次の方法で共有

セキュリティ データにアクセスする

Defender for IoT は、セキュリティ アラート、推奨事項、生のセキュリティ データ (保存する場合) を Log Analytics ワークスペースに格納します。

ログ解析

使用する Log Analytics ワークスペースを構成するには:

  1. IoT ハブを開きます。
  2. [セキュリティ] セクションの下にある [設定] ブレードを選択します。
  3. [データ収集] を選択し、Log Analytics ワークスペースの構成を変更します。

構成後に Log Analytics ワークスペースのアラートと推奨事項にアクセスするには:

  1. Defender for IoT でアラートまたは推奨事項を選択します。
  2. 詳細な調査を選択し、[このアラートがあるデバイスを確認するには] を選択し、ここをクリックして DeviceId 列を表示します

Log Analytics からのデータのクエリの詳細については、「 Azure Monitor でのログ クエリの概要」を参照してください。

セキュリティのアラート

セキュリティ アラートは、Defender for IoT ソリューション用に構成された Log Analytics ワークスペースの AzureSecurityOfThings.SecurityAlert テーブルに格納されます。

セキュリティ アラートの調査を開始するのに役立つ便利なクエリが多数用意されています。

サンプル レコード

いくつかのランダムなレコードを選択する

// Select a few random records
//
SecurityAlert
| project
    TimeGenerated,
    IoTHubId=ResourceId,
    DeviceId=tostring(parse_json(ExtendedProperties)["DeviceId"]),
    AlertSeverity,
    DisplayName,
    Description,
    ExtendedProperties
| take 3
タイムジェネレイテッド IoTHubId デバイスID AlertSeverity 表示名 説明 拡張プロパティ
2018-11-18T18:10:29.000 /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> ブルート フォース攻撃に成功しました デバイスに対するブルート フォース攻撃が成功しました { "Full Source Address": "["10.165.12.18:"]", "User Names": "["]", "DeviceId": "IoT-Device-Linux" }
2018-11-19T12:40:31.000 /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <デバイス名> デバイスでのローカル ログインに成功しました デバイスへのローカル ログインが成功したことが検出されました { "Remote Address": "?", "Remote Port": "", "Local Port": "", "Login Shell": "/bin/su", "Login Process Id": "28207", "User Name": "attacker", "DeviceId": "IoT-Device-Linux" }
2018-11-19T12:40:31.000 /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <デバイス名> デバイスでのローカル ログイン試行に失敗しました デバイスへのローカル ログイン試行の失敗が検出されました { "Remote Address": "?", "Remote Port": "", "Local Port": "", "Login Shell": "/bin/su", "Login Process Id": "22644", "User Name": "attacker", "DeviceId": "IoT-Device-Linux" }

デバイスの概要

IoT Hub、デバイス、アラートの重大度、アラートの種類別にグループ化された、先週検出された個別のセキュリティ アラートの数を取得します。

// Get the number of distinct security alerts detected in the last week, grouped by
//   IoT hub, device, alert severity, alert type
//
SecurityAlert
| where TimeGenerated > ago(7d)
| summarize Cnt=dcount(SystemAlertId) by
    IoTHubId=ResourceId,
    DeviceId=tostring(parse_json(ExtendedProperties)["DeviceId"]),
    AlertSeverity,
    DisplayName
IoTHubId デバイスID AlertSeverity 表示名 数える
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <デバイス名> ブルート フォース攻撃に成功しました 9
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <デバイス名> ミディアム デバイスでのローカル ログイン試行に失敗しました 242
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> デバイスでのローカル ログインに成功しました 31
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <デバイス名> ミディアム 暗号コインマイナー 4

IoT ハブの概要

IoT Hub、アラートの重大度、アラートの種類別に、過去 1 週間にアラートが発生した個別のデバイスの数を選択します

// Select number of distinct devices which had alerts in the last week, by
//   IoT hub, alert severity, alert type
//
SecurityAlert
| where TimeGenerated > ago(7d)
| extend DeviceId=tostring(parse_json(ExtendedProperties)["DeviceId"])
| summarize CntDevices=dcount(DeviceId) by
    IoTHubId=ResourceId,
    AlertSeverity,
    DisplayName
IoTHubId AlertSeverity 表示名 CntDevices
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> ブルート フォース攻撃に成功しました 1
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> ミディアム デバイスでのローカル ログイン試行に失敗しました 1
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> デバイスでのローカル ログインに成功しました 1
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> ミディアム 暗号コインマイナー 1

セキュリティに関する推奨事項

セキュリティに関する推奨事項は、Defender for IoT ソリューション用に構成された Log Analytics ワークスペースの AzureSecurityOfThings.SecurityRecommendation テーブルに格納されます。

セキュリティに関する推奨事項の調査を開始するのに役立つ便利なクエリが多数用意されています。

サンプル レコード

いくつかのランダムなレコードを選択する

// Select a few random records
//
SecurityRecommendation
| project
    TimeGenerated,
    IoTHubId=AssessedResourceId,
    DeviceId,
    RecommendationSeverity,
    RecommendationState,
    RecommendationDisplayName,
    Description,
    RecommendationAdditionalData
| take 2
タイムジェネレイテッド IoTHubId デバイスID RecommendationSeverity 推奨状態 推奨表示名 説明 推奨追加データ
2019-03-22T10:21:06.060 /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <デバイス名> ミディアム アクティブです 入力チェーンで制限の少なすぎるファイアウォール ルールが見つかりました ファイアウォールで、さまざまな IP アドレスまたはポートに対して許容されるパターンを含むルールが見つかりました {"Rules":"[{"SourceAddress":"","SourcePort":"","DestinationAddress":"","DestinationPort":"1337"}]"}
2019-03-22T10:50:27.237 /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> ミディアム アクティブです 入力チェーンで制限の少なすぎるファイアウォール ルールが見つかりました ファイアウォールで、さまざまな IP アドレスまたはポートに対して許容されるパターンを含むルールが見つかりました {"Rules":"[{"SourceAddress":"","SourcePort":"","DestinationAddress":"","DestinationPort":"1337"}]"}

デバイスの概要

IoT Hub、デバイス、推奨事項の重大度、種類別にグループ化された、個別のアクティブなセキュリティに関する推奨事項の数を取得します。

// Get the number of distinct active security recommendations, grouped by
//   IoT hub, device, recommendation severity and type
//
SecurityRecommendation
| extend IoTHubId=AssessedResourceId
| summarize CurrentState=arg_max(RecommendationState, DiscoveredTimeUTC) by IoTHubId, DeviceId, RecommendationSeverity, RecommendationDisplayName
| where CurrentState == "Active"
| summarize Cnt=count() by IoTHubId, DeviceId, RecommendationSeverity
IoTHubId デバイスID 推奨の重大度 数える
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <デバイス名> 2
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> ミディアム 1
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> 1
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> ミディアム 4

次のステップ