Vizualizace Microsoft Defender pro data IoT pomocí sešitů Služby Azure Monitor
Sešity Služby Azure Monitor poskytují grafy, grafy a řídicí panely, které vizuálně odrážejí data uložená ve vašich předplatných Azure Resource Graph a jsou k dispozici přímo v Microsoft Defender pro IoT.
V Azure Portal použijte stránku Sešity Defenderu for IoT k zobrazení sešitů vytvořených Microsoftem, které jsou předefinované nebo vytvořené zákazníky a sdílené v rámci komunity.
Každý graf nebo graf sešitu je založený na dotazu Azure Resource Graph (ARG) spuštěném na vašich datech. V Defenderu for IoT můžete použít dotazy ARG k:
- Shromáždění stavů senzorů
- Identifikace nových zařízení v síti
- Vyhledání výstrah souvisejících s konkrétními IP adresami
- Vysvětlení výstrah, které jednotlivé senzory vidí
Zobrazení sešitů
Pokud chcete zobrazit předefinované sešity vytvořené Microsoftem nebo jiné sešity, které jsou už uložené ve vašem předplatném:
V Azure Portal přejděte na Defender for IoT a vlevo vyberte Sešity.
V případě potřeby upravte možnosti filtrování a vyberte sešit, který chcete otevřít.
Defender for IoT nabízí následující sešity, které jsou připraveny:
- Stav senzoru. Zobrazí data o stavu senzoru, například verze softwaru konzoly senzorů nainstalované na senzorech.
- Výstrahy. Zobrazí data o výstrahách, ke kterým dochází na senzorech, včetně výstrah podle senzoru, typů výstrah, nedávných vygenerovaných výstrah a dalších.
- Zařízení. Zobrazí data o inventáři zařízení, včetně zařízení podle dodavatele, podtypu a identifikovaných nových zařízení.
- Ohrožení zabezpečení. Zobrazí data o ohroženích zabezpečení zjištěných v zařízeních ST v síti. Výběrem položky v tabulkách Ohrožení zabezpečení zařízení, Zranitelná zařízení nebo Ohrožená komponenta zobrazíte související informace v tabulkách na pravé straně.
Vytváření vlastních sešitů
Na stránce Sešity Defenderu for IoT můžete vytvářet vlastní sešity Azure Monitoru přímo v Defenderu pro IoT.
Na stránce Sešity vyberte Nový. Pokud chcete začít od jiné šablony, otevřete sešit šablony a vyberte Upravit.
V novém sešitu vyberte Přidat a vyberte možnost, kterou chcete do sešitu přidat. Pokud upravujete existující sešit nebo šablonu, výběrem tlačítka možností (...) na pravé straně otevřete nabídku Přidat .
Do sešitu můžete přidat kterýkoli z následujících prvků:
Možnost Popis Text Přidejte text, který popisuje grafy zobrazené v sešitu nebo jakoukoli další požadovanou akci. Parametry Definujte parametry, které se mají použít v textu sešitu a v dotazech. Odkazy / karty Přidejte do sešitu navigační prvky, včetně seznamů, odkazů na jiné cíle, dalších karet nebo panelů nástrojů. Dotaz Přidejte dotaz, který se má použít při vytváření grafů a grafů sešitu.
– Nezapomeňte jako zdroj dat vybrat Azure Resource Graph a vybrat všechna příslušná předplatná.
- Přidejte grafické znázornění dat výběrem typu z možností Vizualizace .Metrika Přidejte metriky, které se použijí při vytváření grafů a grafů sešitů. Skupina Přidejte skupiny pro uspořádání sešitů do dílčích oblastí. U každé možnosti po definování všech dostupných nastavení vyberte tlačítko Přidat... nebo Spustit a vytvořte tento prvek sešitu. Například Přidat parametr nebo Spustit dotaz.
Tip
Dotazy můžete sestavit v Azure Resource Graph Exploreru a zkopírovat je do dotazu sešitu.
Na panelu nástrojů vyberte Uložit nebo Uložit jako , abyste sešit uložili, a pak vyberte Dokončené úpravy.
Výběrem možnosti Sešity se vrátíte na hlavní stránku sešitu s úplným výpisem sešitu.
Referenční parametry v dotazech
Jakmile vytvoříte parametr, odkazujte na něj v dotazu pomocí následující syntaxe: {ParameterName}
. Příklad:
iotsecurityresources
| where type == "microsoft.iotsecurity/sensors"
| extend Name=name
| extend Status= properties.sensorStatus
| where Name=={SensorName}
| project Name,Status
Ukázkové dotazy
Tato část obsahuje ukázkové dotazy, které se běžně používají v sešitech Defenderu pro IoT.
Dotazy na upozornění
Distribuce výstrah mezi senzory
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| extend Sensor=properties.extendedProperties.SensorId
| where properties.status!='Closed'
| summarize Alerts=count() by tostring(Sensor)
| sort by Alerts desc
Nová upozornění za posledních 24 hodin
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| where properties.status!='Closed'
| extend AlertTime=properties.startTimeUtc
| extend Type=properties.displayName
| where AlertTime > ago(1d)
| project AlertTime, Type
Upozornění podle zdrojové IP adresy
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| extend Type=properties.displayName
| extend Source_IP=properties.extendedProperties.SourceDeviceAddress
| extend Destination_IP=properties.extendedProperties.DestinationDeviceAddress
| where Source_IP=='192.168.10.1'
| project Source_IP, Destination_IP, Type
Dotazy na zařízení
Inventář zařízení OT podle dodavatele
iotsecurityresources
| extend Vendor= properties.hardware.vendor
| where properties.deviceDataSource=='OtSensor'
| summarize Devices=count() by tostring(Vendor)
| sort by Devices
Inventář zařízení OT podle podtypu, jako je PLC, vložené zařízení, UPS atd.
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| extend SubType=properties.deviceSubTypeDisplayName
| summarize Devices=count() by tostring(SubType)
| sort by Devices
Nová zařízení OT podle senzoru, lokality a adresy IPv4
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| extend TimeFirstSeen=properties.firstSeen
| where TimeFirstSeen > ago(1d)
| extend DeviceName=properties.deviceName
| extend Site=properties.sensor.site
| extend Sensor=properties.sensor.name
| extend IPv4=properties.nics.[0].ipv4Address
| where properties.deviceDataSource=='OtSensor'
| project TimeFirstSeen, Site, Sensor, DeviceName, IPv4
Shrnutí upozornění podle úrovně Purdue
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| project
resourceId = id,
affectedResource = tostring(properties.extendedProperties.DeviceResourceIds),
id = properties.systemAlertId
| join kind=leftouter (
iotsecurityresources | where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| project
sensor = properties.sensor.name,
zone = properties.sensor.zone,
site = properties.sensor.site,
deviceProperties=properties,
affectedResource = tostring(id)
) on affectedResource
| project-away affectedResource1
| where deviceProperties.deviceDataSource == 'OtSensor'
| summarize Alerts=count() by tostring(deviceProperties.purdueLevel)
Další kroky
Další informace o zobrazení řídicích panelů a sestav na konzole senzoru:
- Spouštění dotazů na dolování dat
- Vytváření sestav posouzení rizik
- Vytváření řídicích panelů trendů a statistik
Další informace o sešitech Azure Monitoru a Azure Resource Graph: