Visualización de datos de Microsoft Defender para IoT con libros de Azure Monitor
Los libros de Azure Monitor proporcionan grafos, gráficos y paneles de información que reflejan los datos almacenados en las suscripciones de Azure Resource Graph visualmente. Estos se encuentran disponibles directamente en el servicio Microsoft Defender para IoT.
En Azure Portal, use la página Libros de Defender para IoT para ver los libros que ha creado Microsoft y que se proporcionan de forma lista para usar, además de los libros que los clientes han creado y compartido con la comunidad.
Cada grafo o gráfico de los libros se basa en una consulta de Azure Resource Graph (ARG) que se ejecuta en sus datos. Las consultas de ARG pueden ayudarle a realizar las siguientes acciones en Defender para IoT:
- Recopilación de los estados de los sensores.
- Identificación de nuevos dispositivos en la red.
- Búsqueda de alertas relacionadas con direcciones IP específicas.
- Saber qué alertas ve cada sensor
Visualización de libros
Para ver los libros listos para su uso que haya creado Microsoft u otros libros ya guardados en la suscripción, siga estos pasos:
En Azure Portal, vaya a Defender para IoT y seleccione la página Libros a la izquierda.
Modifique las opciones de filtrado si es necesario y seleccione un libro para abrirlo.
Defender para IoT proporciona los siguientes libros de forma lista para su uso:
- Estado de los sensores. Este libro muestra datos sobre el estado de los sensores, como pueden ser las versiones del software de la consola del sensor instaladas en los sensores.
- Alertas. Este libro muestra datos sobre las alertas que se producen en los sensores. Esto incluye las alertas que haya filtrado el sensor, tipos de alerta, alertas generadas recientemente, etc.
- Dispositivos. Este libro muestra datos sobre el inventario de dispositivos. Esto incluye los dispositivos filtrados por proveedor, subtipo y nuevos dispositivos identificados.
- Vulnerabilidades Muestra datos sobre las vulnerabilidades detectadas en los dispositivos de OT en toda la red. Seleccione un elemento en las tablas Vulnerabilidades del dispositivo, Dispositivos vulnerables o Componentes vulnerables para ver información relacionada en las tablas de la derecha.
Creación de libros personalizados
Use la página Libros de Defender para IoT para crear libros personalizados de Azure Monitor directamente desde el servicio.
En la página Libros, seleccione Nuevo. Alternativamente, para comenzar a partir de otra plantilla, abra el libro de plantillas y seleccione Editar.
En el nuevo libro, seleccione Agregar y, después, seleccione la opción que quiere agregar a este. Si está editando un libro o plantilla ya existente, seleccione el botón de opciones (...) a la derecha para acceder al menú Agregar.
Puede agregar cualquiera de los siguientes elementos al libro:
Opción Descripción Texto Esta opción le permite agregar texto para describir los grafos que se muestran en el libro o cualquier acción adicional necesaria. Parámetros Con esta opción, puede definir los parámetros que se usarán en el texto y las consultas del libro. Vínculos y pestañas Esta opción le permite agregar elementos de navegación al libro. Esto incluye listas, vínculos a otros destinos, pestañas adicionales o barras de herramientas. Consultar Esta opción permite agregar una consulta para usarla al crear los grafos y gráficos del libro.
- Asegúrese de seleccionar Azure Resource Graph como origen de datos y seleccione todas las suscripciones pertinentes.
- Agregue una representación gráfica para los datos mediante la selección de un tipo en las opciones de visualización.Métrica Esta opción le permite agregar métricas para usarlas al crear grafos y gráficos de libros. Grupo Con esta opción, puede agregar grupos con los que organizar los libros en subáreas. Para cada opción, después de definir todos las valores disponibles, seleccione el botón Agregar... o el botón Ejecutar... para crear ese elemento de libro concreto. Por ejemplo, puede seleccionar los botones Agregar parámetro o Ejecutar consulta.
Sugerencia
Puede compilar las consultas en Azure Resource Graph Explorer y copiarlas en la consulta del libro.
En la barra de herramientas, seleccione Guardar
o Guardar como
para guardar el libro y, a continuación, seleccione Edición finalizada.Por último, seleccione Libros para volver a la página principal, en la que se muestra la lista completa de libros.
Referencias a parámetros en las consultas
Una vez que haya creado un parámetro, puede hacer referencia a este en la consulta con la siguiente sintaxis: {ParameterName}. Por ejemplo:
iotsecurityresources
| where type == "microsoft.iotsecurity/sensors"
| extend Name=name
| extend Status= properties.sensorStatus
| where Name=={SensorName}
| project Name,Status
Consultas de ejemplo
En esta sección se proporcionan consultas de ejemplo que suelen usarse en libros de Defender para IoT.
Consultas de alerta
Distribución de alertas entre sensores
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| extend Sensor=properties.extendedProperties.SensorId
| where properties.status!='Closed'
| summarize Alerts=count() by tostring(Sensor)
| sort by Alerts desc
Nuevas alertas de las últimas 24 horas
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| where properties.status!='Closed'
| extend AlertTime=properties.startTimeUtc
| extend Type=properties.displayName
| where AlertTime > ago(1d)
| project AlertTime, Type
Alertas filtradas por dirección IP de origen
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| extend Type=properties.displayName
| extend Source_IP=properties.extendedProperties.SourceDeviceAddress
| extend Destination_IP=properties.extendedProperties.DestinationDeviceAddress
| where Source_IP=='192.168.10.1'
| project Source_IP, Destination_IP, Type
Consultas del dispositivo
Inventario de dispositivos OT filtrados por proveedor
iotsecurityresources
| extend Vendor= properties.hardware.vendor
| where properties.deviceDataSource=='OtSensor'
| summarize Devices=count() by tostring(Vendor)
| sort by Devices
Inventario de dispositivos OT filtrados por subtipo, como PLC, dispositivo incrustado o SAI (UPS), entre otros
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| extend SubType=properties.deviceSubTypeDisplayName
| summarize Devices=count() by tostring(SubType)
| sort by Devices
Nuevos dispositivos OT filtrados por sensor, sitio y dirección IPv4
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| extend TimeFirstSeen=properties.firstSeen
| where TimeFirstSeen > ago(1d)
| extend DeviceName=properties.deviceName
| extend Site=properties.sensor.site
| extend Sensor=properties.sensor.name
| extend IPv4=properties.nics.[0].ipv4Address
| where properties.deviceDataSource=='OtSensor'
| project TimeFirstSeen, Site, Sensor, DeviceName, IPv4
Resumen de alertas en función del nivel de Purdue
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| project
resourceId = id,
affectedResource = tostring(properties.extendedProperties.DeviceResourceIds),
id = properties.systemAlertId
| join kind=leftouter (
iotsecurityresources | where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| project
sensor = properties.sensor.name,
zone = properties.sensor.zone,
site = properties.sensor.site,
deviceProperties=properties,
affectedResource = tostring(id)
) on affectedResource
| project-away affectedResource1
| where deviceProperties.deviceDataSource == 'OtSensor'
| summarize Alerts=count() by tostring(deviceProperties.purdueLevel)
Pasos siguientes
Obtenga más información sobre cómo visualizar paneles e informes en la consola del sensor:
- Ejecución de consultas de minería de datos
- Informes de evaluación de riesgos
- Creación de paneles de tendencias y estadísticas
Obtenga más información sobre los libros de Azure Monitor y Azure Resource Graph: