Wizualizowanie Microsoft Defender dla danych IoT za pomocą skoroszytów usługi Azure Monitor

Skoroszyty usługi Azure Monitor udostępniają wykresy, wykresy i pulpity nawigacyjne, które wizualnie odzwierciedlają dane przechowywane w subskrypcjach usługi Azure Resource Graph i są dostępne bezpośrednio w Microsoft Defender dla IoT.

W Azure Portal użyj strony Skoroszyty usługi Defender for IoT, aby wyświetlić skoroszyty utworzone przez firmę Microsoft i dostarczone gotowe do użycia lub utworzone przez klientów i udostępnione w całej społeczności.

Każdy wykres skoroszytu lub wykres jest oparty na zapytaniu usługi Azure Resource Graph (ARG) uruchomionym na danych. W usłudze Defender dla IoT możesz użyć zapytań usługi ARG do:

• Zbieranie stanów czujników
• Identyfikowanie nowych urządzeń w sieci
• Znajdowanie alertów związanych z określonymi adresami IP
• Zrozumienie, które alerty są widoczne przez każdy czujnik

Wyświetlanie skoroszytów

Aby wyświetlić gotowe skoroszyty utworzone przez firmę Microsoft lub inne skoroszyty już zapisane w ramach subskrypcji:

1. W Azure Portal przejdź do usługi Defender dla IoT i wybierz pozycję Skoroszyty po lewej stronie.

   

2. W razie potrzeby zmodyfikuj opcje filtrowania i wybierz skoroszyt, aby go otworzyć.

Usługa Defender dla IoT udostępnia następujące skoroszyty gotowe do użycia:

• Kondycja czujnika. Wyświetla dane dotyczące kondycji czujnika, takie jak wersje oprogramowania konsoli czujnika zainstalowane na czujnikach.
• Alerty. Wyświetla dane dotyczące alertów występujących w czujnikach, w tym alerty według czujnika, typów alertów, ostatnio generowanych alertów i nie tylko.
• Urządzenia. Wyświetla dane dotyczące spisu urządzeń, w tym urządzenia według dostawcy, podtypu i zidentyfikowanych nowych urządzeń.
• Luki w zabezpieczeniach. Przedstawia dane dotyczące luk w zabezpieczeniach wykrytych na urządzeniach OT w sieci. Wybierz element w tabelach Luki w zabezpieczeniach urządzeń, Urządzenia podatne na zagrożenia lub Składniki podatne na zagrożenia , aby wyświetlić powiązane informacje w tabelach po prawej stronie.

Tworzenie skoroszytów niestandardowych

Strona Skoroszyty usługi Defender for IoT umożliwia tworzenie niestandardowych skoroszytów usługi Azure Monitor bezpośrednio w usłudze Defender for IoT.

1. Na stronie Skoroszyty wybierz pozycję Nowy lub, aby rozpocząć od innego szablonu, otwórz skoroszyt szablonu i wybierz pozycję Edytuj.

2. W nowym skoroszycie wybierz pozycję Dodaj i wybierz opcję, którą chcesz dodać do skoroszytu. Jeśli edytujesz istniejący skoroszyt lub szablon, wybierz przycisk opcji (...) po prawej stronie, aby uzyskać dostęp do menu Dodaj .

   Do skoroszytu można dodać dowolny z następujących elementów:

   Opcja	Opis
   Tekst	Dodaj tekst opisujący wykresy wyświetlane w skoroszycie lub wszelkie wymagane dodatkowe działania.
   Parametry	Zdefiniuj parametry do użycia w tekście skoroszytu i zapytaniach.
   Łącza/karty	Dodaj elementy nawigacyjne do skoroszytu, w tym listy, linki do innych elementów docelowych, dodatkowych kart lub pasków narzędzi.
   Zapytanie	Dodaj zapytanie, które ma być używane podczas tworzenia wykresów i wykresów skoroszytu. — Wybierz pozycję Azure Resource Graph jako źródło danych i wybierz wszystkie odpowiednie subskrypcje. — Dodaj graficzną reprezentację danych, wybierając typ z opcji Wizualizacja .
   Metryka	Dodaj metryki do użycia podczas tworzenia wykresów i wykresów skoroszytu.
   Grupa	Dodaj grupy, aby organizować skoroszyty w podgrupy.

   Dla każdej opcji po zdefiniowaniu wszystkich dostępnych ustawień wybierz przycisk Dodaj... lub Uruchom, aby utworzyć ten element skoroszytu. Na przykład Dodaj parametr lub Uruchom zapytanie.

   Porada

   Zapytania można tworzyć w eksploratorze usługi Azure Resource Graph i kopiować je do zapytania skoroszytu.

3. Na pasku narzędzi wybierz pozycję Zapisz lub Zapisz jako , aby zapisać skoroszyt, a następnie wybierz pozycję Zakończono edytowanie.

4. Wybierz pozycję Skoroszyty , aby wrócić do strony głównego skoroszytu z pełną listą skoroszytów.

Odwoływanie się do parametrów w zapytaniach

Po utworzeniu parametru odwoływanie się do niego w zapytaniu przy użyciu następującej składni: {ParameterName}. Przykład:

iotsecurityresources
| where type == "microsoft.iotsecurity/sensors"
| extend Name=name
| extend Status= properties.sensorStatus
| where Name=={SensorName}
| project Name,Status

Przykładowe zapytania

Ta sekcja zawiera przykładowe zapytania, które są często używane w skoroszytach usługi Defender dla IoT.

Zapytania alertów

Rozkład alertów między czujnikami

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| extend Sensor=properties.extendedProperties.SensorId
| where properties.status!='Closed'
| summarize Alerts=count() by tostring(Sensor)
| sort by Alerts desc

Nowe alerty z ostatnich 24 godzin

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| where properties.status!='Closed'
| extend AlertTime=properties.startTimeUtc
| extend Type=properties.displayName
| where AlertTime > ago(1d)
| project AlertTime, Type

Alerty według źródłowego adresu IP

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| extend Type=properties.displayName
| extend Source_IP=properties.extendedProperties.SourceDeviceAddress
| extend Destination_IP=properties.extendedProperties.DestinationDeviceAddress
| where Source_IP=='192.168.10.1'
| project Source_IP, Destination_IP, Type

Zapytania dotyczące urządzeń

Spis urządzeń OT według dostawcy

iotsecurityresources
| extend Vendor= properties.hardware.vendor
| where properties.deviceDataSource=='OtSensor'
| summarize Devices=count() by tostring(Vendor)
| sort by Devices

Spis urządzeń OT według podtypu, takiego jak PLC, urządzenie osadzone, UPS itd.

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| extend SubType=properties.deviceSubTypeDisplayName
| summarize Devices=count() by tostring(SubType)
| sort by Devices

Nowe urządzenia OT według czujnika, lokacji i adresu IPv4

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| extend TimeFirstSeen=properties.firstSeen
| where TimeFirstSeen > ago(1d)
| extend DeviceName=properties.deviceName
| extend Site=properties.sensor.site
| extend Sensor=properties.sensor.name
| extend IPv4=properties.nics.[0].ipv4Address
| where properties.deviceDataSource=='OtSensor'
| project TimeFirstSeen, Site, Sensor, DeviceName, IPv4

Podsumowywanie alertów według poziomu purdue

iotsecurityresources
    | where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
    | project 
        resourceId = id,
        affectedResource = tostring(properties.extendedProperties.DeviceResourceIds),
        id = properties.systemAlertId
    | join kind=leftouter (
        iotsecurityresources | where type == "microsoft.iotsecurity/locations/devicegroups/devices" 
        | project 
            sensor = properties.sensor.name,
            zone = properties.sensor.zone,
            site = properties.sensor.site,
            deviceProperties=properties,
            affectedResource = tostring(id)
    ) on affectedResource
    | project-away affectedResource1
    | where deviceProperties.deviceDataSource == 'OtSensor'
    | summarize Alerts=count() by tostring(deviceProperties.purdueLevel)

Następne kroki

Dowiedz się więcej o wyświetlaniu pulpitów nawigacyjnych i raportów w konsoli czujnika:

• Uruchamianie zapytań wyszukiwania danych
• Raportowanie oceny ryzyka
• Tworzenie pulpitów nawigacyjnych trendów i statystyk

Dowiedz się więcej na temat skoroszytów usługi Azure Monitor i usługi Azure Resource Graph:

• Dokumentacja usługi Azure Resource Graph
• Dokumentacja skoroszytu usługi Azure Monitor
• Dokumentacja język zapytań Kusto (KQL)