IoT-adatok Microsoft Defender vizualizációja Azure Monitor-munkafüzetekkel

  • Cikk

Az Azure Monitor-munkafüzetek olyan grafikonokat, diagramokat és irányítópultokat biztosítanak, amelyek vizuálisan tükrözik az Azure-Resource Graph-előfizetésekben tárolt adatokat, és közvetlenül az IoT-Microsoft Defender érhetők el.

Az Azure Portal használja a Defender for IoT-munkafüzetek oldalt a Microsoft által létrehozott és a beépített, illetve az ügyfelek által létrehozott és a közösségen belül megosztott munkafüzetek megtekintéséhez.

Minden munkafüzetdiagram vagy -diagram egy Azure Resource Graph -lekérdezésen alapul, amely az adatokon fut. Az IoT-hez készült Defenderben ARG-lekérdezéseket használhat a következő célokra:

  • Érzékelő állapotainak összegyűjtése
  • Új eszközök azonosítása a hálózaton
  • Adott IP-címekkel kapcsolatos riasztások keresése
  • Az egyes érzékelők által észlelt riasztások ismertetése

Munkafüzetek megtekintése

A Microsoft által létrehozott beépített munkafüzetek vagy az előfizetésbe már mentett más munkafüzetek megtekintése:

  1. A Azure Portal nyissa meg az IoT Defendert, és válassza a munkafüzetek lehetőséget a bal oldalon.

    Képernyőkép a Munkafüzetek lapról.

  2. Szükség esetén módosítsa a szűrési beállításokat, és válasszon ki egy munkafüzetet a megnyitásához.

Az IoT-hez készült Defender a következő munkafüzeteket tartalmazza:

  • Érzékelő állapota. Megjeleníti az érzékelő állapotára vonatkozó adatokat, például az érzékelőkre telepített érzékelőkonzol szoftververzióit.
  • Riasztások. Megjeleníti az érzékelőkön előforduló riasztásokkal kapcsolatos adatokat, beleértve az érzékelőnkénti riasztásokat, a riasztástípusokat, a legutóbbi riasztásokat és egyebeket.
  • Eszközök. Megjeleníti az eszközleltár adatait, beleértve az eszközöket szállító, altípus és azonosított új eszközök szerint.
  • Biztonsági rések. Megjeleníti a hálózaton keresztüli OT-eszközökön észlelt biztonsági rések adatait. Jelöljön ki egy elemet az Eszköz biztonsági rései, a Sebezhető eszközök vagy a Sebezhető összetevők táblában a kapcsolódó információk megtekintéséhez a jobb oldali táblákban.

Egyéni munkafüzetek létrehozása

Az IoT-munkafüzetekhez készült Defender lapon közvetlenül az IoT-hez készült Defenderben hozhat létre egyéni Azure Monitor-munkafüzeteket.

  1. A Munkafüzetek lapon válassza az Új lehetőséget, vagy ha egy másik sablonból szeretne kiindulni, nyissa meg a sablonmunkafüzetet, és válassza a Szerkesztés lehetőséget.

  2. Az új munkafüzetben válassza a Hozzáadás lehetőséget, és válassza ki a munkafüzethez hozzáadni kívánt beállítást. Ha meglévő munkafüzetet vagy sablont szerkeszt, a jobb oldalon található beállítások (...) gombra kattintva lépjen a Hozzáadás menübe.

    Az alábbi elemek bármelyikét felveheti a munkafüzetbe:

    Beállítás Leírás
    Szöveg Adjon hozzá szöveget a munkafüzetben megjelenő grafikonok leírásához, vagy bármilyen további szükséges művelethez.
    Paraméterek Definiálja a munkafüzet szövegében és lekérdezéseiben használandó paramétereket.
    Hivatkozások/lapok Adjon hozzá navigációs elemeket a munkafüzethez, például listákat, más célokra mutató hivatkozásokat, további lapokat vagy eszköztárakat.
    Lekérdezés Adjon hozzá egy lekérdezést, amelyet a munkafüzet-diagramok és -diagramok létrehozásakor használhat.

