Zelfstudie: Microsoft Defender for IoT verbinden met Microsoft Sentinel
Met Microsoft Defender voor IoT kunt u uw hele OT- en Enterprise IoT-omgeving beveiligen, ongeacht of u bestaande apparaten moet beveiligen of beveiliging in nieuwe innovaties moet bouwen.
Microsoft Sentinel en Microsoft Defender for IoT helpen de kloof tussen IT- en OT-beveiligingsuitdagingen te overbruggen en SOC-teams te voorzien van out-of-the-box-mogelijkheden om efficiënt en effectief beveiligingsrisico's te detecteren en erop te reageren. Dankzij de integratie tussen Microsoft Defender for IoT en Microsoft Sentinel kunnen organisaties snel aanvallen met meerdere fasen detecteren, die vaak it- en OT-grenzen overschrijden.
Met deze connector kunt u Microsoft Defender for IoT-gegevens streamen naar Microsoft Sentinel, zodat u Defender for IoT-waarschuwingen en de incidenten die ze genereren, kunt bekijken, analyseren en erop kunt reageren in een bredere context van bedreigingen van de organisatie.
In deze zelfstudie leert u het volgende:
- Defender for IoT-gegevens verbinden met Microsoft Sentinel
- Log Analytics gebruiken om query's uit te voeren op Defender for IoT-waarschuwingsgegevens
Vereisten
Voordat u begint, moet u ervoor zorgen dat u over de volgende vereisten voor uw werkruimte beschikt:
Lees- en schrijfmachtigingen voor uw Microsoft Sentinel-werkruimte. Zie Machtigingen in Microsoft Sentinel voor meer informatie.
Machtigingen voor inzender of eigenaar voor het abonnement waarmee u verbinding wilt maken met Microsoft Sentinel.
Een Defender for IoT-abonnement op uw Azure-abonnement met gegevensstreaming naar Defender for IoT. Zie quickstart: Aan de slag met Defender for IoT voor meer informatie.
Belangrijk
Op dit moment kunnen zowel de Microsoft Defender voor IoT als de Microsoft Defender voor Cloud gegevensconnectors in dezelfde Microsoft Sentinel-werkruimte gelijktijdig leiden tot dubbele waarschuwingen in Microsoft Sentinel. U wordt aangeraden de verbinding met de Microsoft Defender voor Cloud gegevensconnector te verbreken voordat u verbinding maakt met Microsoft Defender for IoT.
Uw gegevens van Defender for IoT verbinden met Microsoft Sentinel
Begin met het inschakelen van de Defender for IoT-gegevensconnector om al uw Defender for IoT-gebeurtenissen naar Microsoft Sentinel te streamen.
De Defender for IoT-gegevensconnector inschakelen:
Selecteer in Microsoft Sentinel, onder Configuratie, gegevensconnectors en zoek vervolgens de Microsoft Defender for IoT-gegevensconnector.
Selecteer rechtsonder de pagina Verbindingslijn openen.
Selecteer op het tabblad Instructies onder Configuratie verbinding maken voor elk abonnement waarvan u waarschuwingen en apparaatwaarschuwingen wilt streamen naar Microsoft Sentinel.
Als u verbindingswijzigingen hebt aangebracht, kan het 10 seconden of langer duren voordat de lijst Met abonnementen is bijgewerkt.
Zie Microsoft Sentinel verbinden met Azure-, Windows-, Microsoft- en Amazon-services voor meer informatie.
Defender for IoT-waarschuwingen weergeven
Nadat u een abonnement op Microsoft Sentinel hebt verbonden, kunt u Defender for IoT-waarschuwingen bekijken in het gedeelte Microsoft Sentinel-logboeken.
Selecteer in Microsoft Sentinel Logboeken > AzureSecurityOfThings > SecurityAlert of zoek naar SecurityAlert.
