Tutoriel : Connecter Microsoft Defender pour IoT avec Microsoft Sentinel
Microsoft Defender pour IoT vous permet de sécuriser l’ensemble de votre environnement OT et Enterprise IoT, que vous ayez besoin de protéger des appareils existants ou de renforcer la sécurité de nouvelles innovations.
Microsoft Sentinel et Microsoft Defender pour IoT vous aident à combler le fossé entre les défis de sécurité informatique et d’OT, et à doter les équipes SOC de fonctionnalités prêtes à l’emploi pour détecter et répondre efficacement aux menaces de sécurité. L’intégration entre Microsoft Defender pour IoT et Microsoft Sentinel aide les organisations à détecter rapidement les attaques multiétapes, qui franchissent souvent les limites de l’informatique et de l’OT.
Ce connecteur vous permet de diffuser vos données Microsoft Defender pour IoT dans Microsoft Sentinel, afin que vous puissiez afficher, analyser et répondre aux alertes Defender pour IoT, ainsi qu’aux incidents qu’elles génèrent, dans un contexte de menace organisationnel plus large.
Dans ce didacticiel, vous apprendrez à :
- Connecter les données Defender pour IoT à Microsoft Sentinel
- Utiliser Log Analytics pour interroger des données d’alerte Defender pour IoT
Prérequis
Avant de commencer, assurez-vous de respecter les exigences suivantes sur votre espace de travail :
Autorisations de Lecture et Écriture dans l’espace de travail Microsoft Sentinel. Pour plus d’informations, consultez Autorisations dans Microsoft Sentinel.
Autorisations de Contributeur ou Propriétaire sur l’abonnement que vous souhaitez connecter à Microsoft Sentinel.
Un plan Defender pour IoT sur votre abonnement Azure avec streaming de données dans Defender pour IoT. Pour plus d’informations, consultez Démarrage rapide : Bien démarrer avec Defender pour IoT.
Important
Actuellement, le fait d’avoir Microsoft Defender pour IoT et les connecteurs de données Microsoft Defender pour le cloud activés simultanément sur le même espace de travail Microsoft Sentinel peut entraîner des doublons d’alertes dans Microsoft Sentinel. Nous vous recommandons de déconnecter le connecteur de données Microsoft Defender pour le cloud avant de vous connecter à Microsoft Defender pour IoT.
Connexion des données de Defender pour IoT à Microsoft Sentinel
Pour commencer, activez le connecteur de données Defender pour IoT afin de diffuser tous vos événements Defender pour IoT dans Microsoft Sentinel.
Pour activer le connecteur de données Defender pour IoT :
Dans Microsoft Sentinel, sous Configuration, sélectionnez Connecteurs de données, puis recherchez le connecteur de données Microsoft Defender pour IoT.
En bas à droite, sélectionnez Ouvrir la page du connecteur.
Dans l’onglet Instructions, sous Configuration, sélectionnez Se connecter pour chaque abonnement dont vous souhaitez diffuser les alertes et les alertes d’appareil dans Microsoft Sentinel.
Si vous avez apporté des modifications à la connexion, la mise à jour de la liste Abonnement peut prendre 10 secondes ou plus.
Pour plus d’informations, consultez Connecter Microsoft Sentinel à des services Azure, Windows, Microsoft et Amazon.
Afficher les alertes Defender pour IoT
Une fois que vous avez connecté un abonnement à Microsoft Sentinel, vous pourrez afficher les alertes Defender pour IoT dans la zone Journaux de Microsoft Sentinel.
Dans Microsoft Sentinel, sélectionnez Journaux > AzureSecurityOfThings > SecurityAlert, ou recherchez SecurityAlert.
