مشاركة عبر

تصور Microsoft Defender لبيانات IoT باستخدام مصنفات Azure Monitor

  • مقالة

توفر كتب عمل Azure Monitor الرسوم البيانية والمخططات ولوحات القيادة التي تعكس بصريًا البيانات المخزنة في اشتراكات الرسم البياني للموارد Azure وتتوفر مباشرة في Microsoft Defender لإنترنت الأشياء.

في مدخل Microsoft Azure، استخدم Defender for IoT Workbooks صفحة لعرض كتب العمل التي أنشأتها Microsoft وقدمتها خارج الصندوق، أو تم إنشاؤها بواسطة العملاء ومشاركتها عبر المجتمع.

يعتمد كل رسم بياني أو رسم بياني على Microsoft Azure Active Directory Graph للموارد Azure (ARG) يعمل على بياناتك. في Defender for IoT، يمكنك استخدام استفسارات ARG لـ:

  • اجمع أوضاع أجهزة الاستشعار
  • حدد أجهزة جديدة في شبكتك
  • ابحث عن التنبيهات المتعلقة بعناوين IP محددة
  • فهم التنبيهات التي يراها كل جهاز استشعار

عرض المصنفات

لعرض المصنفات خارج الصندوق التي أنشأتها Microsoft، أو كتب العمل الأخرى المحفوظة بالفعل في اشتراكك:

  1. في مدخل Microsoft Azure، انتقل إلى Defender for IoT وحدد المصنفات على اليسار.

    لقطة شاشة لصفحة المصنفات.

  2. قم بتعديل خيارات التصفية الخاصة بك إذا لزم الأمر، وحدد دفتر عمل لفتحه.

يوفر Defender for IoT كالمصنفات التالية خارج الصندوق:

  • صحة أداة استشعار . يعرض بيانات حول صحة المستشعر، مثل إصدارات برنامج وحدة الاستشعار المثبتة على أجهزة الاستشعار الخاصة بك.
  • التنبيهات. يعرض بيانات حول التنبيهات التي تحدث على أجهزة الاستشعار الخاصة بك، بما في ذلك التنبيهات حسب المستشعر وأنواع التنبيهات، التنبيهات الأخيرة التي تم إنشاؤها والمزيد.
  • Devices. يعرض بيانات حول مخزون أجهزتك، بما في ذلك الأجهزة حسب البائع والنوع الفرعي والأجهزة الجديدة المحددة.
  • نقاط الضعف. يعرض بيانات حول الثغرات الأمنية التي تم اكتشافها في أجهزة OT عبر شبكتك. حدد عنصرا في ثغرات الجهاز أو الأجهزة الضعيفة أو جداول المكونات الضعيفة لعرض المعلومات ذات الصلة في الجداول على اليمين.

قم بإنشاء مصنفات مخصصة

استخدم Defender لـ IoT Workbooks صفحة لإنشاء كتب عمل Azure Monitor مخصصة مباشرة في Defender for IoT.

  1. في صفحة مصنفات ، حدد جديد ، أو للبدء من قالب آخر، افتح كتيب العمل واختر تحرير .

  2. في مصنف الجديد، حدد أضف ، وحدد الخيار الذي تريد إضافته إلى كتيب العمل الخاص بك. إذا كنت تقوم بتحرير مصنف أو قالب موجود، حدد زر الخيارات (... ) على حق الوصول إلى قائمة أضف .

    يمكنك إضافة أي من العناصر التالية إلى مصنف الخاص بك:

    خيار ‏‏الوصف
    نص أضف نصًا لوصف الرسوم البيانية الواردة في مصنف الخاص بك أو أي إجراء إضافي مطلوب.
    البارامترات حدد المعلمات لاستخدامها في نص العمل والاستفسارات.
    روابط/علامات تبويب أضف عناصر ملاحية إلى المصنف الخاص بك، بما في ذلك القوائم أو الروابط إلى أهداف أخرى أو علامات تبويب إضافية أو أشرطة أدوات.
    استفسار أضف استفسارًا لاستخدامه عند إنشاء رسوم بيانية ومخططات المصنف الخاص بك.