Gebruik de volgende voorbeeldquery's om de logboeken te filteren en waarschuwingen weer te geven die zijn gegenereerd door Defender for IoT:
Alle waarschuwingen weergeven die zijn gegenereerd door Defender for IoT:
SecurityAlert | where ProductName == "Azure Security Center for IoT"Specifieke sensorwaarschuwingen bekijken die worden gegenereerd door Defender for IoT:
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where tostring(parse_json(ExtendedProperties).SensorId) == “<sensor_name>”Specifieke OT-enginewaarschuwingen bekijken die worden gegenereerd door Defender for IoT:
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "MALWARE" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "ANOMALY" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "PROTOCOL_VIOLATION" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "POLICY_VIOLATION" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "OPERATIONAL"Als u waarschuwingen met hoge ernst wilt zien die worden gegenereerd door Defender for IoT:
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where AlertSeverity == "High"Specifieke protocolwaarschuwingen bekijken die worden gegenereerd door Defender for IoT:
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where tostring(parse_json(ExtendedProperties).Protocol) == "<protocol_name>"
Notitie
De pagina Logboeken in Microsoft Sentinel is gebaseerd op Log Analytics van Azure Monitor.
Zie het overzicht van logboekquery's in de Documentatie van Azure Monitor en de Learn-module uw eerste KQL-query schrijven voor meer informatie.
Inzicht in tijdstempels voor waarschuwingen
Defender for IoT-waarschuwingen, zowel in De Azure-portal als in de sensorconsole, houdt bij hoe lang een waarschuwing voor het eerst is gedetecteerd, voor het laatst is gedetecteerd en voor het laatst is gewijzigd.
In de volgende tabel worden de tijdstempelvelden voor Defender for IoT-waarschuwingen beschreven, met een toewijzing aan de relevante velden uit Log Analytics die worden weergegeven in Microsoft Sentinel.
| Veld Defender for IoT | Beschrijving | Log Analytics-veld |
|---|---|---|
| Eerste detectie | Hiermee definieert u de eerste keer dat de waarschuwing is gedetecteerd in het netwerk. | StartTime |
| Laatste detectie | Definieert de laatste keer dat de waarschuwing in het netwerk is gedetecteerd en vervangt de kolom Detectietijd . | EndTime |
| Laatste activiteit | Definieert de laatste keer dat de waarschuwing is gewijzigd, inclusief handmatige updates voor ernst of status, of geautomatiseerde wijzigingen voor apparaatupdates of apparaat-/waarschuwingsontdubbeling | TimeGenerated |
In Defender for IoT in Azure Portal en de sensorconsole wordt de kolom Laatste detectie standaard weergegeven. Bewerk de kolommen op de pagina Waarschuwingen om waar nodig de kolommen Voor eerste detectie en Laatste activiteit weer te geven.
Zie Waarschuwingen weergeven in de Defender for IoT-portal en Waarschuwingen op uw sensor weergeven voor meer informatie.
Meer informatie over meerdere records per waarschuwing
Defender for IoT-waarschuwingsgegevens worden gestreamd naar Microsoft Sentinel en opgeslagen in uw Log Analytics-werkruimte, in de tabel SecurityAlert .
Records in de tabel SecurityAlert worden telkens gemaakt wanneer een waarschuwing wordt gegenereerd of bijgewerkt in Defender for IoT. Soms heeft één waarschuwing meerdere records, zoals wanneer de waarschuwing voor het eerst is gemaakt en vervolgens opnieuw wanneer deze is bijgewerkt.
Gebruik in Microsoft Sentinel de volgende query om de records te controleren die zijn toegevoegd aan de tabel SecurityAlert voor één waarschuwing:
SecurityAlert
| where ProductName == "Azure Security Center for IoT"
| where VendorOriginalId == "Defender for IoT Alert ID"
| sort by TimeGenerated desc
Updates voor waarschuwingsstatus of ernst genereren onmiddellijk nieuwe records in de tabel SecurityAlert .
Andere typen updates worden maximaal 12 uur samengevoegd en nieuwe records in de tabel SecurityAlert weerspiegelen alleen de meest recente wijziging. Voorbeelden van geaggregeerde updates zijn:
- Updates in de laatste detectietijd, bijvoorbeeld wanneer dezelfde waarschuwing meerdere keren wordt gedetecteerd
- Er wordt een nieuw apparaat toegevoegd aan een bestaande waarschuwing
- De apparaateigenschappen voor een waarschuwing worden bijgewerkt
Volgende stappen
De Microsoft Defender for IoT-oplossing is een set gebundelde, out-of-the-box-inhoud die specifiek is geconfigureerd voor Defender for IoT-gegevens, en bevat analyseregels, werkmappen en playbooks.