Руководство. Подключение Microsoft Defender для Интернета вещей с помощью Microsoft Sentinel
Microsoft Defender для Интернета вещей позволяет защитить всю среду OT и Enterprise IoT, будь то защита существующих устройств или внедрение новых инноваций.
Microsoft Sentinel и Microsoft Defender для Интернета вещей помогают преодолеть разрыв между проблемами безопасности ИТ и OT, а также предоставить командам SOC встроенные возможности для эффективного и эффективного обнаружения угроз безопасности и реагирования на них. Интеграция Microsoft Defender для Интернета вещей и Microsoft Sentinel помогает организациям быстро обнаруживать многоступенчатые атаки, которые часто пересекают границы ИТ и ОТ.
Этот соединитель позволяет выполнять потоковую передачу Microsoft Defender для данных Интернета вещей в Microsoft Sentinel, чтобы вы могли просматривать оповещения Defender для Интернета вещей и реагировать на них, а также инциденты, которые они создают, в более широком контексте угроз в организации.
В этом учебнике рассматривается следующее.
- Подключение данных Defender для Интернета вещей к Microsoft Sentinel
- Использование Log Analytics для запроса данных оповещений Defender для Интернета вещей
Предварительные требования
Прежде чем начать, убедитесь в том, что вы выполнили следующие требования к рабочей области:
Разрешения на чтение и запись в рабочей области Microsoft Sentinel. Дополнительные сведения см. в статье Разрешения в Microsoft Sentinel.
Разрешения участника или владельца для подписки, которую вы хотите подключить к Microsoft Sentinel.
План Defender для Интернета вещей в подписке Azure с потоковой передачей данных в Defender для Интернета вещей. Дополнительные сведения см. в статье Краткое руководство. Начало работы с Defender для Интернета вещей.
Важно!
В настоящее время одновременное включение коннекторов данных Microsoft Defender для Интернета вещей и Microsoft Defender для облака в одной рабочей области Microsoft Sentinel может привести к появлению дублирующихся предупреждений в Microsoft Sentinel. Поэтому мы рекомендуем отключить соединитель данных Microsoft Defender для облака перед подключением к Microsoft Defender для Интернета вещей.
Подключение данных из Defender для Интернета вещей к Microsoft Sentinel
Начните с включения соединителя данных Defender для Интернета вещей для потоковой передачи всех событий Defender для Интернета вещей в Microsoft Sentinel.
Чтобы включить соединитель данных Defender для Интернета вещей, выполните следующие действия.
В разделе Конфигурация Microsoft Sentinel выберите пункт Соединители данных, а затем найдите соединитель данных Microsoft Defender для Интернета вещей.
В правом нижнем углу выберите страницу Открыть соединитель.
На вкладке Инструкции в разделе Конфигурация нажмите Подключить для каждой подписки, чьи оповещения и предупреждения устройств вы хотите передавать в Microsoft Sentinel.
Если вы внесли изменения в подключение, обновление списка Подписка может занять 10 секунд или больше.
Дополнительные сведения см. в статье Подключение Microsoft Sentinel к службам Azure, Windows, Майкрософт и Amazon.
Просмотр оповещений Defender для Интернета вещей
После подключения подписки к Microsoft Sentinel вы сможете просматривать оповещения Defender для Интернета вещей в области Журналы Microsoft Sentinel.
В Microsoft Sentinel выберите Журналы > AzureSecurityOfThings > SecurityAlert или выполните поиск по запросу SecurityAlert.
Используйте следующие примеры запросов для фильтрации журналов и просмотра оповещений, созданных Defender для Интернета вещей:
Чтобы просмотреть все оповещения, созданные Defender для Интернета вещей:
SecurityAlert | where ProductName == "Azure Security Center for IoT"Чтобы просмотреть оповещения определенного датчика, созданные Defender для Интернета вещей:
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where tostring(parse_json(ExtendedProperties).SensorId) == “<sensor_name>”Чтобы просмотреть оповещения определенной подсистемы OT, созданные Defender для Интернета вещей:
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "MALWARE" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "ANOMALY" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "PROTOCOL_VIOLATION" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "POLICY_VIOLATION" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "OPERATIONAL"Чтобы увидеть предупреждения высокого уровня серьезности, созданные Defender для Интернета вещей:
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where AlertSeverity == "High"Чтобы просмотреть определенные оповещения протокола, созданные Defender для Интернета вещей:
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where tostring(parse_json(ExtendedProperties).Protocol) == "<protocol_name>"
Примечание
Страница Журналы в Microsoft Sentinel основана на Log Analytics Azure Monitor.
Дополнительные сведения см. в обзоре запросов к журналам в документации по Azure Monitor и в модуле Learn Создание первого запроса на языке запросов Kusto.
Общие сведения о метках времени оповещений
С помощью оповещений Defender для Интернета вещей на портале Azure и в консоли датчика можно отследить время первого обнаружения, последнего обнаружения и последнего изменения оповещения.
В следующей таблице описаны поля метки времени оповещения Defender для Интернета вещей с сопоставлением соответствующих полей из Log Analytics, отображаемых в Microsoft Sentinel.
| Поле Defender для Интернета вещей | Описание | Поле Log Analytics |
|---|---|---|
| Первое обнаружение | Определяет, когда оповещение было обнаружено в сети в первый раз. | StartTime |
| Последнее обнаружение | Определяет время последнего обнаружения оповещения в сети и заменяет столбец Время обнаружения. | EndTime |
| Последнее действие | Определяет время последнего изменения оповещения, включая обновления вручную данных о серьезности или состояния, а также автоматические изменения для обновлений устройств или дедупликации устройств или оповещений | TimeGenerated |
В Defender для Интернета вещей на портале Azure и консоли датчика столбец Последнее обнаружение отображается по умолчанию. Измените столбцы на странице Оповещения, чтобы при необходимости отображались столбцы Первое обнаружение и Последнее действие.
Дополнительные сведения см. в разделе Просмотр оповещений на портале Defender для Интернета вещей и Просмотр оповещений на датчике.
Общие сведения о нескольких записях на оповещение
Данные оповещений Defender для Интернета вещей передаются в Microsoft Sentinel и хранятся в рабочей области Log Analytics в таблице SecurityAlert .
Записи в таблице SecurityAlert обновляются при каждом создании или обновлении оповещения в Defender для Интернета вещей. Иногда одно оповещение содержит несколько записей, например, когда оповещение было впервые создано, а затем снова при обновлении.
В Microsoft Sentinel используйте следующий запрос, чтобы проверка записей, добавленных в таблицу SecurityAlert, для одного оповещения:
SecurityAlert
| where ProductName == "Azure Security Center for IoT"
| where VendorOriginalId == "Defender for IoT Alert ID"
| sort by TimeGenerated desc
Следующие типы обновлений создают новые записи в таблице SecurityAlert :
- Обновления состояния оповещения или серьезности
- Обновления в последнее время обнаружения, например при обнаружении одного и того же оповещения несколько раз
- Новое устройство добавляется в существующее оповещение
- Свойства устройства для оповещения обновляются
Дальнейшие действия
Решение Microsoft Defender для Интернета вещей — это набор встроенного содержимого, настроенного специально для данных Defender для Интернета вещей и включающий правила аналитики, книги и сборники схем.