Visualiseer Microsoft Defender voor IoT-gegevens met Azure Monitor-werkmappen

Azure Monitor-werkmappen bieden grafieken, grafieken en dashboards die gegevens die zijn opgeslagen in uw Azure Resource Graph-abonnementen visueel weergeven en rechtstreeks beschikbaar zijn in Microsoft Defender voor IoT.

Gebruik in de Azure Portal de pagina Defender for IoT-werkmappen om werkmappen weer te geven die zijn gemaakt door Microsoft en die out-of-the-box worden geleverd, of die zijn gemaakt door klanten en die zijn gedeeld in de community.

Elke werkmapgrafiek of -grafiek is gebaseerd op een Arg-query (Azure Resource Graph) die wordt uitgevoerd op uw gegevens. In Defender for IoT kunt u ARG-query's gebruiken voor het volgende:

• Sensorstatussen verzamelen
• Nieuwe apparaten in uw netwerk identificeren
• Waarschuwingen zoeken met betrekking tot specifieke IP-adressen
• Begrijpen welke waarschuwingen door elke sensor worden gezien

Werkmappen weergeven

Kant-en-klare werkmappen weergeven die zijn gemaakt door Microsoft of andere werkmappen die al zijn opgeslagen in uw abonnement:

1. Ga in de Azure Portal naar Defender for IoT en selecteer Werkmappen aan de linkerkant.

   

2. Wijzig indien nodig de filteropties en selecteer een werkmap om deze te openen.

Defender for IoT biedt de volgende werkmappen out-of-the-box:

• Sensorstatus. Geeft gegevens weer over de status van uw sensor, zoals de softwareversies van de sensorconsole die op uw sensoren zijn geïnstalleerd.
• Waarschuwingen. Geeft gegevens weer over waarschuwingen die optreden op uw sensoren, waaronder waarschuwingen per sensor, waarschuwingstypen, recente gegenereerde waarschuwingen en meer.
• Apparaten. Geeft gegevens weer over uw apparaatinventaris, inclusief apparaten per leverancier, subtype en geïdentificeerde nieuwe apparaten.
• Beveiligingsproblemen. Geeft gegevens weer over de beveiligingsproblemen die zijn gedetecteerd op OT-apparaten in uw netwerk. Selecteer een item in de tabellen Apparaatproblemen, Kwetsbare apparaten of Kwetsbare onderdelen om gerelateerde informatie in de tabellen aan de rechterkant weer te geven.

Aangepaste werkmappen maken

Gebruik de pagina Defender voor IoT-werkmappen om aangepaste Azure Monitor-werkmappen rechtstreeks in Defender for IoT te maken.

1. Selecteer op de pagina Werkmappende optie Nieuw of als u wilt beginnen met een andere sjabloon, opent u de sjabloonwerkmap en selecteert u Bewerken.

2. Selecteer toevoegen in de nieuwe werkmap en selecteer de optie die u aan uw werkmap wilt toevoegen. Als u een bestaande werkmap of sjabloon bewerkt, selecteert u de knop Opties (...) aan de rechterkant om het menu Toevoegen te openen.

   U kunt een van de volgende elementen toevoegen aan uw werkmap:

   Optie	Beschrijving
   Tekst	Voeg tekst toe om de grafieken te beschrijven die in uw werkmap worden weergegeven of om aanvullende actie te ondernemen.
   Parameters	Parameters definiëren die moeten worden gebruikt in de tekst en query's van uw werkmap.
   Koppelingen/tabbladen	Voeg navigatie-elementen toe aan uw werkmap, zoals lijsten, koppelingen naar andere doelen, extra tabbladen of werkbalken.
   Query	Voeg een query toe om te gebruiken bij het maken van uw werkmapgrafieken en -grafieken. - Selecteer Azure Resource Graph als gegevensbron en selecteer al uw relevante abonnementen. - Voeg een grafische weergave voor uw gegevens toe door een type te selecteren in de visualisatieopties .
   Meting	Voeg metrische gegevens toe die moeten worden gebruikt bij het maken van werkmapgrafieken en -grafieken.
   Groep	Voeg groepen toe om uw werkmappen te ordenen in subgebieden.