    – Győződjön meg arról, hogy adatforrásként az Azure Resource Graph választja ki, és válassza ki az összes releváns előfizetést.
    – Adjon hozzá grafikus ábrázolást az adatokhoz úgy, hogy kiválaszt egy típust a Vizualizáció beállításai között.
    Metrika A munkafüzet-diagramok és -diagramok létrehozásakor használandó metrikák hozzáadása.
    Csoport Csoportok hozzáadása a munkafüzetek alterületekbe rendezéséhez.

    Minden beállításnál az összes elérhető beállítás megadása után válassza a Hozzáadás... vagy a Futtatás... gombot a munkafüzetelem létrehozásához. Például : Paraméter hozzáadása vagy Lekérdezés futtatása.

    Tipp

    A lekérdezéseket az Azure Resource Graph Explorerben hozhatja létre, és átmásolhatja őket a munkafüzet-lekérdezésbe.

  3. Az eszköztáron válassza a Mentés vagy a Mentés másként lehetőséget a munkafüzet mentéséhez, majd válassza a Szerkesztés befejezve lehetőséget.

  4. Válassza a Munkafüzetek lehetőséget, ha vissza szeretne lépni a fő munkafüzet lapjára a teljes munkafüzet-listával.

Referenciaparaméterek a lekérdezésekben

Miután létrehozott egy paramétert, hivatkozzon rá a lekérdezésben a következő szintaxissal: {ParameterName}. Például:

iotsecurityresources
| where type == "microsoft.iotsecurity/sensors"
| extend Name=name
| extend Status= properties.sensorStatus
| where Name=={SensorName}
| project Name,Status

Mintalekérdezések

Ez a szakasz az IoT-munkafüzetekhez készült Defenderben gyakran használt mintalekérdezéseket tartalmazza.

Riasztási lekérdezések

Riasztások eloszlása érzékelők között

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| extend Sensor=properties.extendedProperties.SensorId
| where properties.status!='Closed'
| summarize Alerts=count() by tostring(Sensor)
| sort by Alerts desc

Új riasztások az elmúlt 24 órából

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| where properties.status!='Closed'
| extend AlertTime=properties.startTimeUtc
| extend Type=properties.displayName
| where AlertTime > ago(1d)
| project AlertTime, Type

Riasztások forrás IP-címe szerint

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| extend Type=properties.displayName
| extend Source_IP=properties.extendedProperties.SourceDeviceAddress
| extend Destination_IP=properties.extendedProperties.DestinationDeviceAddress
| where Source_IP=='192.168.10.1'
| project Source_IP, Destination_IP, Type

Eszköz lekérdezései

OT-eszközleltár szállító szerint

iotsecurityresources
| extend Vendor= properties.hardware.vendor
| where properties.deviceDataSource=='OtSensor'
| summarize Devices=count() by tostring(Vendor)
| sort by Devices

OT-eszközleltár altípus szerint, például PLC, beágyazott eszköz, UPS stb.

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| extend SubType=properties.deviceSubTypeDisplayName
| summarize Devices=count() by tostring(SubType)
| sort by Devices

Új OT-eszközök érzékelő, hely és IPv4-cím szerint

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| extend TimeFirstSeen=properties.firstSeen
| where TimeFirstSeen > ago(1d)
| extend DeviceName=properties.deviceName
| extend Site=properties.sensor.site
| extend Sensor=properties.sensor.name
| extend IPv4=properties.nics.[0].ipv4Address
| where properties.deviceDataSource=='OtSensor'
| project TimeFirstSeen, Site, Sensor, DeviceName, IPv4

Riasztások összegzése Purdue-szint szerint

iotsecurityresources
    | where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
    | project 
        resourceId = id,
        affectedResource = tostring(properties.extendedProperties.DeviceResourceIds),
        id = properties.systemAlertId
    | join kind=leftouter (
        iotsecurityresources | where type == "microsoft.iotsecurity/locations/devicegroups/devices" 
        | project 
            sensor = properties.sensor.name,
            zone = properties.sensor.zone,
            site = properties.sensor.site,
            deviceProperties=properties,
            affectedResource = tostring(id)
    ) on affectedResource
    | project-away affectedResource1
    | where deviceProperties.deviceDataSource == 'OtSensor'
    | summarize Alerts=count() by tostring(deviceProperties.purdueLevel)

Következő lépések

További információ az irányítópultok és jelentések az érzékelőkonzolon való megtekintéséről:

További információ az Azure Monitor-munkafüzetekről és az Azure Resource Graph: