Tutorial: Koneksi Pertahanan Microsoft untuk IoT dengan Microsoft Sentinel
Pertahanan Microsoft untuk IoT memungkinkan Anda mengamankan seluruh lingkungan OT dan Enterprise IoT, baik Anda perlu melindungi perangkat yang ada atau membangun keamanan menjadi inovasi baru.
Microsoft Sentinel dan Pertahanan Microsoft untuk IoT membantu menjembatani kesenjangan antara tantangan keamanan IT dan OT, dan untuk memberdayakan tim SOC dengan kemampuan siap pakai untuk mendeteksi dan merespons ancaman keamanan secara efisien dan efektif. Integrasi antara Microsoft Defender untuk IoT dan Microsoft Sentinel membantu organisasi untuk dengan cepat mendeteksi serangan multihatap, yang sering melintasi batas TI dan OT.
Konektor ini memungkinkan Anda mengalirkan data Pertahanan Microsoft untuk IoT ke Microsoft Sentinel, sehingga Anda dapat melihat, menganalisis, dan menanggapi pemberitahuan Defender untuk IoT, dan insiden yang dihasilkan, dalam konteks ancaman organisasi yang lebih luas.
Dalam tutorial ini, Anda akan belajar cara:
- Koneksi data Defender for IoT ke Microsoft Azure Sentinel
- Menggunakan Analitik Log untuk mengkueri data pemberitahuan Defender for IoT
Prasyarat
Sebelum memulai, pastikan Anda memiliki persyaratan berikut di ruang kerja Anda:
Izin Baca dan Tulis di ruang kerja Microsoft Azure Sentinel Anda. Untuk informasi selengkapnya, lihat Izin di Microsoft Azure Sentinel.
Izin Kontributor atau Pemilik pada langganan yang ingin Anda sambungkan ke Microsoft Sentinel.
Paket Defender for IoT di langganan Azure Anda dengan streaming data ke Defender for IoT. Untuk informasi selengkapnya, lihat Mulai Cepat: Mulai menggunakan Defender untuk IoT.
Penting
Saat ini, memiliki Konektor data Microsoft Defender untuk IoT dan Microsoft Defender untuk Cloud yang diaktifkan di ruang kerja Microsoft Sentinel yang sama secara bersamaan dapat menghasilkan peringatan duplikat di Microsoft Sentinel. Sebaiknya putuskan sambungan konektor data Microsoft Defender untuk Cloud sebelum menyambungkan ke Microsoft Defender untuk Cloud.
Sambungkan data Anda dari Pertahanan untuk IoT ke Microsoft Sentinel
Menggunakan konektor Pertahanan untuk IoT untuk melakukan streaming semua peristiwa Pertahanan untuk IoT ke Microsoft Azure Sentinel.
Untuk mengaktifkan konektor data Defender untuk IoT:
Di Microsoft Sentinel, di bawah Konfigurasi, pilih Konektor data, lalu temukan konektor data Microsoft Defender untuk IoT.
Di kanan bawah, pilih Buka halaman konektor.
Pada tab Petunjuk, di bawah Konfigurasi, pilih Koneksi untuk setiap langganan yang peringatan dan peringatan perangkatnya ingin Anda streaming ke Microsoft Sentinel.
Jika Anda telah membuat perubahan koneksi, diperlukan waktu 10 detik atau lebih agar daftar Langganan diperbarui.
Untuk informasi selengkapnya, lihat Menyambungkan Microsoft Sentinel ke layanan Azure, Windows, Microsoft, dan Amazon.
Melihat peringatan Defender untuk IoT
Setelah menyambungkan langganan ke Microsoft Sentinel, Anda akan dapat melihat pemberitahuan Defender for IoT di area Log Microsoft Azure Sentinel.
Di Microsoft Sentinel, pilih Log > AzureSecurityOfThings > SecurityAlert, atau cari SecurityAlert.
Gunakan kueri sampel berikut untuk memfilter log dan melihat peringatan yang dihasilkan oleh Defender untuk IoT:
Untuk melihat semua peringatan yang dihasilkan oleh Defender untuk IoT:
SecurityAlert | where ProductName == "Azure Security Center for IoT"Untuk melihat peringatan sensor tertentu yang dihasilkan oleh Defender untuk IoT:
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where tostring(parse_json(ExtendedProperties).SensorId) == “<sensor_name>”Untuk melihat peringatan mesin OT tertentu yang dihasilkan oleh Defender untuk IoT:
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "MALWARE" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "ANOMALY" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "PROTOCOL_VIOLATION" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "POLICY_VIOLATION" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "OPERATIONAL"Untuk melihat peringatan tingkat keparahan tinggi yang dihasilkan oleh Defender untuk IoT:
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where AlertSeverity == "High"Untuk melihat peringatan protokol tertentu yang dihasilkan oleh Defender untuk IoT:
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where tostring(parse_json(ExtendedProperties).Protocol) == "<protocol_name>"
Catatan
Halaman Log di Microsoft Sentinel didasarkan pada Analitik Log Azure Monitor.
Untuk informasi selengkapnya, lihat Gambaran umum kueri log di dokumentasi Azure Monitor dan modul Microsoft Learn Tulis kueri KQL pertama Anda.
Memahami tanda waktu pemberitahuan
Defender untuk pemberitahuan IoT, baik di portal Microsoft Azure maupun di konsol sensor, lacak waktu pemberitahuan pertama kali terdeteksi, terakhir terdeteksi, dan terakhir diubah.
Tabel berikut ini menjelaskan bidang tanda waktu pemberitahuan Defender for IoT, dengan pemetaan ke bidang yang relevan dari Analitik Log yang ditampilkan di Microsoft Sentinel.
| Bidang Defender for IoT | Deskripsi | Bidang Log Analytics |
|---|---|---|
| Deteksi pertama | Menentukan pertama kalinya pemberitahuan terdeteksi dalam jaringan. | StartTime |
| Deteksi terakhir | Menentukan terakhir kali pemberitahuan terdeteksi di jaringan, dan menggantikan kolom Waktu deteksi. | EndTime |
| Aktivitas terakhir | Menentukan terakhir kali pemberitahuan diubah, termasuk pembaruan manual untuk tingkat keparahan atau status, atau perubahan otomatis untuk pembaruan perangkat atau de-duplikasi perangkat/pemberitahuan | TimeGenerated |
Di Defender for IoT pada portal Microsoft Azure dan konsol sensor, kolom Deteksi terakhir ditampilkan secara default. Edit kolom di halaman Pemberitahuan untuk memperlihatkan kolom Deteksi pertama dan Aktivitas terakhir sesuai kebutuhan.
Untuk informasi selengkapnya, lihat Melihat pemberitahuan di portal Defender for IoT dan Melihat pemberitahuan di sensor Anda.
Memahami beberapa rekaman per pemberitahuan
Data pemberitahuan Defender for IoT dialirkan ke Microsoft Sentinel dan disimpan di ruang kerja Analitik Log Anda, di tabel SecurityAlert .
Rekaman dalam tabel SecurityAlert dibuat setiap kali pemberitahuan dibuat atau diperbarui di Defender untuk IoT. Terkadang satu pemberitahuan akan memiliki beberapa rekaman, seperti ketika pemberitahuan pertama kali dibuat dan kemudian lagi ketika diperbarui.
Di Microsoft Azure Sentinel, gunakan kueri berikut untuk memeriksa rekaman yang ditambahkan ke tabel SecurityAlert untuk satu pemberitahuan:
SecurityAlert
| where ProductName == "Azure Security Center for IoT"
| where VendorOriginalId == "Defender for IoT Alert ID"
| sort by TimeGenerated desc
Pembaruan untuk status pemberitahuan atau tingkat keparahan segera menghasilkan rekaman baru dalam tabel SecurityAlert .
Jenis pembaruan lainnya dikumpulkan hingga 12 jam, dan rekaman baru dalam tabel SecurityAlert hanya mencerminkan perubahan terbaru. Contoh pembaruan agregat meliputi:
- Pembaruan dalam waktu deteksi terakhir, seperti ketika pemberitahuan yang sama terdeteksi beberapa kali
- Perangkat baru ditambahkan ke pemberitahuan yang sudah ada
- Properti perangkat untuk pemberitahuan diperbarui
Langkah berikutnya
Solusi Pertahanan Microsoft untuk IoT adalah sekumpulan konten yang dibundel dan di luar kotak yang dikonfigurasi khusus untuk data Defender for IoT, dan mencakup aturan analitik, buku kerja, dan playbook.