Wizualizowanie Microsoft Defender dla danych IoT za pomocą skoroszytów usługi Azure Monitor
Skoroszyty usługi Azure Monitor udostępniają wykresy, wykresy i pulpity nawigacyjne, które wizualnie odzwierciedlają dane przechowywane w subskrypcjach usługi Azure Resource Graph i są dostępne bezpośrednio w Microsoft Defender dla IoT.
W Azure Portal użyj strony Skoroszyty usługi Defender for IoT, aby wyświetlić skoroszyty utworzone przez firmę Microsoft i dostarczone gotowe do użycia lub utworzone przez klientów i udostępnione w całej społeczności.
Każdy wykres skoroszytu lub wykres jest oparty na zapytaniu usługi Azure Resource Graph (ARG) uruchomionym na danych. W usłudze Defender dla IoT możesz użyć zapytań usługi ARG do:
- Zbieranie stanów czujników
- Identyfikowanie nowych urządzeń w sieci
- Znajdowanie alertów związanych z określonymi adresami IP
- Zrozumienie, które alerty są widoczne przez każdy czujnik
Wyświetlanie skoroszytów
Aby wyświetlić gotowe skoroszyty utworzone przez firmę Microsoft lub inne skoroszyty już zapisane w ramach subskrypcji:
W Azure Portal przejdź do usługi Defender dla IoT i wybierz pozycję Skoroszyty po lewej stronie.
W razie potrzeby zmodyfikuj opcje filtrowania i wybierz skoroszyt, aby go otworzyć.
Usługa Defender dla IoT udostępnia następujące skoroszyty gotowe do użycia:
- Kondycja czujnika. Wyświetla dane dotyczące kondycji czujnika, takie jak wersje oprogramowania konsoli czujnika zainstalowane na czujnikach.
- Alerty. Wyświetla dane dotyczące alertów występujących w czujnikach, w tym alerty według czujnika, typów alertów, ostatnio generowanych alertów i nie tylko.
- Urządzenia. Wyświetla dane dotyczące spisu urządzeń, w tym urządzenia według dostawcy, podtypu i zidentyfikowanych nowych urządzeń.
- Luki w zabezpieczeniach. Przedstawia dane dotyczące luk w zabezpieczeniach wykrytych na urządzeniach OT w sieci. Wybierz element w tabelach Luki w zabezpieczeniach urządzeń, Urządzenia podatne na zagrożenia lub Składniki podatne na zagrożenia , aby wyświetlić powiązane informacje w tabelach po prawej stronie.
Tworzenie skoroszytów niestandardowych
Strona Skoroszyty usługi Defender for IoT umożliwia tworzenie niestandardowych skoroszytów usługi Azure Monitor bezpośrednio w usłudze Defender for IoT.
Na stronie Skoroszyty wybierz pozycję Nowy lub, aby rozpocząć od innego szablonu, otwórz skoroszyt szablonu i wybierz pozycję Edytuj.
W nowym skoroszycie wybierz pozycję Dodaj i wybierz opcję, którą chcesz dodać do skoroszytu. Jeśli edytujesz istniejący skoroszyt lub szablon, wybierz przycisk opcji (...) po prawej stronie, aby uzyskać dostęp do menu Dodaj .
Do skoroszytu można dodać dowolny z następujących elementów:
Opcja Opis Tekst Dodaj tekst opisujący wykresy wyświetlane w skoroszycie lub wszelkie wymagane dodatkowe działania. Parametry Zdefiniuj parametry do użycia w tekście skoroszytu i zapytaniach. Łącza/karty Dodaj elementy nawigacyjne do skoroszytu, w tym listy, linki do innych elementów docelowych, dodatkowych kart lub pasków narzędzi. Zapytanie Dodaj zapytanie, które ma być używane podczas tworzenia wykresów i wykresów skoroszytu.
— Wybierz pozycję Azure Resource Graph jako źródło danych i wybierz wszystkie odpowiednie subskrypcje.
— Dodaj graficzną reprezentację danych, wybierając typ z opcji Wizualizacja .Metryka Dodaj metryki do użycia podczas tworzenia wykresów i wykresów skoroszytu. Grupa Dodaj grupy, aby organizować skoroszyty w podgrupy. Dla każdej opcji po zdefiniowaniu wszystkich dostępnych ustawień wybierz przycisk Dodaj... lub Uruchom, aby utworzyć ten element skoroszytu. Na przykład Dodaj parametr lub Uruchom zapytanie.
Porada
Zapytania można tworzyć w eksploratorze usługi Azure Resource Graph i kopiować je do zapytania skoroszytu.
Na pasku narzędzi wybierz pozycję Zapisz lub Zapisz jako , aby zapisać skoroszyt, a następnie wybierz pozycję Zakończono edytowanie.
Wybierz pozycję Skoroszyty , aby wrócić do strony głównego skoroszytu z pełną listą skoroszytów.
Odwoływanie się do parametrów w zapytaniach
Po utworzeniu parametru odwoływanie się do niego w zapytaniu przy użyciu następującej składni: {ParameterName}
. Przykład:
iotsecurityresources
| where type == "microsoft.iotsecurity/sensors"
| extend Name=name
| extend Status= properties.sensorStatus
| where Name=={SensorName}
| project Name,Status
Przykładowe zapytania
Ta sekcja zawiera przykładowe zapytania, które są często używane w skoroszytach usługi Defender dla IoT.
Zapytania alertów
Rozkład alertów między czujnikami
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| extend Sensor=properties.extendedProperties.SensorId
| where properties.status!='Closed'
| summarize Alerts=count() by tostring(Sensor)
| sort by Alerts desc
Nowe alerty z ostatnich 24 godzin
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| where properties.status!='Closed'
| extend AlertTime=properties.startTimeUtc
| extend Type=properties.displayName
| where AlertTime > ago(1d)
| project AlertTime, Type
Alerty według źródłowego adresu IP
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| extend Type=properties.displayName
| extend Source_IP=properties.extendedProperties.SourceDeviceAddress
| extend Destination_IP=properties.extendedProperties.DestinationDeviceAddress
| where Source_IP=='192.168.10.1'
| project Source_IP, Destination_IP, Type
Zapytania dotyczące urządzeń
Spis urządzeń OT według dostawcy
iotsecurityresources
| extend Vendor= properties.hardware.vendor
| where properties.deviceDataSource=='OtSensor'
| summarize Devices=count() by tostring(Vendor)
| sort by Devices
Spis urządzeń OT według podtypu, takiego jak PLC, urządzenie osadzone, UPS itd.
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| extend SubType=properties.deviceSubTypeDisplayName
| summarize Devices=count() by tostring(SubType)
| sort by Devices
Nowe urządzenia OT według czujnika, lokacji i adresu IPv4
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| extend TimeFirstSeen=properties.firstSeen
| where TimeFirstSeen > ago(1d)
| extend DeviceName=properties.deviceName
| extend Site=properties.sensor.site
| extend Sensor=properties.sensor.name
| extend IPv4=properties.nics.[0].ipv4Address
| where properties.deviceDataSource=='OtSensor'
| project TimeFirstSeen, Site, Sensor, DeviceName, IPv4
Podsumowywanie alertów według poziomu purdue
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| project
resourceId = id,
affectedResource = tostring(properties.extendedProperties.DeviceResourceIds),
id = properties.systemAlertId
| join kind=leftouter (
iotsecurityresources | where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| project
sensor = properties.sensor.name,
zone = properties.sensor.zone,
site = properties.sensor.site,
deviceProperties=properties,
affectedResource = tostring(id)
) on affectedResource
| project-away affectedResource1
| where deviceProperties.deviceDataSource == 'OtSensor'
| summarize Alerts=count() by tostring(deviceProperties.purdueLevel)
Następne kroki
Dowiedz się więcej o wyświetlaniu pulpitów nawigacyjnych i raportów w konsoli czujnika:
- Uruchamianie zapytań wyszukiwania danych
- Raportowanie oceny ryzyka
- Tworzenie pulpitów nawigacyjnych trendów i statystyk
Dowiedz się więcej na temat skoroszytów usługi Azure Monitor i usługi Azure Resource Graph: