보안 데이터 액세스
Defender for IoT는 보안 경고, 권장 사항, 원시 보안 데이터(저장하기로 선택한 경우)를 Log Analytics 작업 영역에 저장합니다.
Log Analytics
어떤 Log Analytics 작업 영역을 사용할지 구성하려면 다음을 수행합니다.
- IoT Hub를 엽니다.
- 보안 섹션에서 설정 블레이드를 선택합니다.
- 데이터 컬렉션을 선택하고 Log Analytics 작업 영역 구성을 변경합니다.
구성 후 Log Analytics 작업 영역에서 경고 및 권장 사항에 액세스하려면 다음을 수행합니다.
- Defender for IoT에서 경고 또는 권장 사항을 선택합니다.
- 추가 조사를 선택한 다음 이 경고가 있는 디바이스를 확인하려면 여기를 클릭하여 DeviceId 열을 보십시오를 선택합니다.
Log Analytics에서 데이터를 쿼리하는 방법에 대한 자세한 내용은 Azure Monitor에서 로그 쿼리 시작을 참조하세요.
보안 경고
보안 경고는 Defender for IoT 솔루션에 대해 구성된 Log Analytics 작업 영역의 AzureSecurityOfThings.SecurityAlert 테이블에 저장됩니다.
보안 경고 탐색을 시작하는 데 도움이 되는 많은 유용한 쿼리를 제공합니다.
샘플 레코드
몇 개의 임의 레코드를 선택
// Select a few random records
//
SecurityAlert
| project
TimeGenerated,
IoTHubId=ResourceId,
DeviceId=tostring(parse_json(ExtendedProperties)["DeviceId"]),
AlertSeverity,
DisplayName,
Description,
ExtendedProperties
| take 3
| TimeGenerated | IoTHubId | DeviceId | AlertSeverity | DisplayName | 설명 | ExtendedProperties |
|---|---|---|---|---|---|---|
| 2018-11-18T18:10:29.000 | /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | 높음 | 무차별 암호 대입 공격(brute force attack) 성공 | 디바이스에서 무차별 암호 대입 공격(brute force attack)에 성공함 | { "Full Source Address": "["10.165.12.18:"]", "User Names": "[""]", "DeviceId": "IoT-Device-Linux" } |
| 2018-11-19T12:40:31.000 | /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | 높음 | 디바이스에 로컬 로그인 성공 | 디바이스에 대해 성공한 로컬 로그인이 감지됨 | { "Remote Address": "?", "Remote Port": "", "Local Port": "", "Login Shell": "/bin/su", "Login Process Id": "28207", "User Name": "attacker", "DeviceId": "IoT-Device-Linux" } |
| 2018-11-19T12:40:31.000 | /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | 높음 | 디바이스에 로컬 로그인 시도 실패 | 디바이스에 대해 실패한 로컬 로그인 시도가 감지됨 | { "Remote Address": "?", "Remote Port": "", "Local Port": "", "Login Shell": "/bin/su", "Login Process Id": "22644", "User Name": "attacker", "DeviceId": "IoT-Device-Linux" } |
디바이스 요약
지난주에 감지된 개별 보안 경고의 수를 IoT 허브, 디바이스, 경고 심각도, 경고 유형별로 그룹화하여 가져옵니다.
