Visualizar dados do Microsoft Defender para IoT com pastas de trabalho do Azure Monitor

As pastas de trabalho do Azure Monitor fornecem grafos, gráficos e painéis que refletem visualmente os dados armazenados em suas assinaturas do Azure Resource Graph e estão disponíveis diretamente no Microsoft Defender para IoT.

No portal do Azure, use a página Pastas de Trabalho do Defender para IoT para exibir pastas de trabalho criadas pela Microsoft e fornecidas prontas para uso ou criadas por clientes e compartilhadas na comunidade.

Cada grafo ou gráfico de pasta de trabalho é baseado em uma consulta do ARG (Azure Resource Graph) em execução em seus dados. No Defender para IoT, você pode usar consultas do ARG para:

• Obter o status do sensor
• Identificar novos dispositivos em sua rede
• Encontrar alertas relacionados a endereços IP específicos
• Entender os alertas vistos por sensor

Exibir pastas de trabalho

Para exibir pastas de trabalho prontas para uso criadas pela Microsoft ou outras pastas de trabalho já salvas em sua assinatura:

1. No portal do Azure, acesse Defender para IoT e selecione Pastas de Trabalho à esquerda.

   

2. Modifique as opções de filtragem, se necessário, e selecione uma pasta de trabalho para abri-la.

O Defender para IoT fornece as seguintes pastas de trabalho prontas para uso:

• Integridade do sensor. Exibe dados sobre a integridade do sensor, como as versões de software do console do sensor instaladas em seus sensores.
• Alertas. Exibe dados sobre alertas que ocorrem em seus sensores, incluindo alertas por sensor, tipos de alerta, alertas recentes gerados e muito mais.
• Dispositivos. Exibe dados sobre o inventário de dispositivos, incluindo dispositivos por fornecedor, subtipo e novos dispositivos identificados.
• Vulnerabilidades. Exibe dados sobre as vulnerabilidades detectadas em dispositivos OT em toda a rede. Selecione um item nas tabelas Vulnerabilidades do dispositivo, Dispositivos vulneráveis ou Componentes vulneráveis para exibir informações relacionadas nas tabelas à direita.

Criar pastas de trabalho personalizadas

Use a página Pastas de Trabalho do Defender para IoT para criar pastas de trabalho personalizadas do Azure Monitor diretamente no Defender para IoT.

1. Na página Pastas de Trabalho, selecione Novo ou, para começar usando outro modelo, abra o modelo de pasta de trabalho e selecione Editar.

2. Na nova pasta de trabalho, selecione Adicionar e escolha a opção que deseja adicionar à sua pasta de trabalho. Se estiver editando uma pasta de trabalho ou modelo existente, selecione o botão de opções (...) à direita para acessar o menu Adicionar.

   Você pode adicionar qualquer um dos seguintes elementos à pasta de trabalho:

   Opção	Descrição
   Texto	Adicione texto para descrever os grafos mostrados na pasta de trabalho ou qualquer ação adicional necessária.
   Parâmetros	Defina os parâmetros a serem usados no texto e nas consultas da pasta de trabalho.
   Links/guias	Adicione elementos de navegação à pasta de trabalho, incluindo listas, links para outros destinos, guias extras ou barras de ferramentas.
   Consulta	Adicione uma consulta a ser usada ao criar gráficos e grafos da pasta de trabalho. – Selecione Azure Resource Graph como Fonte de dados e selecione todas as suas assinaturas relevantes. – Adicione uma representação gráfica de seus dados selecionando um tipo nas Opções de visualização.
   Métrica	Adicione métricas a serem usadas ao criar gráficos e grafos de pasta de trabalho.
   Grupo	Adicione grupos para organizar suas pastas de trabalho em subáreas.

   Para cada opção, depois de definir todas as configurações disponíveis, selecione o botão Adicionar... ou Executar... para criar esse elemento da pasta de trabalho. Por exemplo, Adicionar parâmetro ou Executar Consulta.

