Kurz: Připojení Microsoft Defenderu pro IoT s Microsoft Sentinelem
Microsoft Defender pro IoT umožňuje zabezpečit celé prostředí OT a Enterprise IoT bez ohledu na to, jestli potřebujete chránit stávající zařízení nebo integrovat zabezpečení do nových inovací.
Microsoft Sentinel a Microsoft Defender for IoT pomáhají překlenout mezeru mezi problémy zabezpečení IT a OT a umožnit týmům SOC efektivním a efektivním zjišťováním bezpečnostních hrozeb a reagovat na ně. Integrace mezi Microsoft Defenderem pro IoT a Microsoft Sentinelem pomáhá organizacím rychle zjišťovat útoky s více fázemi, které často překračují hranice IT a OT.
Tento konektor umožňuje streamovat data Microsoft Defenderu for IoT do Služby Microsoft Sentinel, abyste mohli zobrazit, analyzovat a reagovat na výstrahy Defenderu for IoT a incidenty, které vygenerují, v širším kontextu organizační hrozby.
V tomto kurzu se naučíte, jak:
- Připojení Defender for IoT data do Microsoft Sentinelu
- Použití Log Analytics k dotazování dat upozornění Defenderu pro IoT
Požadavky
Než začnete, ujistěte se, že máte v pracovním prostoru následující požadavky:
Oprávnění ke čtení a zápisu v pracovním prostoru Služby Microsoft Sentinel Další informace najdete v tématu Oprávnění v Microsoft Sentinelu.
Oprávnění přispěvatele nebo vlastníka předplatného, ke kterému se chcete připojit ke službě Microsoft Sentinel.
Plán Defenderu pro IoT ve vašem předplatném Azure se streamováním dat do Defenderu pro IoT Další informace najdete v tématu Rychlý start: Začínáme s Defenderem pro IoT.
Důležité
V současné době může mít současně povolené datové konektory Microsoft Defenderu pro IoT i Microsoft Defender for Cloud ve stejném pracovním prostoru Microsoft Sentinelu, což může vést k duplicitním výstrahám v Microsoft Sentinelu. Před připojením k Microsoft Defenderu pro IoT doporučujeme odpojit datový konektor Microsoft Defenderu for Cloud.
Připojení vašich dat z Defenderu pro IoT do Microsoft Sentinelu
Začněte tím, že povolíte datovému konektoru Defenderu pro IoT streamovat všechny události Defenderu pro IoT do Microsoft Sentinelu.
Povolení datového konektoru Defenderu pro IoT:
V Microsoft Sentinelu v části Konfigurace vyberte Datové konektory a vyhledejte datový konektor Microsoft Defender for IoT.
V pravém dolním rohu vyberte Otevřít stránku konektoru.
Na kartě Pokyny v části Konfigurace vyberte Připojení pro každé předplatné, jehož výstrahy a výstrahy zařízení chcete streamovat do Služby Microsoft Sentinel.
Pokud jste provedli nějaké změny připojení, může aktualizace seznamu předplatných trvat 10 sekund nebo déle.
Další informace najdete v tématu Připojení Microsoft Sentinelu do služeb Azure, Windows, Microsoft a Amazon.
Zobrazení upozornění Defenderu pro IoT
Po připojení předplatného k Microsoft Sentinelu budete moct zobrazit výstrahy Defenderu pro IoT v oblasti Protokolů Microsoft Sentinelu.
V Microsoft Sentinelu vyberte Protokoly > AzureSecurityOfThings > SecurityAlert nebo vyhledejte SecurityAlert.
Pomocí následujících ukázkových dotazů vyfiltrujte protokoly a zobrazte výstrahy vygenerované defenderem pro IoT:
Zobrazení všech výstrah vygenerovaných defenderem pro IoT:
SecurityAlert | where ProductName == "Azure Security Center for IoT"Zobrazení konkrétních upozornění snímačů vygenerovaných defenderem pro IoT:
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where tostring(parse_json(ExtendedProperties).SensorId) == “<sensor_name>”Zobrazení konkrétních výstrah modulu OT vygenerovaných defenderem pro IoT:
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "MALWARE" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "ANOMALY" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "PROTOCOL_VIOLATION" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "POLICY_VIOLATION" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "OPERATIONAL"Zobrazení výstrah s vysokou závažností vygenerovaných defenderem pro IoT:
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where AlertSeverity == "High"Zobrazení konkrétních upozornění protokolu generovaných defenderem pro IoT:
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where tostring(parse_json(ExtendedProperties).Protocol) == "<protocol_name>"
Poznámka:
Stránka Protokoly v Microsoft Sentinelu je založená na Log Analytics služby Azure Monitor.
Další informace najdete v přehledu dotazů protokolu v dokumentaci ke službě Azure Monitor a v modulu Learn pro zápis prvního dotazu KQL.
Vysvětlení časových razítek upozornění
Výstrahy Defenderu pro IoT, jak na webu Azure Portal, tak na konzole senzoru, sledují čas, kdy se výstraha poprvé zjistila, naposledy zjistila a naposledy se změnila.
Následující tabulka popisuje pole časového razítka upozornění Defenderu for IoT s mapováním na příslušná pole z Log Analytics zobrazených v Microsoft Sentinelu.
| Pole Defender for IoT | Popis | Pole Log Analytics |
|---|---|---|
| První detekce | Definuje první zjištění výstrahy v síti. | StartTime |
| Poslední detekce | Definuje čas posledního zjištění výstrahy v síti a nahradí sloupec Čas detekce. | EndTime |
| Poslední aktivita | Definuje poslední změnu výstrahy, včetně ručních aktualizací závažnosti nebo stavu, nebo automatizovaných změn aktualizací zařízení nebo odstranění duplicit zařízení nebo výstrah. | TimeGenerated |
Ve službě Defender for IoT na webu Azure Portal a v konzole senzoru se ve výchozím nastavení zobrazuje sloupec Poslední detekce . Upravte sloupce na stránce Upozornění a podle potřeby zobrazte sloupce První detekce a Poslední aktivita .
Další informace najdete v tématu Zobrazení upozornění na portálu Defender for IoT a zobrazení upozornění na senzoru.
Vysvětlení více záznamů na výstrahu
Data upozornění Defenderu pro IoT se streamují do Služby Microsoft Sentinel a ukládají se v pracovním prostoru služby Log Analytics v tabulce SecurityAlert .
Záznamy v tabulce SecurityAlert se vytvoří při každém vygenerování nebo aktualizaci výstrahy v defenderu pro IoT. V některých případech bude mít jedna výstraha více záznamů, například při prvním vytvoření výstrahy a potom znovu při aktualizaci.
V Microsoft Sentinelu pomocí následujícího dotazu zkontrolujte záznamy přidané do tabulky SecurityAlert pro jednu výstrahu:
SecurityAlert
| where ProductName == "Azure Security Center for IoT"
| where VendorOriginalId == "Defender for IoT Alert ID"
| sort by TimeGenerated desc
Aktualizace pro stav výstrahy nebo závažnost vygenerujte nové záznamy v Tabulka SecurityAlert okamžitě.
Další typy aktualizací se agregují do 12 hodin a nové záznamy v tabulce SecurityAlert odrážejí pouze nejnovější změnu. Mezi příklady agregovaných aktualizací patří:
- Aktualizace v čase posledního zjišťování, například při vícenásobné detekci stejné výstrahy
- Do existující výstrahy se přidá nové zařízení.
- Aktualizují se vlastnosti zařízení pro výstrahu.
Další kroky
Řešení Microsoft Defender for IoT je sada připraveného obsahu, který je nakonfigurovaný speciálně pro data Defenderu pro IoT a zahrnuje analytická pravidla, sešity a playbooky.