    - تأكد من تحديد الرسم البياني للموارد Azure كمصدر البيانات واختر جميع الاشتراكات ذات الصلة.
    - أضف تمثيلًا رسوميًا لبياناتك عن طريق اختيار نوع من خيارات التصور .
    المقياس أضف مقاييس لاستخدامها عند إنشاء رسوم بيانية ورسوم بيانية.
    مجموعة أضف مجموعات لتنظيم كتب العمل الخاصة بك في المجالات الفرعية.

    لكل خيار، بعد تحديد جميع الإعدادات المتاحة، حدد أضف... أو شغل... زر لإنشاء عنصر العمل هذا. على سبيل المثال، إضافة معامل أو تشغيل استعلام .

    تلميح

    يمكنك بناء استفساراتك في Azure Resource Graph Explorer ونسخها في استعلام كتاب العمل الخاص بك.

  3. في شريط الأدوات، حدد حفظ أو حفظ باسم لحفظ المصنف، ثم حدد تم التحرير.

  4. اختر مصنفات للعودة إلى صفحة العمل الرئيسية مع قائمة العمل الكاملة.

المعلمات المرجعية في استفساراتك

بمجرد إنشاء معامل، راجعه في استفسارك باستخدام البناء التالي: {ParameterName}. على سبيل المثال:

iotsecurityresources
| where type == "microsoft.iotsecurity/sensors"
| extend Name=name
| extend Status= properties.sensorStatus
| where Name=={SensorName}
| project Name,Status

نماذج الاستعلامات

يقدم هذا القسم عينة من الاستفسارات التي يتم استخدامها بشكل شائع في Defender لمصنفات إنترنت الأشياء.

استعلامات تنبيه

توزيع التنبيهات عبر أجهزة الاستشعار 

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| extend Sensor=properties.extendedProperties.SensorId
| where properties.status!='Closed'
| summarize Alerts=count() by tostring(Sensor)
| sort by Alerts desc

تنبيهات جديدة من آخر 24 ساعة 

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| where properties.status!='Closed'
| extend AlertTime=properties.startTimeUtc
| extend Type=properties.displayName
| where AlertTime > ago(1d)
| project AlertTime, Type

تنبيهات حسب مصدر عنوان IP 

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| extend Type=properties.displayName
| extend Source_IP=properties.extendedProperties.SourceDeviceAddress
| extend Destination_IP=properties.extendedProperties.DestinationDeviceAddress
| where Source_IP=='192.168.10.1'
| project Source_IP, Destination_IP, Type

استفسارات الجهاز

مخزون أجهزة OTY حسب البائع 

iotsecurityresources
| extend Vendor= properties.hardware.vendor
| where properties.deviceDataSource=='OtSensor'
| summarize Devices=count() by tostring(Vendor)
| sort by Devices

جرد أجهزة OT حسب النوع الفرعي، مثل PLC، والأجهزة المضمنة، UPS، وما إلى ذلك 

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| extend SubType=properties.deviceSubTypeDisplayName
| summarize Devices=count() by tostring(SubType)
| sort by Devices

أجهزة OTN جديدة حسب المستشعر والموقع وعنوان IPv4 

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| extend TimeFirstSeen=properties.firstSeen
| where TimeFirstSeen > ago(1d)
| extend DeviceName=properties.deviceName
| extend Site=properties.sensor.site
| extend Sensor=properties.sensor.name
| extend IPv4=properties.nics.[0].ipv4Address
| where properties.deviceDataSource=='OtSensor'
| project TimeFirstSeen, Site, Sensor, DeviceName, IPv4

تلخيص التنبيهات حسب مستوى Purdue 

iotsecurityresources
    | where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
    | project 
        resourceId = id,
        affectedResource = tostring(properties.extendedProperties.DeviceResourceIds),
        id = properties.systemAlertId
    | join kind=leftouter (
        iotsecurityresources | where type == "microsoft.iotsecurity/locations/devicegroups/devices" 
        | project 
            sensor = properties.sensor.name,
            zone = properties.sensor.zone,
            site = properties.sensor.site,
            deviceProperties=properties,
            affectedResource = tostring(id)
    ) on affectedResource
    | project-away affectedResource1
    | where deviceProperties.deviceDataSource == 'OtSensor'
    | summarize Alerts=count() by tostring(deviceProperties.purdueLevel)

الخطوات التالية

تعرف على المزيد حول مشاهدة لوحات القيادة والتقارير على وحدة التحكم في المستشعر:

تعرف على المزيد حول مصنف Azure Monitor و Azure Resource Graph: