Esercitazione: Connessione Microsoft Defender per IoT con Microsoft Sentinel
Microsoft Defender per IoT consente di proteggere l'intero ambiente OT ed Enterprise IoT, indipendentemente dal fatto che sia necessario proteggere i dispositivi esistenti o integrare la sicurezza in nuove innovazioni.
Microsoft Sentinel e Microsoft Defender per IoT consentono di colmare il divario tra le sfide di sicurezza IT e OT e di consentire ai team SOC di offrire funzionalità predefinite per rilevare e rispondere in modo efficiente e efficace alle minacce alla sicurezza. L'integrazione tra Microsoft Defender per IoT e Microsoft Sentinel consente alle organizzazioni di rilevare rapidamente gli attacchi a più fasi, che spesso superano i limiti IT e OT.
Questo connettore consente di trasmettere i dati di Microsoft Defender per IoT in Microsoft Sentinel, in modo da poter visualizzare, analizzare e rispondere agli avvisi di Defender per IoT e gli eventi imprevisti generati, in un contesto di minaccia aziendale più ampio.
La presente esercitazione include informazioni su come:
- Connessione dati di Defender per IoT in Microsoft Sentinel
- Usare Log Analytics per eseguire query sui dati degli avvisi di Defender per IoT
Prerequisiti
Prima di iniziare, assicurarsi di avere i requisiti seguenti nell'area di lavoro:
Autorizzazioni di lettura e scrittura per l'area di lavoro di Microsoft Sentinel. Per altre informazioni, vedere Autorizzazioni in Microsoft Sentinel.
Autorizzazioni di collaboratore o proprietario per la sottoscrizione che si vuole connettere a Microsoft Sentinel.
Un piano Defender per IoT nella sottoscrizione di Azure con streaming di dati in Defender per IoT. Per altre informazioni, vedere Guida introduttiva: Introduzione a Defender per IoT.
Importante
Attualmente, sia Microsoft Defender per IoT che i connettori dati Microsoft Defender per il cloud abilitati nella stessa area di lavoro di Microsoft Sentinel possono generare avvisi duplicati in Microsoft Sentinel. È consigliabile disconnettere il connettore dati Microsoft Defender per il cloud prima di connettersi a Microsoft Defender per IoT.
Connessione i dati da Defender per IoT a Microsoft Sentinel
Per iniziare, abilitare il connettore dati Defender per IoT per trasmettere tutti gli eventi di Defender per IoT in Microsoft Sentinel.
Per abilitare il connettore dati Defender per IoT:
In Microsoft Sentinel, in Configurazione selezionare Connettori dati e quindi individuare il connettore dati di Microsoft Defender per IoT .
In basso a destra selezionare Apri pagina connettore.
Nella scheda Istruzioni, in Configurazione, selezionare Connessione per ogni sottoscrizione i cui avvisi e gli avvisi dei dispositivi da trasmettere in Microsoft Sentinel.
Se sono state apportate modifiche alla connessione, l'aggiornamento dell'elenco delle sottoscrizioni può richiedere almeno 10 secondi.
Per altre informazioni, vedere Connessione Microsoft Sentinel in Azure, Windows, Microsoft e Amazon Services.
Visualizzare gli avvisi di Defender per IoT
Dopo aver connesso una sottoscrizione a Microsoft Sentinel, sarà possibile visualizzare gli avvisi di Defender per IoT nell'area Log di Microsoft Sentinel.
In Microsoft Sentinel selezionare Log > AzureSecurityOfThings > SecurityAlert o cercare SecurityAlert.
Usare le query di esempio seguenti per filtrare i log e visualizzare gli avvisi generati da Defender per IoT:
Per visualizzare tutti gli avvisi generati da Defender per IoT:
SecurityAlert | where ProductName == "Azure Security Center for IoT"Per visualizzare avvisi specifici dei sensori generati da Defender per IoT:
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where tostring(parse_json(ExtendedProperties).SensorId) == “<sensor_name>”Per visualizzare avvisi specifici del motore OT generati da Defender per IoT:
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "MALWARE" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "ANOMALY" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "PROTOCOL_VIOLATION" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "POLICY_VIOLATION" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "OPERATIONAL"Per visualizzare gli avvisi con gravità elevata generati da Defender per IoT:
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where AlertSeverity == "High"Per visualizzare avvisi di protocollo specifici generati da Defender per IoT:
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where tostring(parse_json(ExtendedProperties).Protocol) == "<protocol_name>"
Nota
La pagina Log in Microsoft Sentinel si basa su Log Analytics di Monitoraggio di Azure.
Per altre informazioni, vedere Panoramica delle query di log nella documentazione di Monitoraggio di Azure e scrivere il primo modulo di Learn query KQL.
Informazioni sui timestamp degli avvisi
Gli avvisi di Defender per IoT, sia nella portale di Azure che nella console del sensore, tengono traccia dell'ora in cui è stato rilevato un avviso, dell'ultimo rilevamento e dell'ultima modifica.
La tabella seguente descrive i campi timestamp degli avvisi di Defender per IoT, con un mapping ai campi pertinenti di Log Analytics visualizzati in Microsoft Sentinel.
| Campo Defender per IoT | Descrizione | Campo Log Analytics |
|---|---|---|
| Primo rilevamento | Definisce la prima volta che l'avviso è stato rilevato nella rete. | StartTime |
| Ultimo rilevamento | Definisce l'ultima volta che l'avviso è stato rilevato nella rete e sostituisce la colonna Tempo rilevamento. | EndTime |
| Ultima attività | Definisce l'ultima volta che l'avviso è stato modificato, inclusi gli aggiornamenti manuali per gravità o stato o modifiche automatiche per gli aggiornamenti del dispositivo o la deduplicazione degli avvisi o del dispositivo | TimeGenerated |
Per impostazione predefinita, in Defender per IoT nella portale di Azure e nella console del sensore viene visualizzata la colonna Ultimo rilevamento. Modificare le colonne nella pagina Avvisi per visualizzare le colonne Primo rilevamento e Ultima attività in base alle esigenze.
Per altre informazioni, vedere Visualizzare gli avvisi nel portale di Defender per IoT e Visualizzare gli avvisi nel sensore.
Informazioni su più record per avviso
I dati degli avvisi di Defender per IoT vengono trasmessi a Microsoft Sentinel e archiviati nell'area di lavoro Log Analytics nella tabella SecurityAlert .
I record nella tabella SecurityAlert vengono creati ogni volta che viene generato o aggiornato un avviso in Defender per IoT. A volte un singolo avviso avrà più record, ad esempio quando l'avviso è stato creato per la prima volta e quindi nuovamente quando è stato aggiornato.
In Microsoft Sentinel usare la query seguente per controllare i record aggiunti alla tabella SecurityAlert per un singolo avviso:
SecurityAlert
| where ProductName == "Azure Security Center for IoT"
| where VendorOriginalId == "Defender for IoT Alert ID"
| sort by TimeGenerated desc
Aggiornamenti per lo stato dell'avviso o la gravità generano nuovi record nel Tabella SecurityAlert immediatamente.
Altri tipi di aggiornamenti vengono aggregati in un massimo di 12 ore e i nuovi record nella tabella SecurityAlert riflettono solo la modifica più recente. Esempi di aggiornamenti aggregati includono:
- Aggiornamenti nell'ora dell'ultimo rilevamento, ad esempio quando viene rilevato lo stesso avviso più volte
- Un nuovo dispositivo viene aggiunto a un avviso esistente
- Le proprietà del dispositivo per un avviso vengono aggiornate
Passaggi successivi
La soluzione Microsoft Defender per IoT è un set di contenuti predefiniti in bundle configurati in modo specifico per i dati di Defender per IoT e include regole di analisi, cartelle di lavoro e playbook.