Dela via


Självstudie: Ansluta Microsoft Defender för IoT till Microsoft Sentinel

Med Microsoft Defender för IoT kan du skydda hela din OT- och Enterprise IoT-miljö, oavsett om du behöver skydda befintliga enheter eller skapa säkerhet i nya innovationer.

Microsoft Sentinel och Microsoft Defender för IoT hjälper till att överbrygga klyftan mellan IT- och OT-säkerhetsutmaningar och att ge SOC-team med färdiga funktioner möjlighet att effektivt och effektivt identifiera och svara på säkerhetshot. Integreringen mellan Microsoft Defender för IoT och Microsoft Sentinel hjälper organisationer att snabbt identifiera flerstegsattacker, som ofta korsar IT- och OT-gränser.

Med den här anslutningsappen kan du strömma Microsoft Defender för IoT-data till Microsoft Sentinel, så att du kan visa, analysera och svara på Defender for IoT-aviseringar och de incidenter som de genererar i en bredare kontext för organisationshot.

I den här självstudien får du lära dig hur man:

  • Ansluta Defender för IoT-data till Microsoft Sentinel
  • Använda Log Analytics för att fråga Defender efter IoT-aviseringsdata

Förutsättningar

Kontrollera att du har följande krav på din arbetsyta innan du börjar:

Viktigt!

För närvarande kan både Microsoft Defender för IoT och Microsoft Defender för molnet dataanslutningar aktiverade på samma Microsoft Sentinel-arbetsyta samtidigt resultera i dubbletter av aviseringar i Microsoft Sentinel. Vi rekommenderar att du kopplar från Microsoft Defender för molnet dataanslutningen innan du ansluter till Microsoft Defender för IoT.

Ansluta dina data från Defender för IoT till Microsoft Sentinel

Börja med att aktivera Defender for IoT-dataanslutningen för att strömma alla dina Defender for IoT-händelser till Microsoft Sentinel.

Så här aktiverar du Defender for IoT-dataanslutningen:

  1. I Microsoft Sentinel går du till Konfiguration, väljer Dataanslutningar och letar sedan upp Microsoft Defender för IoT-dataanslutningen.

  2. Längst ned till höger väljer du Sidan Öppna anslutningsapp.

  3. På fliken Instruktioner går du till Konfiguration och väljer Anslut för varje prenumeration vars aviseringar och enhetsaviseringar du vill strömma till Microsoft Sentinel.

    Om du har gjort några anslutningsändringar kan det ta 10 sekunder eller mer att uppdatera prenumerationslistan.

Mer information finns i Ansluta Microsoft Sentinel till Azure-, Windows-, Microsoft- och Amazon-tjänster.

Visa Defender för IoT-aviseringar

När du har anslutit en prenumeration till Microsoft Sentinel kan du visa Defender for IoT-aviseringar i området Microsoft Sentinel-loggar.

  1. I Microsoft Sentinel väljer du Loggar > AzureSecurityOfThings > SecurityAlert eller söker efter SecurityAlert.

  2. Använd följande exempelfrågor för att filtrera loggarna och visa aviseringar som genererats av Defender för IoT:

    Så här ser du alla aviseringar som genereras av Defender för IoT:

    SecurityAlert | where ProductName == "Azure Security Center for IoT"
    

    Så här ser du specifika sensoraviseringar som genereras av Defender för IoT:

    SecurityAlert
    | where ProductName == "Azure Security Center for IoT"
    | where tostring(parse_json(ExtendedProperties).SensorId) == “<sensor_name>”
    

    Så här ser du specifika OT-motoraviseringar som genereras av Defender för IoT:

    SecurityAlert
    | where ProductName == "Azure Security Center for IoT"
    | where ProductComponentName == "MALWARE"
    
    SecurityAlert
    | where ProductName == "Azure Security Center for IoT"
    | where ProductComponentName == "ANOMALY"
    
