Visualizar dados do Microsoft Defender para IoT com pastas de trabalho do Azure Monitor

As pastas de trabalho do Azure Monitor fornecem gráficos, tabelas e painéis que refletem visualmente os dados armazenados em suas assinaturas do Azure Resource Graph e estão disponíveis diretamente no Microsoft Defender para IoT.

No portal do Azure, use a página Defender for IoT Workbooks para exibir pastas de trabalho criadas pela Microsoft e fornecidas prontas para uso ou criadas por clientes e compartilhadas em toda a comunidade.

Cada gráfico ou gráfico da pasta de trabalho é baseado em uma consulta do Azure Resource Graph (ARG) em execução em seus dados. No Defender for IoT, você pode usar consultas ARG para:

• Reunir status do sensor
• Identificar novos dispositivos na sua rede
• Localizar alertas relacionados com endereços IP específicos
• Entenda quais alertas são vistos por cada sensor

Exibir pastas de trabalho

Para exibir pastas de trabalho prontas para uso criadas pela Microsoft ou outras pastas de trabalho já salvas em sua assinatura:

1. No portal do Azure, vá para Defender for IoT e selecione Pastas de trabalho à esquerda.

   

2. Modifique suas opções de filtragem, se necessário, e selecione uma pasta de trabalho para abri-la.

O Defender for IoT fornece as seguintes pastas de trabalho prontas para uso:

• Saúde do sensor. Exibe dados sobre a integridade do sensor, como as versões do software do console do sensor instaladas nos sensores.
• Alertas. Exibe dados sobre alertas que ocorrem em seus sensores, incluindo alertas por sensor, tipos de alerta, alertas recentes gerados e muito mais.
• Dispositivos. Exibe dados sobre seu inventário de dispositivos, incluindo dispositivos por fornecedor, subtipo e novos dispositivos identificados.
• Vulnerabilidades. Exibe dados sobre as Vulnerabilidades detetadas em dispositivos OT em toda a rede. Selecione um item nas tabelas Vulnerabilidades de dispositivos, Dispositivos vulneráveis ou Componentes vulneráveis para exibir informações relacionadas nas tabelas à direita.

Criar pastas de trabalho personalizadas

Use a página Defender for IoT Workbooks para criar pastas de trabalho personalizadas do Azure Monitor diretamente no Defender for IoT.

1. Na página Pastas de trabalho, selecione Novo ou, para iniciar a partir de outro modelo, abra a pasta de trabalho de modelo e selecione Editar.

2. Na nova pasta de trabalho, selecione Adicionar e selecione a opção que deseja adicionar à pasta de trabalho. Se você estiver editando uma pasta de trabalho ou modelo existente, selecione o botão de opções (...) à direita para acessar o menu Adicionar .

   Você pode adicionar qualquer um dos seguintes elementos à sua pasta de trabalho:

   Opção	Description
   Texto	Adicione texto para descrever os gráficos mostrados na pasta de trabalho ou qualquer ação adicional necessária.
   Parâmetros	Defina parâmetros para usar no texto e nas consultas da pasta de trabalho.
   Ligações / separadores	Adicione elementos de navegação à sua pasta de trabalho, incluindo listas, links para outros destinos, guias extras ou barras de ferramentas.
   Consulta	Adicione uma consulta para usar ao criar gráficos e tabelas da pasta de trabalho. - Certifique-se de selecionar o Azure Resource Graph como sua fonte de dados e selecione todas as suas assinaturas relevantes. - Adicione uma representação gráfica para seus dados, selecionando um tipo nas opções de visualização .
   Métricas	Adicione métricas para usar ao criar gráficos e tabelas da pasta de trabalho.
   Grupo	Adicione grupos para organizar suas pastas de trabalho em subáreas.

   Para cada opção, depois de definir todas as configurações disponíveis, selecione o botão Adicionar... ou Executar... para criar esse elemento da pasta de trabalho. Por exemplo, Add parameter ou Run Query.