   Selecteer voor elke optie, nadat u alle beschikbare instellingen hebt gedefinieerd, de knop Toevoegen... of Uitvoeren... om dat werkmapelement te maken. Bijvoorbeeld Parameter toevoegen of Query uitvoeren.

   Tip

   U kunt uw query's bouwen in Azure Resource Graph Explorer en deze kopiëren naar uw werkmapquery.

3. Selecteer in de werkbalk Opslaan of Opslaan als om uw werkmap op te slaan en selecteer vervolgens Klaar met bewerken.

4. Selecteer Werkmappen om terug te gaan naar de hoofdwerkmappagina met de volledige werkmap.

Referentieparameters in uw query's

Zodra u een parameter hebt gemaakt, verwijst u ernaar in uw query met behulp van de volgende syntaxis: {ParameterName}. Bijvoorbeeld:

iotsecurityresources
| where type == "microsoft.iotsecurity/sensors"
| extend Name=name
| extend Status= properties.sensorStatus
| where Name=={SensorName}
| project Name,Status

Voorbeeldquery's

Deze sectie bevat voorbeeldquery's die vaak worden gebruikt in Defender for IoT-werkmappen.

Waarschuwingsquery's

Distributie van waarschuwingen over sensoren

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| extend Sensor=properties.extendedProperties.SensorId
| where properties.status!='Closed'
| summarize Alerts=count() by tostring(Sensor)
| sort by Alerts desc

Nieuwe waarschuwingen van de afgelopen 24 uur

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| where properties.status!='Closed'
| extend AlertTime=properties.startTimeUtc
| extend Type=properties.displayName
| where AlertTime > ago(1d)
| project AlertTime, Type

Waarschuwingen per bron-IP-adres

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| extend Type=properties.displayName
| extend Source_IP=properties.extendedProperties.SourceDeviceAddress
| extend Destination_IP=properties.extendedProperties.DestinationDeviceAddress
| where Source_IP=='192.168.10.1'
| project Source_IP, Destination_IP, Type

Apparaatquery's

OT-apparaatinventaris per leverancier

iotsecurityresources
| extend Vendor= properties.hardware.vendor
| where properties.deviceDataSource=='OtSensor'
| summarize Devices=count() by tostring(Vendor)
| sort by Devices

OT-apparaatinventaris per subtype, zoals PLC, ingesloten apparaat, UPS, enzovoort

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| extend SubType=properties.deviceSubTypeDisplayName
| summarize Devices=count() by tostring(SubType)
| sort by Devices

Nieuwe OT-apparaten per sensor, site en IPv4-adres

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| extend TimeFirstSeen=properties.firstSeen
| where TimeFirstSeen > ago(1d)
| extend DeviceName=properties.deviceName
| extend Site=properties.sensor.site
| extend Sensor=properties.sensor.name
| extend IPv4=properties.nics.[0].ipv4Address
| where properties.deviceDataSource=='OtSensor'
| project TimeFirstSeen, Site, Sensor, DeviceName, IPv4

Waarschuwingen samenvatten op Purdue-niveau

iotsecurityresources
    | where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
    | project 
        resourceId = id,
        affectedResource = tostring(properties.extendedProperties.DeviceResourceIds),
        id = properties.systemAlertId
    | join kind=leftouter (
        iotsecurityresources | where type == "microsoft.iotsecurity/locations/devicegroups/devices" 
        | project 
            sensor = properties.sensor.name,
            zone = properties.sensor.zone,
            site = properties.sensor.site,
            deviceProperties=properties,
            affectedResource = tostring(id)
    ) on affectedResource
    | project-away affectedResource1
    | where deviceProperties.deviceDataSource == 'OtSensor'
    | summarize Alerts=count() by tostring(deviceProperties.purdueLevel)

Volgende stappen

Meer informatie over het weergeven van dashboards en rapporten op de sensorconsole:

• Gegevensanalysequery's uitvoeren
• Rapportage van risicobeoordeling
• Dashboards voor trends en statistieken maken

Meer informatie over Azure Monitor-werkmappen en Azure Resource Graph:

• Documentatie voor Azure Resource Graph
• Documentatie voor Azure Monitor-werkmap
• KQL-documentatie (Kusto-querytaal)