// Get the number of distinct security alerts detected in the last week, grouped by
// IoT hub, device, alert severity, alert type
//
SecurityAlert
| where TimeGenerated > ago(7d)
| summarize Cnt=dcount(SystemAlertId) by
IoTHubId=ResourceId,
DeviceId=tostring(parse_json(ExtendedProperties)["DeviceId"]),
AlertSeverity,
DisplayName
| IoTHubId | DeviceId | AlertSeverity | DisplayName | Count |
|---|---|---|---|---|
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | 높음 | 무차별 암호 대입 공격(brute force attack) 성공 | 9 |
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | 중간 | 디바이스에 로컬 로그인 시도 실패 | 242 |
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | 높음 | 디바이스에 로컬 로그인 성공 | 31 |
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | 중간 | 암호화 코인 마이너 | 4 |
IoT 허브 요약
지난주에 경고가 발생한 여러 고유 디바이스를 IoT 허브, 경고 심각도, 경고 유형별로 선택
// Select number of distinct devices which had alerts in the last week, by
// IoT hub, alert severity, alert type
//
SecurityAlert
| where TimeGenerated > ago(7d)
| extend DeviceId=tostring(parse_json(ExtendedProperties)["DeviceId"])
| summarize CntDevices=dcount(DeviceId) by
IoTHubId=ResourceId,
AlertSeverity,
DisplayName
| IoTHubId | AlertSeverity | DisplayName | CntDevices |
|---|---|---|---|
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | 높음 | 무차별 암호 대입 공격(brute force attack) 성공 | 1 |
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | 중간 | 디바이스에 로컬 로그인 시도 실패 | 1 |
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | 높음 | 디바이스에 로컬 로그인 성공 | 1 |
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | 중간 | 암호화 코인 마이너 | 1 |
보안 권장 사항
보안 권장 사항은 Defender for IoT 솔루션에 대해 구성된 Log Analytics 작업 영역의 AzureSecurityOfThings.SecurityRecommendation 테이블에 저장됩니다.
보안 권장 사항 탐색을 시작하는 데 도움이 되는 많은 유용한 쿼리를 제공합니다.
샘플 레코드
몇 개의 임의 레코드를 선택
// Select a few random records
//
SecurityRecommendation
| project
TimeGenerated,
IoTHubId=AssessedResourceId,
DeviceId,
RecommendationSeverity,
RecommendationState,
RecommendationDisplayName,
Description,
RecommendationAdditionalData
| take 2
| TimeGenerated | IoTHubId | DeviceId | RecommendationSeverity | RecommendationState | RecommendationDisplayName | 설명 | RecommendationAdditionalData |
|---|---|---|---|---|---|---|---|
| 2019-03-22T10:21:06.060 | /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | 중간 | 활성화 | 입력 체인 중 하나에서 허용 방화벽 규칙을 찾음 | 광범위한 IP 주소 또는 포트에 대한 허용 패턴을 포함하는 방화벽 규칙을 찾음 | {"Rules":"[{"SourceAddress":"","SourcePort":"","DestinationAddress":"","DestinationPort":"1337"}]"} |
| 2019-03-22T10:50:27.237 | /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | 중간 | 활성화 | 입력 체인 중 하나에서 허용 방화벽 규칙을 찾음 | 광범위한 IP 주소 또는 포트에 대한 허용 패턴을 포함하는 방화벽 규칙을 찾음 | {"Rules":"[{"SourceAddress":"","SourcePort":"","DestinationAddress":"","DestinationPort":"1337"}]"} |
디바이스 요약
IoT 허브, 디바이스, 권장 사항 심각도, 유형별로 그룹화된 고유한 활성 보안 권장 사항의 수를 가져옵니다.
// Get the number of distinct active security recommendations, grouped by
// IoT hub, device, recommendation severity and type
//
SecurityRecommendation
| extend IoTHubId=AssessedResourceId
| summarize CurrentState=arg_max(RecommendationState, DiscoveredTimeUTC) by IoTHubId, DeviceId, RecommendationSeverity, RecommendationDisplayName
| where CurrentState == "Active"
| summarize Cnt=count() by IoTHubId, DeviceId, RecommendationSeverity
| IoTHubId | DeviceId | RecommendationSeverity | Count |
|---|---|---|---|
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | 높음 | 2 |
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | 중간 | 1 |
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | 높음 | 1 |
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | 중간 | 4 |
다음 단계
- Defender for IoT 개요 읽기
- 디바이스 빌더를 위한 에이전트 기반 솔루션에서 Defender for IoT에 대한 자세한 내용 참조
- Defender for IoT 경고의 이해 및 검색
- Defender for IoT 권장 사항의 이해 및 검색