   Dica

   Você pode criar consultas no Azure Resource Graph Explorer e copiá-las para sua consulta de pasta de trabalho.

3. Na barra de ferramentas, selecione Salvar ou Salvar como para salvar sua pasta de trabalho e selecione Edição concluída.

4. Selecione Pastas de Trabalho para voltar à página de pasta de trabalho principal com a listagem completa de pastas de trabalho.

Parâmetros de referência em suas consultas

Depois de criar um parâmetro, faça referência a ele na consulta usando a seguinte sintaxe: {ParameterName}. Por exemplo:

iotsecurityresources
| where type == "microsoft.iotsecurity/sensors"
| extend Name=name
| extend Status= properties.sensorStatus
| where Name=={SensorName}
| project Name,Status

Consultas de exemplo

Esta seção fornece exemplos de consultas que são usadas comumente em pastas de trabalho do Defender para IoT.

Consultas de alerta

Distribuição de alertas entre sensores

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| extend Sensor=properties.extendedProperties.SensorId
| where properties.status!='Closed'
| summarize Alerts=count() by tostring(Sensor)
| sort by Alerts desc

Novos alertas das últimas 24 horas

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| where properties.status!='Closed'
| extend AlertTime=properties.startTimeUtc
| extend Type=properties.displayName
| where AlertTime > ago(1d)
| project AlertTime, Type

Alertas por endereço IP de origem

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| extend Type=properties.displayName
| extend Source_IP=properties.extendedProperties.SourceDeviceAddress
| extend Destination_IP=properties.extendedProperties.DestinationDeviceAddress
| where Source_IP=='192.168.10.1'
| project Source_IP, Destination_IP, Type

Consultas do dispositivo

Inventário de dispositivos de OT por fornecedor

iotsecurityresources
| extend Vendor= properties.hardware.vendor
| where properties.deviceDataSource=='OtSensor'
| summarize Devices=count() by tostring(Vendor)
| sort by Devices

Inventário de dispositivos de OT por subtipo, como PLC, dispositivo inserido, UPS e assim por diante

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| extend SubType=properties.deviceSubTypeDisplayName
| summarize Devices=count() by tostring(SubType)
| sort by Devices

Novos dispositivos de OT por sensor, site e endereço IPv4

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| extend TimeFirstSeen=properties.firstSeen
| where TimeFirstSeen > ago(1d)
| extend DeviceName=properties.deviceName
| extend Site=properties.sensor.site
| extend Sensor=properties.sensor.name
| extend IPv4=properties.nics.[0].ipv4Address
| where properties.deviceDataSource=='OtSensor'
| project TimeFirstSeen, Site, Sensor, DeviceName, IPv4

Resumir alertas por nível de Purdue

iotsecurityresources
    | where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
    | project 
        resourceId = id,
        affectedResource = tostring(properties.extendedProperties.DeviceResourceIds),
        id = properties.systemAlertId
    | join kind=leftouter (
        iotsecurityresources | where type == "microsoft.iotsecurity/locations/devicegroups/devices" 
        | project 
            sensor = properties.sensor.name,
            zone = properties.sensor.zone,
            site = properties.sensor.site,
            deviceProperties=properties,
            affectedResource = tostring(id)
    ) on affectedResource
    | project-away affectedResource1
    | where deviceProperties.deviceDataSource == 'OtSensor'
    | summarize Alerts=count() by tostring(deviceProperties.purdueLevel)

Próximas etapas

Saiba mais sobre como exibir painéis e relatórios no console do sensor:

• Executar consultas de mineração de dados
• Relatório de avaliação de risco
• Criar painéis de tendências e estatísticas

Saiba mais sobre as pastas de trabalho do Azure Monitor e o Azure Resource Graph:

• Documentação do Azure Resource Graph
• Documentação sobre as pastas de trabalho do Azure Monitor
• Documentação sobre a KQL (Linguagem de Consulta Kusto)