Samouczek: Połączenie usługi Microsoft Defender dla IoT z usługą Microsoft Sentinel
Usługa Microsoft Defender dla IoT umożliwia zabezpieczenie całego środowiska OT i IoT przedsiębiorstwa, niezależnie od tego, czy musisz chronić istniejące urządzenia, czy tworzyć zabezpieczenia w nowe innowacje.
Usługi Microsoft Sentinel i Microsoft Defender dla IoT pomagają wypełnić lukę między wyzwaniami związanymi z zabezpieczeniami IT i OT oraz umożliwić zespołom SOC wydajne i skuteczne wykrywanie zagrożeń bezpieczeństwa i reagowanie na nie. Integracja usługi Microsoft Defender dla IoT i usługi Microsoft Sentinel pomaga organizacjom szybko wykrywać ataki wieloestowe, które często przekraczają granice IT i OT.
Ten łącznik umożliwia przesyłanie strumieniowe danych usługi Microsoft Defender dla IoT do usługi Microsoft Sentinel, dzięki czemu można wyświetlać, analizować i reagować na alerty usługi Defender for IoT oraz zdarzenia generowane w szerszym kontekście zagrożenia organizacyjnego.
Niniejszy samouczek zawiera informacje na temat wykonywania następujących czynności:
- Połączenie danych usługi Defender dla IoT do usługi Microsoft Sentinel
- Wykonywanie zapytań dotyczących danych alertów usługi Defender for IoT przy użyciu usługi Log Analytics
Wymagania wstępne
Przed rozpoczęciem upewnij się, że masz następujące wymagania dotyczące obszaru roboczego:
Uprawnienia do odczytu i zapisu w obszarze roboczym usługi Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Uprawnienia w usłudze Microsoft Sentinel.
Uprawnienia współautora lub właściciela subskrypcji, z którą chcesz nawiązać połączenie z usługą Microsoft Sentinel.
Plan usługi Defender dla IoT w ramach subskrypcji platformy Azure z przesyłaniem strumieniowym danych do usługi Defender dla IoT. Aby uzyskać więcej informacji, zobacz Szybki start: wprowadzenie do usługi Defender dla IoT.
Ważne
Obecnie włączenie zarówno usługi Microsoft Defender dla IoT, jak i łączników danych Microsoft Defender dla Chmury w tym samym obszarze roboczym usługi Microsoft Sentinel jednocześnie może spowodować zduplikowanie alertów w usłudze Microsoft Sentinel. Zalecamy rozłączenie łącznika danych Microsoft Defender dla Chmury przed nawiązaniem połączenia z usługą Microsoft Defender dla IoT.
Połączenie danych z usługi Defender dla IoT do usługi Microsoft Sentinel
Zacznij od włączenia łącznika danych usługi Defender for IoT w celu przesyłania strumieniowego wszystkich zdarzeń usługi Defender for IoT do usługi Microsoft Sentinel.
Aby włączyć łącznik danych usługi Defender for IoT:
W usłudze Microsoft Sentinel w obszarze Konfiguracja wybierz pozycję Łączniki danych, a następnie znajdź łącznik danych usługi Microsoft Defender dla IoT.
W prawym dolnym rogu wybierz pozycję Otwórz stronę łącznika.
Na karcie Instrukcje w obszarze Konfiguracja wybierz pozycję Połączenie dla każdej subskrypcji, której alerty i alerty dotyczące urządzeń chcesz przesyłać strumieniowo do usługi Microsoft Sentinel.
Jeśli wprowadzisz jakiekolwiek zmiany połączenia, aktualizacja listy subskrypcji może potrwać 10 sekund lub więcej.
Aby uzyskać więcej informacji, zobacz Połączenie Microsoft Sentinel do usług Azure, Windows, Microsoft i Amazon.
Wyświetlanie alertów usługi Defender dla IoT
Po połączeniu subskrypcji z usługą Microsoft Sentinel będziesz mieć możliwość wyświetlania alertów usługi Defender dla IoT w obszarze Dzienniki usługi Microsoft Sentinel.
W usłudze Microsoft Sentinel wybierz pozycję Dzienniki > AzureSecurityOfThings > SecurityAlert lub wyszukaj pozycję SecurityAlert.
Użyj następujących przykładowych zapytań, aby filtrować dzienniki i wyświetlać alerty generowane przez usługę Defender dla IoT:
Aby wyświetlić wszystkie alerty wygenerowane przez usługę Defender dla IoT:
SecurityAlert | where ProductName == "Azure Security Center for IoT"Aby wyświetlić określone alerty czujnika generowane przez usługę Defender dla IoT:
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where tostring(parse_json(ExtendedProperties).SensorId) == “<sensor_name>”Aby wyświetlić określone alerty aparatu OT wygenerowane przez usługę Defender dla IoT:
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "MALWARE" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "ANOMALY" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "PROTOCOL_VIOLATION" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "POLICY_VIOLATION" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "OPERATIONAL"Aby wyświetlić alerty o wysokiej ważności wygenerowane przez usługę Defender dla IoT:
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where AlertSeverity == "High"Aby wyświetlić określone alerty protokołu generowane przez usługę Defender dla IoT:
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where tostring(parse_json(ExtendedProperties).Protocol) == "<protocol_name>"
Uwaga
Strona Dzienniki w usłudze Microsoft Sentinel jest oparta na usłudze Log Analytics usługi Azure Monitor.
Aby uzyskać więcej informacji, zobacz Omówienie zapytań dzienników w dokumentacji usługi Azure Monitor i modułu Learn pisanie pierwszego zapytania KQL.
Omówienie sygnatur czasowych alertów
Alerty usługi Defender dla IoT, zarówno w witrynie Azure Portal, jak i w konsoli czujnika, śledzą czas wykrycia alertu, ostatniego wykrycia i ostatniej zmiany.
W poniższej tabeli opisano pola sygnatury czasowej alertu usługi Defender for IoT z mapowaniem odpowiednich pól z usługi Log Analytics pokazanej w usłudze Microsoft Sentinel.
| Pole usługi Defender dla IoT | opis | Pole usługi Log Analytics |
|---|---|---|
| Pierwsze wykrywanie | Definiuje pierwszy raz, gdy alert został wykryty w sieci. | StartTime |
| Ostatnie wykrywanie | Definiuje czas ostatniego wykrycia alertu w sieci i zastępuje kolumnę Czas wykrywania. | EndTime |
| Ostatnie działanie | Definiuje czas ostatniej zmiany alertu, w tym ręczne aktualizacje ważności lub stanu albo automatyczne zmiany aktualizacji urządzenia lub deduplikacji urządzenia/alertu | TimeGenerated |
W usłudze Defender for IoT w witrynie Azure Portal i konsoli czujnika kolumna Ostatnie wykrywanie jest domyślnie wyświetlana. Edytuj kolumny na stronie Alerty , aby w razie potrzeby wyświetlić kolumny Pierwsze wykrywanie i Ostatnie działanie .
Aby uzyskać więcej informacji, zobacz Wyświetlanie alertów w portalu usługi Defender for IoT i Wyświetlanie alertów w czujniku.
Opis wielu rekordów na alert
Dane alertów usługi Defender for IoT są przesyłane strumieniowo do usługi Microsoft Sentinel i przechowywane w obszarze roboczym usługi Log Analytics w tabeli SecurityAlert .
Rekordy w tabeli SecurityAlert są tworzone za każdym razem, gdy alert jest generowany lub aktualizowany w usłudze Defender dla IoT. Czasami pojedynczy alert będzie miał wiele rekordów, takich jak moment utworzenia alertu, a następnie ponownie, gdy został zaktualizowany.
W usłudze Microsoft Sentinel użyj następującego zapytania, aby sprawdzić rekordy dodane do tabeli SecurityAlert dla pojedynczego alertu:
SecurityAlert
| where ProductName == "Azure Security Center for IoT"
| where VendorOriginalId == "Defender for IoT Alert ID"
| sort by TimeGenerated desc
Aktualizacje dla stanu alertu lub ważności wygeneruj nowe rekordy wTabela SecurityAlert natychmiast.
Inne typy aktualizacji są agregowane przez maksymalnie 12 godzin, a nowe rekordy w tabeli SecurityAlert odzwierciedlają tylko najnowszą zmianę. Przykłady zagregowanych aktualizacji to:
- Aktualizacje w czasie ostatniego wykrywania, na przykład w przypadku wielokrotnego wykrycia tego samego alertu
- Nowe urządzenie jest dodawane do istniejącego alertu
- Właściwości urządzenia dla alertu są aktualizowane
Następne kroki
Rozwiązanie Usługi Microsoft Defender dla IoT to zestaw zawartości gotowej do użycia, która jest skonfigurowana specjalnie dla danych usługi Defender dla IoT oraz zawiera reguły analizy, skoroszyty i podręczniki.