   Gorjeta

   Você pode criar suas consultas no Azure Resource Graph Explorer e copiá-las para sua consulta de pasta de trabalho.

3. Na barra de ferramentas, selecione Guardar ou Guardar como para guardar o livro e, em seguida, selecione Edição concluída.

4. Selecione Pastas de trabalho para voltar à página principal da pasta de trabalho com a listagem completa da pasta de trabalho.

Parâmetros de referência em suas consultas

Depois de criar um parâmetro, faça referência a ele em sua consulta usando a seguinte sintaxe: {ParameterName}. Por exemplo:

iotsecurityresources
| where type == "microsoft.iotsecurity/sensors"
| extend Name=name
| extend Status= properties.sensorStatus
| where Name=={SensorName}
| project Name,Status

Consultas de amostra

Esta seção fornece consultas de exemplo que são comumente usadas em pastas de trabalho do Defender for IoT.

Consultas de alerta

Distribuição de alertas entre sensores

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| extend Sensor=properties.extendedProperties.SensorId
| where properties.status!='Closed'
| summarize Alerts=count() by tostring(Sensor)
| sort by Alerts desc

Novos alertas das últimas 24 horas

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| where properties.status!='Closed'
| extend AlertTime=properties.startTimeUtc
| extend Type=properties.displayName
| where AlertTime > ago(1d)
| project AlertTime, Type

Alertas por endereço IP de origem

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| extend Type=properties.displayName
| extend Source_IP=properties.extendedProperties.SourceDeviceAddress
| extend Destination_IP=properties.extendedProperties.DestinationDeviceAddress
| where Source_IP=='192.168.10.1'
| project Source_IP, Destination_IP, Type

Consultas de dispositivos

Inventário de dispositivos OT por fornecedor

iotsecurityresources
| extend Vendor= properties.hardware.vendor
| where properties.deviceDataSource=='OtSensor'
| summarize Devices=count() by tostring(Vendor)
| sort by Devices

Inventário de dispositivos OT por subtipo, como PLC, dispositivo incorporado, UPS e assim por diante

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| extend SubType=properties.deviceSubTypeDisplayName
| summarize Devices=count() by tostring(SubType)
| sort by Devices

Novos dispositivos OT por sensor, site e endereço IPv4

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| extend TimeFirstSeen=properties.firstSeen
| where TimeFirstSeen > ago(1d)
| extend DeviceName=properties.deviceName
| extend Site=properties.sensor.site
| extend Sensor=properties.sensor.name
| extend IPv4=properties.nics.[0].ipv4Address
| where properties.deviceDataSource=='OtSensor'
| project TimeFirstSeen, Site, Sensor, DeviceName, IPv4

Resumir alertas por nível de Purdue

iotsecurityresources
    | where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
    | project 
        resourceId = id,
        affectedResource = tostring(properties.extendedProperties.DeviceResourceIds),
        id = properties.systemAlertId
    | join kind=leftouter (
        iotsecurityresources | where type == "microsoft.iotsecurity/locations/devicegroups/devices" 
        | project 
            sensor = properties.sensor.name,
            zone = properties.sensor.zone,
            site = properties.sensor.site,
            deviceProperties=properties,
            affectedResource = tostring(id)
    ) on affectedResource
    | project-away affectedResource1
    | where deviceProperties.deviceDataSource == 'OtSensor'
    | summarize Alerts=count() by tostring(deviceProperties.purdueLevel)

Próximos passos

Saiba mais sobre como visualizar painéis e relatórios no console do sensor:

• Executar consultas de mineração de dados
• Relatórios sobre a avaliação dos riscos
• Crie painéis de tendências e estatísticas

Saiba mais sobre as pastas de trabalho do Azure Monitor e o Azure Resource Graph:

• Documentação do Azure Resource Graph
• Documentação da pasta de trabalho do Azure Monitor
• Documentação do Kusto Query Language (KQL)