Visualiser les données Microsoft Defender pour IoT avec des classeurs Azure Monitor

  • Article

Les classeurs Azure Monitor fournissent des graphiques et des tableaux de bord qui reflètent visuellement les données stockées dans vos abonnements Azure Resource Graph et sont disponibles directement dans Microsoft Defender pour IoT.

Dans le portail Azure, utilisez la page Classeurs de Defender pour IoT pour consulter les classeurs créés par Microsoft et fournis par les clients prêts à l’emploi ou créés par des clients et partagés par l’ensemble de la communauté.

Chaque graphique de classeur est basé sur une requête Azure Resource Graph (ARG) en cours d’exécution sur vos données. Dans Defender pour IoT, vous pouvez utiliser des requêtes ARG pour :

  • Collecter les états des capteurs
  • Identifier les nouveaux appareils de votre réseau
  • Rechercher des alertes liées à des adresses IP spécifiques
  • Identifier les alertes visibles par chaque capteur

Afficher les classeurs

Pour afficher les classeurs prêts à l’emploi créés par Microsoft ou d’autres classeurs déjà enregistrés dans votre abonnement :

  1. Dans le portail Azure, accédez à Defender pour IoT et sélectionnez Classeurs sur la gauche.

    Capture d’écran de la nouvelle page Classeurs.

  2. Modifiez vos options de filtrage si nécessaire, puis sélectionnez un classeur pour l’ouvrir.

Defender pour IoT fournit les classeurs prêts à l’emploi suivants :

  • Intégrité du capteur. Affiche des données sur l’intégrité de votre capteur, comme les versions de logiciel de la console de capteur installées sur vos capteurs.
  • Alertes. Affiche des données sur les alertes qui se produisent sur vos capteurs, y compris les alertes par capteur, les types d’alerte, les alertes récentes générées, et plus encore.
  • Appareils. Affiche les données relatives à l’inventaire de vos appareils, y compris les appareils par fournisseur, sous-type et nouveaux appareils identifiés.
  • Vulnérabilités. Affiche des données sur les vulnérabilités détectées dans les appareils OT de votre réseau. Sélectionnez un élément dans les tableaux Vulnérabilités des appareils, Appareils vulnérables ou Composants vulnérables pour afficher les informations associées dans les tableaux à droite.

Créer des classeurs personnalisés

Utilisez la page Classeurs de Defender pour IoT pour créer des classeurs Azure Monitor personnalisés directement dans Defender pour IoT.

  1. Dans la page Classeurs, sélectionnez Nouveau, ou pour démarrer à partir d’un autre modèle, ouvrez le classeur de modèle, puis sélectionnez Modifier.

  2. Dans votre nouveau classeur, sélectionnez Ajouter, puis sélectionnez l’option que vous souhaitez ajouter à votre classeur. Si vous modifiez un classeur ou un modèle existant, sélectionnez le bouton Options (...) à droite pour accéder au menu Ajouter.

    Vous pouvez ajouter les éléments suivants à votre classeur :

    Option Description
    Text Ajoutez du texte pour décrire les graphiques affichés dans votre classeur ou toute action supplémentaire requise.
    Paramètres Définissez les paramètres à utiliser dans le texte et les requêtes de votre classeur.
    Liens/onglets Ajoutez des éléments de navigation à votre classeur, y compris des listes, des liens vers d’autres cibles, des onglets supplémentaires ou des barres d’outils.
    Requête Ajoutez une requête à utiliser lors de la création de graphiques de classeur.

    - Veillez à sélectionner Azure Resource Graph comme Source de données et à sélectionner tous vos abonnements appropriés.
    - Ajoutez une représentation graphique de vos données en sélectionnant un type dans les options de Visualisation.
    Mesure Ajoutez des métriques à utiliser lors de la création de graphiques de classeur.
    Groupe Ajoutez des groupes pour organiser vos classeurs dans des sous-zones.

    Pour chaque option, après avoir défini tous les paramètres disponibles, sélectionnez le bouton Ajouter... ou Exécuter... pour créer cet élément de classeur. Par exemple, Ajouter un paramètre ou Exécuter une requête.

    Conseil

    Vous pouvez créer vos requêtes dans l’Explorateur Azure Resource Graph et les copier dans votre requête de classeur.

  3. Dans la barre d’outils, sélectionnez Enregistrer ou Enregistrer sous pour enregistrer votre classeur, puis sélectionnez Modification terminée.

  4. Sélectionnez Classeurs pour revenir à la page du classeur principal avec les détails complets du classeur.

Références aux paramètres dans vos requêtes

Une fois que vous avez créé un paramètre, référencez-le dans votre requête à l’aide de la syntaxe suivante : {ParameterName}. Par exemple :

iotsecurityresources
| where type == "microsoft.iotsecurity/sensors"
| extend Name=name
| extend Status= properties.sensorStatus
| where Name=={SensorName}
| project Name,Status

Exemples de requêtes

Cette section fournit des exemples de requêtes couramment utilisés dans les classeurs Defender pour IoT.

Requêtes d’alerte

Distribution des alertes sur les capteurs

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| extend Sensor=properties.extendedProperties.SensorId
| where properties.status!='Closed'
| summarize Alerts=count() by tostring(Sensor)
| sort by Alerts desc

Nouvelles alertes au cours des dernières 24 heures

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| where properties.status!='Closed'
| extend AlertTime=properties.startTimeUtc
| extend Type=properties.displayName
| where AlertTime > ago(1d)
| project AlertTime, Type

Alertes par adresse IP source

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| extend Type=properties.displayName
| extend Source_IP=properties.extendedProperties.SourceDeviceAddress
| extend Destination_IP=properties.extendedProperties.DestinationDeviceAddress
| where Source_IP=='192.168.10.1'
| project Source_IP, Destination_IP, Type

Requêtes d’appareil

Inventaire des appareils OT par fournisseur

iotsecurityresources
| extend Vendor= properties.hardware.vendor
| where properties.deviceDataSource=='OtSensor'
| summarize Devices=count() by tostring(Vendor)
| sort by Devices

Inventaire des appareils OT par sous-type, par exemple PLC, appareil intégré, onduleur, etc.

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| extend SubType=properties.deviceSubTypeDisplayName
| summarize Devices=count() by tostring(SubType)
| sort by Devices

Nouveaux appareils OT par capteur, site et adresse IPv4

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| extend TimeFirstSeen=properties.firstSeen
| where TimeFirstSeen > ago(1d)
| extend DeviceName=properties.deviceName
| extend Site=properties.sensor.site
| extend Sensor=properties.sensor.name
| extend IPv4=properties.nics.[0].ipv4Address
| where properties.deviceDataSource=='OtSensor'
| project TimeFirstSeen, Site, Sensor, DeviceName, IPv4

Résumer les alertes par niveau Purdue

iotsecurityresources
    | where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
    | project 
        resourceId = id,
        affectedResource = tostring(properties.extendedProperties.DeviceResourceIds),
        id = properties.systemAlertId
    | join kind=leftouter (
        iotsecurityresources | where type == "microsoft.iotsecurity/locations/devicegroups/devices" 
        | project 
            sensor = properties.sensor.name,
            zone = properties.sensor.zone,
            site = properties.sensor.site,
            deviceProperties=properties,
            affectedResource = tostring(id)
    ) on affectedResource
    | project-away affectedResource1
    | where deviceProperties.deviceDataSource == 'OtSensor'
    | summarize Alerts=count() by tostring(deviceProperties.purdueLevel)

Étapes suivantes

En savoir plus sur l’affichage des tableaux de bord et des rapports sur la console du capteur :

En savoir plus sur les classeurs Azure Monitor et Azure Resource Graph :