지
에지 아이콘을 유지 관리합니다. 유지
애플리케이션 에지 아이콘. 응용 프로그램
가장자리 이동 아이콘. 데이터를 로 이동
노출된 에지 아이콘입니다. 인터넷에 노출됨
로그인 에지 아이콘. 대화형 로그온을 할 수 있습니다/ 네트워크를 통해 로그온할 수 있습니다/ 원격 대화형 로그온 가능
에지 실행 아이콘. 실행 중
에지 프로비전 아이콘. 식량
에지 아이콘을 식별합니다. 의 소유자로 식별됨
멤버 에지 아이콘. 소속 그룹
에지 실행 아이콘. 실행 중
일반 에지 아이콘입니다. 제네릭/영향
에지 만들기 아이콘 생성됨/만드는 데 사용됨

에지를 선택하면 연결 속성에 대한 자세한 내용을 제공하는 측면 패널이 열립니다. 두 노드에 둘 이상의 관계가 있는 경우 아이콘 대신 가장자리에 숫자가 나타납니다. 숫자 위로 마우스를 가져가거나 측면 패널을 열어 이러한 노드의 관계에 대한 자세한 정보를 찾을 수 있습니다.

에지 세부 정보가 포함된 헌팅 그래프의 측면 패널 스크린샷

참고 항목