Vizualizace Microsoft Defender pro data IoT pomocí sešitů Služby Azure Monitor

Sešity Služby Azure Monitor poskytují grafy, grafy a řídicí panely, které vizuálně odrážejí data uložená ve vašich předplatných Azure Resource Graph a jsou k dispozici přímo v Microsoft Defender pro IoT.

V Azure Portal použijte stránku Sešity Defenderu for IoT k zobrazení sešitů vytvořených Microsoftem, které jsou předefinované nebo vytvořené zákazníky a sdílené v rámci komunity.

Každý graf nebo graf sešitu je založený na dotazu Azure Resource Graph (ARG) spuštěném na vašich datech. V Defenderu for IoT můžete použít dotazy ARG k:

• Shromáždění stavů senzorů
• Identifikace nových zařízení v síti
• Vyhledání výstrah souvisejících s konkrétními IP adresami
• Vysvětlení výstrah, které jednotlivé senzory vidí

Zobrazení sešitů

Pokud chcete zobrazit předefinované sešity vytvořené Microsoftem nebo jiné sešity, které jsou už uložené ve vašem předplatném:

1. V Azure Portal přejděte na Defender for IoT a vlevo vyberte Sešity.

   

2. V případě potřeby upravte možnosti filtrování a vyberte sešit, který chcete otevřít.

Defender for IoT nabízí následující sešity, které jsou připraveny:

• Stav senzoru. Zobrazí data o stavu senzoru, například verze softwaru konzoly senzorů nainstalované na senzorech.
• Výstrahy. Zobrazí data o výstrahách, ke kterým dochází na senzorech, včetně výstrah podle senzoru, typů výstrah, nedávných vygenerovaných výstrah a dalších.
• Zařízení. Zobrazí data o inventáři zařízení, včetně zařízení podle dodavatele, podtypu a identifikovaných nových zařízení.
• Ohrožení zabezpečení. Zobrazí data o ohroženích zabezpečení zjištěných v zařízeních ST v síti. Výběrem položky v tabulkách Ohrožení zabezpečení zařízení, Zranitelná zařízení nebo Ohrožená komponenta zobrazíte související informace v tabulkách na pravé straně.

Vytváření vlastních sešitů

Na stránce Sešity Defenderu for IoT můžete vytvářet vlastní sešity Azure Monitoru přímo v Defenderu pro IoT.

1. Na stránce Sešity vyberte Nový. Pokud chcete začít od jiné šablony, otevřete sešit šablony a vyberte Upravit.

2. V novém sešitu vyberte Přidat a vyberte možnost, kterou chcete do sešitu přidat. Pokud upravujete existující sešit nebo šablonu, výběrem tlačítka možností (...) na pravé straně otevřete nabídku Přidat .

   Do sešitu můžete přidat kterýkoli z následujících prvků:

   Možnost	Popis
   Text	Přidejte text, který popisuje grafy zobrazené v sešitu nebo jakoukoli další požadovanou akci.
   Parametry	Definujte parametry, které se mají použít v textu sešitu a v dotazech.
   Odkazy / karty	Přidejte do sešitu navigační prvky, včetně seznamů, odkazů na jiné cíle, dalších karet nebo panelů nástrojů.
   Dotaz	Přidejte dotaz, který se má použít při vytváření grafů a grafů sešitu. – Nezapomeňte jako zdroj dat vybrat Azure Resource Graph a vybrat všechna příslušná předplatná. - Přidejte grafické znázornění dat výběrem typu z možností Vizualizace .
   Metrika	Přidejte metriky, které se použijí při vytváření grafů a grafů sešitů.
   Skupina	Přidejte skupiny pro uspořádání sešitů do dílčích oblastí.

   U každé možnosti po definování všech dostupných nastavení vyberte tlačítko Přidat... nebo Spustit a vytvořte tento prvek sešitu. Například Přidat parametr nebo Spustit dotaz.

