Oktatóanyag: A Microsoft Defender for IoT csatlakoztatása a Microsoft Sentinelhez
A Microsoft Defender for IoT lehetővé teszi a teljes OT- és nagyvállalati IoT-környezet védelmét, legyen szó meglévő eszközök védelméről vagy a biztonság új innovációkba való kiépítéséről.
A Microsoft Sentinel és a Microsoft Defender for IoT segít áthidalni az informatikai és az OT biztonsági kihívásai közötti szakadékot, és lehetővé tenni az SOC-csapatok számára a beépített képességeket a biztonsági fenyegetések hatékony és hatékony észleléséhez és elhárításához. Az IoT-hez készült Microsoft Defender és a Microsoft Sentinel integrációja segít a szervezeteknek abban, hogy gyorsan észleljék a többlépcsős támadásokat, amelyek gyakran átlépik az informatikai és az OT-határokat.
Ez az összekötő lehetővé teszi, hogy a Microsoft Defender for IoT-adatokat a Microsoft Sentinelbe streamelje, így szélesebb körű szervezeti fenyegetéskörnyezetben tekintheti meg, elemezheti és válaszolhatja meg a Defender for IoT-riasztásokat és az általuk generált incidenseket.
Az oktatóanyag során a következőket fogja elsajátítani:
- A Defender for IoT-adatok csatlakoztatása a Microsoft Sentinelhez
- A Log Analytics használata a Defender for IoT riasztási adatainak lekérdezéséhez
Előfeltételek
Mielőtt hozzákezd, győződjön meg arról, hogy a munkaterületen a következő követelmények teljesülnek:
Olvasási és írási engedélyek a Microsoft Sentinel-munkaterületen. További információ: Engedélyek a Microsoft Sentinelben.
A Microsoft Sentinelhez csatlakozni kívánt előfizetés közreműködői vagy tulajdonosi engedélyei.
Az Azure-előfizetéshez készült Defender for IoT-csomag adatstreameléssel az IoT Defenderbe. További információ : Rövid útmutató: Ismerkedés az IoT Defenderrel.
Fontos
Jelenleg, ha a Microsoft Defender for IoT és a Felhőhöz készült Microsoft Defender adatösszekötők egyidejűleg engedélyezve vannak ugyanazon a Microsoft Sentinel-munkaterületen, a Microsoft Sentinel ismétlődő riasztásokat eredményezhet. Javasoljuk, hogy az IoT-hez készült Microsoft Defenderhez való csatlakozás előtt válassza le a Felhőhöz készült Microsoft Defender adatösszekötőt.
Adatok csatlakoztatása a Defender for IoT-ből a Microsoft Sentinelhez
Először is engedélyezze a Defender for IoT-adatösszekötőnek , hogy az összes IoT-eseményt streamelje a Microsoft Sentinelbe.
Az IoT-hez készült Defender adatösszekötő engedélyezése:
A Microsoft Sentinel Konfiguráció területén válassza az Adatösszekötők lehetőséget, majd keresse meg a Microsoft Defender for IoT-adatösszekötőt.
A jobb alsó sarokban válassza az Összekötő megnyitása lapot.
Az Utasítások lap Konfiguráció területén válassza a Csatlakozás lehetőséget minden olyan előfizetéshez, amelynek riasztásai és eszközriasztásai a Microsoft Sentinelbe továbbítandók.
Ha módosította a kapcsolatot, az előfizetési lista frissítése akár 10 másodpercet is igénybe vehet.
További információ: A Microsoft Sentinel csatlakoztatása az Azure-hoz, a Windowshoz, a Microsofthoz és az Amazonhoz.
A Defender for IoT-riasztások megtekintése
Miután csatlakoztatta az előfizetést a Microsoft Sentinelhez, megtekintheti az IoT-riasztásokhoz készült Defendert a Microsoft Sentinel Naplók területén.
A Microsoft Sentinelben válassza a Logs > AzureSecurityOfThings > SecurityAlert lehetőséget, vagy keressen a SecurityAlert kifejezésre.