Utilisez les exemples de requêtes suivants pour filtrer les journaux et afficher les alertes générées par Defender pour IoT :
Pour afficher toutes les alertes générées par Defender pour IoT :
SecurityAlert | where ProductName == "Azure Security Center for IoT"Pour afficher les alertes de capteur spécifiques générées par Defender pour IoT :
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where tostring(parse_json(ExtendedProperties).SensorId) == “<sensor_name>”Pour afficher les alertes de moteur d’OT spécifiques générées par Defender pour IoT :
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "MALWARE" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "ANOMALY" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "PROTOCOL_VIOLATION" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "POLICY_VIOLATION" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "OPERATIONAL"Pour afficher les alertes de gravité élevée générées par Defender pour IoT :
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where AlertSeverity == "High"Pour afficher les alertes de protocole spécifiques générées par Defender pour IoT :
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where tostring(parse_json(ExtendedProperties).Protocol) == "<protocol_name>"
Notes
La page Journaux dans Microsoft Sentinel est basée sur Log Analytics d’Azure Monitor.
Pour plus d’informations, consultez Vue d’ensemble des requêtes de journal dans la documentation d’Azure Monitor et le module Learn Écrire votre première requête KQL.
Comprendre les horodatages d’alerte
Les alertes Defender pour IoT, à la fois dans le Portail Azure et sur la console de capteur, suivent l’heure à laquelle une alerte a été détectée, la dernière détectée et la dernière modification.
Le tableau suivant décrit les champs d’horodatage d’alerte Defender pour IoT, avec un mappage aux champs pertinents de Log Analytics affichés dans Microsoft Sentinel.
| Champ Defender pour IoT | Description | Champ Log Analytics |
|---|---|---|
| Première détection | Définit la première fois que l’alerte a été détectée dans le réseau. | StartTime |
| Dernière détection | Définit la dernière fois que l’alerte a été détectée dans le réseau et remplace la colonne Heure de détection. | EndTime |
| Dernière activité | Définit la dernière fois que l’alerte a été modifiée, y compris les mises à jour manuelles pour la gravité ou l’état, ou les modifications automatisées pour les mises à jour d’appareil ou la déduplication d’appareil/d’alerte | TimeGenerated |
Dans Defender pour IoT sur le Portail Azure et la console de capteur, la colonne Dernière détection est affichée par défaut. Modifiez les colonnes de la page Alertes pour afficher les colonnes Première détection et Dernière activité selon les besoins.
Pour plus d’informations, consultez Afficher les alertes sur le portail Defender pour IoT et Afficher les alertes sur votre capteur.
Comprendre plusieurs enregistrements par alerte
Les données d’alerte Defender pour IoT sont diffusées vers le Microsoft Sentinel et stockées dans votre espace de travail Log Analytics, dans la table SecurityAlert.
Les enregistrements de la table SecurityAlert sont créés chaque fois qu’une alerte est générée ou mise à jour dans Defender pour IoT. Parfois, une seule alerte a plusieurs enregistrements, par exemple quand l’alerte a été créée pour la première fois, puis à nouveau quand elle a été mise à jour.
Dans Microsoft Sentinel, utilisez la requête suivante pour vérifier les enregistrements ajoutés à la table SecurityAlert pour une alerte unique :
SecurityAlert
| where ProductName == "Azure Security Center for IoT"
| where VendorOriginalId == "Defender for IoT Alert ID"
| sort by TimeGenerated desc
Mises à jour pour l’état ou la gravité de l’alerte générer de nouveaux enregistrements dans le Table SecurityAlert immédiatement.
D’autres types de mises à jour sont agrégés jusqu’à 12 heures, et les nouveaux enregistrements de la table SecurityAlert reflètent uniquement la dernière modification. Voici quelques exemples de mises à jour agrégées :
- Mises à jour à l’heure de la dernière détection, par exemple lorsque la même alerte est détectée plusieurs fois
- Un nouvel appareil est ajouté à une alerte existante
- Les propriétés de l’appareil pour une alerte sont mises à jour
Étapes suivantes
La solution Microsoft Defender pour IoT est un ensemble de contenus groupés et prêts à l’emploi configurés spécifiquement pour les données Defender pour IoT, et inclut des règles d’analyse, des classeurs et des playbooks.