Megosztás a következőn keresztül:

Microsoft Defender for IoT-adatok vizualizációja Azure Monitor-munkafüzetekkel

  • Cikk

Az Azure Monitor-munkafüzetek olyan grafikonokat, diagramokat és irányítópultokat biztosítanak, amelyek vizuálisan tükrözik az Azure Resource Graph-előfizetésekben tárolt adatokat, és közvetlenül a Microsoft Defender for IoT-ben érhetők el.

Az Azure Portalon a Defender for IoT-munkafüzetek lapon megtekintheti a Microsoft által létrehozott és beépített, vagy az ügyfelek által létrehozott és a közösségen belül megosztott munkafüzeteket.

Minden munkafüzetdiagram vagy -diagram az adatokon futó Azure Resource Graph-lekérdezésen (ARG) alapul. Az IoT-hez készült Defenderben az ARG-lekérdezések a következő célokra használhatók:

  • Érzékelőállapotok összegyűjtése
  • Új eszközök azonosítása a hálózaton
  • Adott IP-címekkel kapcsolatos riasztások keresése
  • Az egyes érzékelők által észlelt riasztások megismerése

Munkafüzetek megtekintése

A Microsoft által létrehozott beépített munkafüzetek vagy az előfizetésbe már mentett más munkafüzetek megtekintése:

  1. Az Azure Portalon nyissa meg az IoT Defendert, és válassza a munkafüzetek lehetőséget a bal oldalon.

    Képernyőkép a Munkafüzetek lapról.

  2. Szükség esetén módosítsa a szűrési beállításokat, és válasszon ki egy munkafüzetet a megnyitásához.

Az IoT-hez készült Defender a következő munkafüzeteket biztosítja a használaton kívül:

  • Érzékelő állapota. Megjeleníti az érzékelő állapotára vonatkozó adatokat, például az érzékelőkre telepített érzékelőkonzol szoftververzióit.
  • Riasztások. Megjeleníti az érzékelőkön előforduló riasztásokkal kapcsolatos adatokat, beleértve az érzékelőnkénti riasztásokat, a riasztástípusokat, a legutóbbi riasztásokat és egyebeket.
  • Eszközök. Megjeleníti az eszközleltár adatait, beleértve az eszközöket szállító, altípus és új azonosított eszközök szerint.
  • Biztonsági rések. Megjeleníti a hálózaton keresztüli OT-eszközökön észlelt biztonsági résekre vonatkozó adatokat. Jelöljön ki egy elemet az Eszköz biztonsági rései, a Sebezhető eszközök vagy a Sebezhető összetevők táblában a kapcsolódó információk megtekintéséhez a jobb oldali táblákban.

Egyéni munkafüzetek létrehozása

A Defender for IoT-munkafüzetek lapon egyéni Azure Monitor-munkafüzeteket hozhat létre közvetlenül a Defender for IoT-ben.

  1. A Munkafüzetek lapon válassza az Új lehetőséget, vagy ha egy másik sablonból szeretne kiindulni, nyissa meg a sablonmunkafüzetet, és válassza a Szerkesztés lehetőséget.

  2. Az új munkafüzetben válassza a Hozzáadás lehetőséget, és válassza ki a munkafüzethez hozzáadni kívánt beállítást. Ha meglévő munkafüzetet vagy sablont szerkeszt, a jobb oldalon található beállítások (...) gombra kattintva érheti el a Hozzáadás menüt.

    A munkafüzethez az alábbi elemek bármelyikét hozzáadhatja:

    Lehetőség Leírás
    Szöveg Adjon hozzá szöveget a munkafüzetben megjelenő grafikonok leírásához, vagy bármilyen további szükséges művelethez.
    Paraméterek Adja meg a munkafüzet szövegében és lekérdezéseiben használandó paramétereket.
    Hivatkozások/ lapok Adjon hozzá navigációs elemeket a munkafüzethez, beleértve a listákat, más célokra mutató hivatkozásokat, további lapokat vagy eszköztárakat.
    Lekérdezés Adjon hozzá egy lekérdezést, amelyet a munkafüzet-diagramok és -diagramok létrehozásakor használhat.

    – Győződjön meg arról, hogy adatforrásként az Azure Resource Graphot választja, és kiválasztja az összes releváns előfizetését.
    – A Vizualizáció beállításai közül kiválasztva grafikus ábrázolást adhat meg az adatokhoz.
    Metrika A munkafüzet-diagramok és -diagramok létrehozásakor használandó metrikák hozzáadása.
    Csoport Csoportok hozzáadása a munkafüzetek alterületekbe rendezéséhez.

    Minden beállításnál az összes elérhető beállítás megadása után válassza a Hozzáadás... vagy a Futtatás... gombot a munkafüzetelem létrehozásához. Például paraméter hozzáadása vagy lekérdezés futtatása.

    Tipp.

    A lekérdezéseket az Azure Resource Graph Explorerben hozhatja létre, és átmásolhatja őket a munkafüzet-lekérdezésbe.

  3. Az eszköztáron válassza a Mentés vagy Mentés másként lehetőséget a munkafüzet mentéséhez, majd válassza a Kész szerkesztés lehetőséget.

  4. A Munkafüzetek lehetőséget választva visszatérhet a munkafüzet fő lapjára a teljes munkafüzetlistával.

Referenciaparaméterek a lekérdezésekben

Miután létrehozott egy paramétert, hivatkozzon rá a lekérdezésben a következő szintaxissal: {ParameterName}. Példa:

iotsecurityresources
| where type == "microsoft.iotsecurity/sensors"
| extend Name=name
| extend Status= properties.sensorStatus
| where Name=={SensorName}
| project Name,Status

Minta lekérdezések

Ez a szakasz az IoT-munkafüzetekhez készült Defenderben gyakran használt minta lekérdezéseket tartalmazza.

Riasztási lekérdezések

Riasztások elosztása érzékelők között

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| extend Sensor=properties.extendedProperties.SensorId
| where properties.status!='Closed'
| summarize Alerts=count() by tostring(Sensor)
| sort by Alerts desc

Új riasztások az elmúlt 24 órában

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| where properties.status!='Closed'
| extend AlertTime=properties.startTimeUtc
| extend Type=properties.displayName
| where AlertTime > ago(1d)
| project AlertTime, Type

Riasztások forrás IP-cím alapján

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| extend Type=properties.displayName
| extend Source_IP=properties.extendedProperties.SourceDeviceAddress
| extend Destination_IP=properties.extendedProperties.DestinationDeviceAddress
| where Source_IP=='192.168.10.1'
| project Source_IP, Destination_IP, Type

Eszköz-lekérdezések

OT-eszközleltár szállító szerint

iotsecurityresources
| extend Vendor= properties.hardware.vendor
| where properties.deviceDataSource=='OtSensor'
| summarize Devices=count() by tostring(Vendor)
| sort by Devices

OT-eszközleltár altípus szerint, például PLC, beágyazott eszköz, UPS stb.

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| extend SubType=properties.deviceSubTypeDisplayName
| summarize Devices=count() by tostring(SubType)
| sort by Devices

Új OT-eszközök érzékelő, hely és IPv4-cím szerint

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| extend TimeFirstSeen=properties.firstSeen
| where TimeFirstSeen > ago(1d)
| extend DeviceName=properties.deviceName
| extend Site=properties.sensor.site
| extend Sensor=properties.sensor.name
| extend IPv4=properties.nics.[0].ipv4Address
| where properties.deviceDataSource=='OtSensor'
| project TimeFirstSeen, Site, Sensor, DeviceName, IPv4

Riasztások összegzése Purdue-szint szerint

iotsecurityresources
    | where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
    | project 
        resourceId = id,
        affectedResource = tostring(properties.extendedProperties.DeviceResourceIds),
        id = properties.systemAlertId
    | join kind=leftouter (
        iotsecurityresources | where type == "microsoft.iotsecurity/locations/devicegroups/devices" 
        | project 
            sensor = properties.sensor.name,
            zone = properties.sensor.zone,
            site = properties.sensor.site,
            deviceProperties=properties,
            affectedResource = tostring(id)
    ) on affectedResource
    | project-away affectedResource1
    | where deviceProperties.deviceDataSource == 'OtSensor'
    | summarize Alerts=count() by tostring(deviceProperties.purdueLevel)

Következő lépések

További információ az irányítópultok és jelentések megtekintéséről az érzékelőkonzolon:

További információ az Azure Monitor-munkafüzetekről és az Azure Resource Graphról: