Memvisualisasikan Microsoft Defender untuk data IoT dengan buku kerja Azure Monitor

Buku kerja Azure Monitor menyediakan grafik, bagan, dan dasbor yang secara visual mencerminkan data yang disimpan dalam langganan Azure Resource Graph Anda dan tersedia langsung di Microsoft Defender untuk IoT.

Di portal Microsoft Azure, gunakan halaman Buku Kerja Defender untuk IoT guna melihat buku kerja yang dibuat oleh Microsoft dan disediakan langsung, atau dibuat oleh pelanggan dan dibagikan ke seluruh komunitas.

Setiap grafik atau bagan buku kerja didasarkan pada kueri Azure Resource Graph (ARG) yang berjalan pada data Anda. Di Defender untuk IoT, Anda dapat menggunakan kueri ARG untuk:

• Mengumpulkan status sensor
• Mengidentifikasi perangkat baru di jaringan Anda
• Menemukan peringatan yang terkait dengan alamat IP tertentu
• Memahami pemberitahuan mana yang terlihat oleh setiap sensor

Melihat buku kerja

Untuk melihat buku kerja siap pakai yang dibuat oleh Microsoft, atau buku kerja lain yang sudah disimpan ke langganan Anda:

1. Di portal Microsoft Azure, buka Defender untuk IoT dan pilih Buku kerja di sebelah kiri.

   

2. Ubah opsi pemfilteran Anda jika diperlukan, dan pilih buku kerja untuk membukanya.

Defender untuk IoT menyediakan buku kerja berikut ini secara langsung:

• Kesehatan sensor. Menampilkan data tentang kesehatan sensor Anda, seperti versi perangkat lunak konsol sensor yang diinstal pada sensor Anda.
• Alerts. Menampilkan data tentang peringatan yang terjadi pada sensor Anda, termasuk peringatan berdasarkan sensor, jenis peringatan, peringatan terbaru yang dihasilkan, dan banyak lagi.
• Perangkat. Menampilkan data tentang inventaris perangkat Anda, termasuk perangkat berdasarkan vendor, subjenis, dan perangkat baru yang diidentifikasi.
• Kerentanan. Menampilkan data tentang Kerentanan yang terdeteksi di perangkat OT di seluruh jaringan Anda. Pilih item dalam tabel Kerentananperangkat, Perangkat rentan, atau Komponen rentan untuk melihat informasi terkait dalam tabel di sebelah kanan.

Membuat buku kerja kustom

Gunakan halaman Buku Kerja Defender untuk IoT untuk membuat buku kerja Azure Monitor kustom langsung di Defender untuk IoT.

1. Pada halaman Buku Kerja, pilih Baru, atau untuk memulai dari template lain, buka buku kerja template dan pilih Edit.

2. Di buku kerja baru Anda, pilih Tambahkan, dan pilih opsi yang ingin Anda tambahkan ke buku kerja Anda. Jika Anda mengedit buku kerja atau template yang ada, pilih tombol opsi (...) di sebelah kanan untuk mengakses menu Tambahkan.

   Anda dapat menambahkan salah satu elemen berikut ke buku kerja Anda:

   Opsi	Deskripsi
   Teks	Tambahkan teks untuk menjelaskan grafik yang ditampilkan di buku kerja Anda atau tindakan tambahan apa pun yang diperlukan.
   Parameter	Tentukan parameter yang akan digunakan dalam teks dan kueri buku kerja Anda.
   Tautan / tab	Tambahkan elemen navigasi ke buku kerja Anda, termasuk daftar, tautan ke target lain, tab tambahan, atau toolbar.
   Kueri	Tambahkan kueri untuk digunakan saat membuat grafik dan bagan buku kerja Anda. - Pastikan untuk memilih Azure Resource Graph sebagai Sumber data Anda dan pilih semua langganan Anda yang relevan. - Tambahkan representasi grafis untuk data Anda dengan memilih jenis dari opsi Visualisasi.
   Metrik	Tambahkan metrik untuk digunakan saat membuat grafik dan bagan buku kerja.
   Grup	Tambahkan grup untuk mengatur buku kerja Anda ke dalam sub-area.

   Untuk setiap opsi, setelah Anda menentukan semua pengaturan yang tersedia, pilih tombol Tambahkan... atau Jalankan... untuk membuat elemen buku kerja tersebut. Misalnya, Tambahkan parameter atau Jalankan Kueri.

   Tip

   Anda dapat membuat kueri di Penjelajah Azure Resource Graph dan menyalinnya ke kueri buku kerja Anda.

3. Di toolbar, pilih Simpan atau Simpan sebagai untuk menyimpan buku kerja Anda, lalu pilih Selesai mengedit.

4. Pilih Buku kerja untuk kembali ke halaman buku kerja utama dengan daftar buku kerja lengkap.

Parameter referensi dalam kueri Anda

Setelah Anda membuat parameter, rujuk dalam kueri Anda menggunakan sintaks berikut: {ParameterName}. Contohnya:

iotsecurityresources
| where type == "microsoft.iotsecurity/sensors"
| extend Name=name
| extend Status= properties.sensorStatus
| where Name=={SensorName}
| project Name,Status

Kueri sampel

Bagian ini menyediakan contoh kueri yang biasa digunakan di buku kerja Defender untuk IoT.

Kueri peringatan

Distribusi peringatan di seluruh sensor

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| extend Sensor=properties.extendedProperties.SensorId
| where properties.status!='Closed'
| summarize Alerts=count() by tostring(Sensor)
| sort by Alerts desc

Peringatan baru dari 24 jam terakhir

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| where properties.status!='Closed'
| extend AlertTime=properties.startTimeUtc
| extend Type=properties.displayName
| where AlertTime > ago(1d)
| project AlertTime, Type

Peringatan berdasarkan alamat IP sumber

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| extend Type=properties.displayName
| extend Source_IP=properties.extendedProperties.SourceDeviceAddress
| extend Destination_IP=properties.extendedProperties.DestinationDeviceAddress
| where Source_IP=='192.168.10.1'
| project Source_IP, Destination_IP, Type

Kueri perangkat

Inventaris perangkat OT berdasarkan vendor

iotsecurityresources
| extend Vendor= properties.hardware.vendor
| where properties.deviceDataSource=='OtSensor'
| summarize Devices=count() by tostring(Vendor)
| sort by Devices

Inventaris perangkat OT berdasarkan sub-jenis, seperti PLC, perangkat yang disematkan, UPS, dan sebagainya

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| extend SubType=properties.deviceSubTypeDisplayName
| summarize Devices=count() by tostring(SubType)
| sort by Devices

Perangkat OT baru berdasarkan sensor, situs, dan alamat IPv4

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| extend TimeFirstSeen=properties.firstSeen
| where TimeFirstSeen > ago(1d)
| extend DeviceName=properties.deviceName
| extend Site=properties.sensor.site
| extend Sensor=properties.sensor.name
| extend IPv4=properties.nics.[0].ipv4Address
| where properties.deviceDataSource=='OtSensor'
| project TimeFirstSeen, Site, Sensor, DeviceName, IPv4

Meringkas peringatan berdasarkan tingkat Purdue

iotsecurityresources
    | where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
    | project 
        resourceId = id,
        affectedResource = tostring(properties.extendedProperties.DeviceResourceIds),
        id = properties.systemAlertId
    | join kind=leftouter (
        iotsecurityresources | where type == "microsoft.iotsecurity/locations/devicegroups/devices" 
        | project 
            sensor = properties.sensor.name,
            zone = properties.sensor.zone,
            site = properties.sensor.site,
            deviceProperties=properties,
            affectedResource = tostring(id)
    ) on affectedResource
    | project-away affectedResource1
    | where deviceProperties.deviceDataSource == 'OtSensor'
    | summarize Alerts=count() by tostring(deviceProperties.purdueLevel)

Langkah berikutnya

Pelajari selengkapnya tentang melihat dasbor dan laporan di konsol sensor:

• Menjalankan kueri penggalian data
• Pelaporan penilaian risiko
• Membuat dasbor tren dan statistik

Pelajari selengkapnya tentang buku kerja Azure Monitor dan Azure Resource Graph:

• Dokumentasi Azure Resource Graph
• Dokumentasi buku kerja Azure Monitor
• Dokumentasi Bahasa Kueri Kusto (KQL)