Vizualizace dat Microsoft Defenderu pro IoT pomocí sešitů Azure Monitoru

Sešity Azure Monitoru poskytují grafy, grafy a řídicí panely, které vizuálně odrážejí data uložená v předplatných Azure Resource Graphu a jsou k dispozici přímo v Programu Microsoft Defender for IoT.

Na webu Azure Portal můžete pomocí stránky Defender for IoT Workbooks zobrazit sešity vytvořené Microsoftem a poskytnout předem vytvořené nebo vytvořené zákazníky a sdílené napříč komunitou.

Každý graf nebo graf sešitu je založený na dotazu Azure Resource Graphu (ARG) spuštěném na vašich datech. V programu Defender for IoT můžete použít dotazy ARG k:

• Shromáždění stavů snímačů
• Identifikace nových zařízení v síti
• Vyhledání výstrah souvisejících s konkrétními IP adresami
• Vysvětlení výstrah, které jednotlivé senzory vidí

Zobrazení sešitů

Pokud chcete zobrazit předplacené sešity vytvořené Microsoftem nebo jinými sešity, které už jsou uložené ve vašem předplatném:

1. Na webu Azure Portal přejděte do defenderu pro IoT a vlevo vyberte Sešity .

   

2. V případě potřeby upravte možnosti filtrování a vyberte sešit, který chcete otevřít.

Defender for IoT nabízí následující sešity:

• Stav senzoru. Zobrazí data o stavu senzoru, jako jsou verze softwaru konzoly senzoru nainstalované ve vašich snímačích.
• Výstrahy. Zobrazí data o výstrahách, ke kterým dochází ve vašich senzorech, včetně výstrah podle senzorů, typů výstrah, nedávných vygenerovaných výstrah a dalších.
• Zařízení. Zobrazí data o inventáři zařízení, včetně zařízení podle dodavatele, podtypu a identifikovaných nových zařízení.
• Ohrožení zabezpečení. Zobrazí data o ohrožení zabezpečení zjištěných v zařízeních OT v síti. Výběrem položky v tabulkách ohrožení zabezpečení zařízení, Ohrožených zařízení nebo Ohrožených komponent zobrazíte související informace v tabulkách vpravo.

Vytváření vlastních sešitů

Pomocí stránky Defender for IoT Workbooks můžete vytvářet vlastní sešity Azure Monitoru přímo v Defenderu pro IoT.

1. Na stránce Sešity vyberte Nový nebo začněte z jiné šablony, otevřete sešit šablony a vyberte Upravit.

2. V novém sešitu vyberte Přidat a vyberte možnost, kterou chcete přidat do sešitu. Pokud upravujete existující sešit nebo šablonu, vyberte na pravé straně tlačítko možnosti (...) a přejděte k nabídce Přidat .

   Do sešitu můžete přidat některý z následujících prvků:

   Možnost	Popis
   Text	Přidejte text, který popisuje grafy zobrazené v sešitu nebo jakoukoli další požadovanou akci.
   Parametry	Definujte parametry, které se mají použít v textu sešitu a dotazech.
   Odkazy / karty	Přidejte do sešitu navigační prvky, včetně seznamů, odkazů na jiné cíle, dalších karet nebo panelů nástrojů.
   Dotaz	Přidejte dotaz, který se použije při vytváření grafů a grafů sešitů. – Jako zdroj dat vyberte Azure Resource Graph a vyberte všechna příslušná předplatná. - Přidejte grafické znázornění dat výběrem typu z možností Vizualizace .
   Metrika	Přidejte metriky, které se mají použít při vytváření grafů a grafů sešitů.
   Skupina	Přidejte skupiny pro uspořádání sešitů do dílčíchoblastích

   Po definování všech dostupných nastavení pro každou možnost vyberte tlačítko Přidat... nebo Spustit... a vytvořte prvek sešitu. Můžete například přidat parametr nebo spustit dotaz.

   Tip

   Dotazy můžete sestavit v Průzkumníku Azure Resource Graphu a zkopírovat je do dotazu sešitu.

3. Na panelu nástrojů vyberte Uložit nebo Uložit jako, abyste sešit uložili, a pak vyberte Úpravy hotovo.

4. Výběrem možnosti Sešity se vrátíte na hlavní stránku sešitu s úplným výpisem sešitu.

Referenční parametry v dotazech

Po vytvoření parametru na něj v dotazu použijte následující syntaxi: {ParameterName} Příklad:

iotsecurityresources
| where type == "microsoft.iotsecurity/sensors"
| extend Name=name
| extend Status= properties.sensorStatus
| where Name=={SensorName}
| project Name,Status

Vzorové dotazy

Tato část obsahuje ukázkové dotazy, které se běžně používají v defenderu pro sešity IoT.

Dotazy na výstrahy

Distribuce výstrah napříč senzory

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| extend Sensor=properties.extendedProperties.SensorId
| where properties.status!='Closed'
| summarize Alerts=count() by tostring(Sensor)
| sort by Alerts desc

Nová upozornění za posledních 24 hodin

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| where properties.status!='Closed'
| extend AlertTime=properties.startTimeUtc
| extend Type=properties.displayName
| where AlertTime > ago(1d)
| project AlertTime, Type

Výstrahy podle zdrojové IP adresy

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| extend Type=properties.displayName
| extend Source_IP=properties.extendedProperties.SourceDeviceAddress
| extend Destination_IP=properties.extendedProperties.DestinationDeviceAddress
| where Source_IP=='192.168.10.1'
| project Source_IP, Destination_IP, Type

Dotazy zařízení

Inventář zařízení OT podle dodavatele

iotsecurityresources
| extend Vendor= properties.hardware.vendor
| where properties.deviceDataSource=='OtSensor'
| summarize Devices=count() by tostring(Vendor)
| sort by Devices

Inventář zařízení OT podle podtypu, jako je PLC, vložené zařízení, UPS atd.

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| extend SubType=properties.deviceSubTypeDisplayName
| summarize Devices=count() by tostring(SubType)
| sort by Devices

Nová zařízení OT podle adresy senzoru, webu a IPv4

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| extend TimeFirstSeen=properties.firstSeen
| where TimeFirstSeen > ago(1d)
| extend DeviceName=properties.deviceName
| extend Site=properties.sensor.site
| extend Sensor=properties.sensor.name
| extend IPv4=properties.nics.[0].ipv4Address
| where properties.deviceDataSource=='OtSensor'
| project TimeFirstSeen, Site, Sensor, DeviceName, IPv4

Shrnutí výstrah podle úrovně Purdue

iotsecurityresources
    | where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
    | project 
        resourceId = id,
        affectedResource = tostring(properties.extendedProperties.DeviceResourceIds),
        id = properties.systemAlertId
    | join kind=leftouter (
        iotsecurityresources | where type == "microsoft.iotsecurity/locations/devicegroups/devices" 
        | project 
            sensor = properties.sensor.name,
            zone = properties.sensor.zone,
            site = properties.sensor.site,
            deviceProperties=properties,
            affectedResource = tostring(id)
    ) on affectedResource
    | project-away affectedResource1
    | where deviceProperties.deviceDataSource == 'OtSensor'
    | summarize Alerts=count() by tostring(deviceProperties.purdueLevel)

Další kroky

Přečtěte si další informace o zobrazení řídicích panelů a sestav v konzole senzoru:

• Spouštění dotazů na dolování dat
• Hlášení o posouzení rizik
• Vytváření trendů a statistik řídicích panelů

Další informace o sešitech Azure Monitoru a Azure Resource Graphu:

• Dokumentace ke službě Azure Resource Graph
• Dokumentace k sešitu Azure Monitoru
• Dokumentace k dotazovací jazyk Kusto (KQL)