    SecurityAlert
    | where ProductName == "Azure Security Center for IoT"
    | where ProductComponentName == "PROTOCOL_VIOLATION"
    
    SecurityAlert
    | where ProductName == "Azure Security Center for IoT"
    | where ProductComponentName == "POLICY_VIOLATION"
    
    SecurityAlert
    | where ProductName == "Azure Security Center for IoT"
    | where ProductComponentName == "OPERATIONAL"
    

    Så här ser du aviseringar med hög allvarlighetsgrad som genereras av Defender för IoT:

    SecurityAlert
    | where ProductName == "Azure Security Center for IoT"
    | where AlertSeverity == "High"
    

    Så här ser du specifika protokollaviseringar som genereras av Defender för IoT:

    SecurityAlert
    | where ProductName == "Azure Security Center for IoT"
    | where tostring(parse_json(ExtendedProperties).Protocol) == "<protocol_name>"
    

Kommentar

Sidan Loggar i Microsoft Sentinel baseras på Azure Monitors Log Analytics.

Mer information finns i Översikt över loggfrågor i Azure Monitor-dokumentationen och i learn-modulen Write your first KQL query Learn (Skriv din första KQL-fråga ).

Förstå tidsstämplar för aviseringar

Defender för IoT-aviseringar spårar i både Azure Portal och sensorkonsolen den tid då en avisering först upptäcktes, senast identifierades och ändrades senast.

I följande tabell beskrivs tidsstämpelfälten för Defender för IoT-aviseringar med en mappning till relevanta fält från Log Analytics som visas i Microsoft Sentinel.

Defender för IoT-fält beskrivning Log Analytics-fält
Första identifieringen Definierar första gången aviseringen identifierades i nätverket. StartTime
Senaste identifiering Definierar den senaste gången aviseringen identifierades i nätverket och ersätter kolumnen Identifieringstid . EndTime
Senaste aktivitet Definierar den senaste gången aviseringen ändrades, inklusive manuella uppdateringar för allvarlighetsgrad eller status, eller automatiska ändringar för enhetsuppdateringar eller deduplicering av enhet/avisering TimeGenerated

I Defender för IoT på Azure Portal och sensorkonsolen visas kolumnen Senaste identifiering som standard. Redigera kolumnerna på sidan Aviseringar för att visa kolumnerna Första identifiering och Senaste aktivitet efter behov.

Mer information finns i Visa aviseringar på Defender för IoT-portalen och Visa aviseringar på sensorn.

Förstå flera poster per avisering

Defender for IoT-aviseringsdata strömmas till Microsoft Sentinel och lagras på din Log Analytics-arbetsyta i tabellen SecurityAlert .

Poster i tabellen SecurityAlert skapas varje gång en avisering genereras eller uppdateras i Defender för IoT. Ibland har en enda avisering flera poster, till exempel när aviseringen först skapades och sedan igen när den uppdaterades.

I Microsoft Sentinel använder du följande fråga för att kontrollera de poster som lagts till i tabellen SecurityAlert för en enda avisering:

SecurityAlert
|  where ProductName == "Azure Security Center for IoT"
|  where VendorOriginalId == "Defender for IoT Alert ID"
| sort by TimeGenerated desc

Uppdateringar för aviseringsstatus eller allvarlighetsgrad genererar nya poster i tabellen SecurityAlert omedelbart .

Andra typer av uppdateringar aggregeras i upp till 12 timmar, och nya poster i tabellen SecurityAlert återspeglar endast den senaste ändringen. Exempel på aggregerade uppdateringar är:

  • Uppdateringar under den senaste identifieringstiden, till exempel när samma avisering identifieras flera gånger
  • En ny enhet läggs till i en befintlig avisering
  • Enhetsegenskaperna för en avisering uppdateras

Nästa steg

Microsoft Defender för IoT-lösningen är en uppsättning paketerat innehåll som är specifikt konfigurerat för Defender för IoT-data och som innehåller analysregler, arbetsböcker och spelböcker.