A következő minta lekérdezésekkel szűrheti a naplókat, és megtekintheti az IoT Defender által létrehozott riasztásokat:
A Defender for IoT által létrehozott összes riasztás megtekintése:
SecurityAlert | where ProductName == "Azure Security Center for IoT"
Az IoT-hez készült Defender által létrehozott érzékelőriasztások megtekintése:
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where tostring(parse_json(ExtendedProperties).SensorId) == “<sensor_name>”
A Defender által az IoT-hez létrehozott konkrét OT-motorriasztások megtekintése:
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "MALWARE" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "ANOMALY" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "PROTOCOL_VIOLATION" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "POLICY_VIOLATION" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "OPERATIONAL"
A Defender által az IoT-hez létrehozott magas súlyosságú riasztások megtekintése:
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where AlertSeverity == "High"
A Defender for IoT által létrehozott konkrét protokollriasztások megtekintése:
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where tostring(parse_json(ExtendedProperties).Protocol) == "<protocol_name>"
Feljegyzés
A Microsoft Sentinel Naplók lapja az Azure Monitor Log Analyticsén alapul.
További információ: Naplólekérdezések áttekintése az Azure Monitor dokumentációjában és az első KQL-lekérdezés írása Learn modulban.
A riasztások időbélyegének ismertetése
A Defender for IoT-riasztások mind az Azure Portalon, mind az érzékelőkonzolon nyomon követik a riasztások első észlelésének, utolsó észlelésének és utolsó módosításának időpontját.
Az alábbi táblázat a Defender for IoT riasztás időbélyegmezőit ismerteti, a Microsoft Sentinelben látható Log Analytics megfelelő mezőihez való megfeleltetéssel.
Defender for IoT mező | Leírás | Log Analytics mező |
---|---|---|
Első észlelés | Meghatározza, hogy a riasztás első alkalommal észlelhető-e a hálózaton. | StartTime |
Utolsó észlelés | Meghatározza a riasztás legutóbbi észlelésének időpontját a hálózaton, és lecseréli az Észlelési idő oszlopot. | EndTime |
Utolsó tevékenység | Meghatározza a riasztás legutóbbi módosításának időpontját, beleértve a súlyosság vagy állapot manuális frissítését, vagy az eszközfrissítések vagy az eszköz/riasztások duplikációjának automatikus módosítását | TimeGenerated |
Az Azure Portalon és az érzékelőkonzolon futó Defender for IoT-ben alapértelmezés szerint az Utolsó észlelés oszlop jelenik meg. Szerkessze a Riasztások lapon található oszlopokat, hogy szükség szerint megjelenjen az Első észlelés és az Utolsó tevékenység oszlop.
További információ: Riasztások megtekintése az IoT-alapú Defender portálon és riasztások megtekintése az érzékelőn.
Riasztásonként több rekord ismertetése
Az IoT Defender riasztási adatai a Microsoft Sentinelbe kerülnek, és a Log Analytics-munkaterületen, a SecurityAlert táblában lesznek tárolva .
A SecurityAlert táblában lévő rekordok minden alkalommal létrejönnek, amikor riasztás jön létre vagy frissül a Defender for IoT-ben. Előfordulhat, hogy egy riasztás több rekordból áll, például a riasztás első létrehozásakor, majd a frissítéskor.
A Microsoft Sentinelben a következő lekérdezéssel ellenőrizheti a SecurityAlert táblához hozzáadott rekordokat egyetlen riasztás esetén:
SecurityAlert
| where ProductName == "Azure Security Center for IoT"
| where VendorOriginalId == "Defender for IoT Alert ID"
| sort by TimeGenerated desc
A riasztás állapotának vagy súlyosságának frissítései azonnal új rekordokat hoznak létre a SecurityAlert táblában.
Az egyéb típusú frissítések akár 12 órán keresztül összesíthetők, és a SecurityAlert tábla új rekordjai csak a legújabb módosítást tükrözik. Az összesített frissítések például a következők:
- Frissítések az utolsó észlelési időpontban, például ha ugyanazt a riasztást többször észleli a rendszer
- Új eszköz lesz hozzáadva egy meglévő riasztáshoz
- A riasztás eszköztulajdonságai frissülnek
Következő lépések
A Microsoft Defender for IoT-megoldás egy csomagban lévő, beépített tartalomkészlet, amely kifejezetten az IoT-adatokhoz készült Defenderhez van konfigurálva, és elemzési szabályokat, munkafüzeteket és forgatókönyveket tartalmaz.