   Tip

   Dotazy můžete sestavit v Azure Resource Graph Exploreru a zkopírovat je do dotazu sešitu.

3. Na panelu nástrojů vyberte Uložit nebo Uložit jako , abyste sešit uložili, a pak vyberte Dokončené úpravy.

4. Výběrem možnosti Sešity se vrátíte na hlavní stránku sešitu s úplným výpisem sešitu.

Referenční parametry v dotazech

Jakmile vytvoříte parametr, odkazujte na něj v dotazu pomocí následující syntaxe: {ParameterName}. Příklad:

iotsecurityresources
| where type == "microsoft.iotsecurity/sensors"
| extend Name=name
| extend Status= properties.sensorStatus
| where Name=={SensorName}
| project Name,Status

Ukázkové dotazy

Tato část obsahuje ukázkové dotazy, které se běžně používají v sešitech Defenderu pro IoT.

Dotazy na upozornění

Distribuce výstrah mezi senzory

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| extend Sensor=properties.extendedProperties.SensorId
| where properties.status!='Closed'
| summarize Alerts=count() by tostring(Sensor)
| sort by Alerts desc

Nová upozornění za posledních 24 hodin

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| where properties.status!='Closed'
| extend AlertTime=properties.startTimeUtc
| extend Type=properties.displayName
| where AlertTime > ago(1d)
| project AlertTime, Type

Upozornění podle zdrojové IP adresy

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| extend Type=properties.displayName
| extend Source_IP=properties.extendedProperties.SourceDeviceAddress
| extend Destination_IP=properties.extendedProperties.DestinationDeviceAddress
| where Source_IP=='192.168.10.1'
| project Source_IP, Destination_IP, Type

Dotazy na zařízení

Inventář zařízení OT podle dodavatele

iotsecurityresources
| extend Vendor= properties.hardware.vendor
| where properties.deviceDataSource=='OtSensor'
| summarize Devices=count() by tostring(Vendor)
| sort by Devices

Inventář zařízení OT podle podtypu, jako je PLC, vložené zařízení, UPS atd.

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| extend SubType=properties.deviceSubTypeDisplayName
| summarize Devices=count() by tostring(SubType)
| sort by Devices

Nová zařízení OT podle senzoru, lokality a adresy IPv4

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| extend TimeFirstSeen=properties.firstSeen
| where TimeFirstSeen > ago(1d)
| extend DeviceName=properties.deviceName
| extend Site=properties.sensor.site
| extend Sensor=properties.sensor.name
| extend IPv4=properties.nics.[0].ipv4Address
| where properties.deviceDataSource=='OtSensor'
| project TimeFirstSeen, Site, Sensor, DeviceName, IPv4

Shrnutí upozornění podle úrovně Purdue

iotsecurityresources
    | where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
    | project 
        resourceId = id,
        affectedResource = tostring(properties.extendedProperties.DeviceResourceIds),
        id = properties.systemAlertId
    | join kind=leftouter (
        iotsecurityresources | where type == "microsoft.iotsecurity/locations/devicegroups/devices" 
        | project 
            sensor = properties.sensor.name,
            zone = properties.sensor.zone,
            site = properties.sensor.site,
            deviceProperties=properties,
            affectedResource = tostring(id)
    ) on affectedResource
    | project-away affectedResource1
    | where deviceProperties.deviceDataSource == 'OtSensor'
    | summarize Alerts=count() by tostring(deviceProperties.purdueLevel)

Další kroky

Další informace o zobrazení řídicích panelů a sestav na konzole senzoru:

• Spouštění dotazů na dolování dat
• Vytváření sestav posouzení rizik
• Vytváření řídicích panelů trendů a statistik

Další informace o sešitech Azure Monitoru a Azure Resource Graph:

• Dokumentace ke službě Azure Resource Graph
• Dokumentace k sešitu Služby Azure Monitor
• Dokumentace k dotazovací jazyk Kusto (KQL)