Visualisera Microsoft Defender för IoT-data med Azure Monitor-arbetsböcker

Azure Monitor-arbetsböcker tillhandahåller diagram, diagram och instrumentpaneler som visuellt återspeglar data som lagras i dina Azure Resource Graph-prenumerationer och som är tillgängliga direkt i Microsoft Defender för IoT.

I Azure-portalen använder du sidan Defender för IoT-arbetsböcker för att visa arbetsböcker som skapats av Microsoft och tillhandahålls direkt, eller som skapats av kunder och delats i communityn.

Varje arbetsboksdiagram eller diagram baseras på en Arg-fråga (Azure Resource Graph) som körs på dina data. I Defender för IoT kan du använda ARG-frågor för att:

• Samla in sensorstatusar
• Identifiera nya enheter i nätverket
• Hitta aviseringar relaterade till specifika IP-adresser
• Förstå vilka aviseringar som visas av varje sensor

Visa arbetsböcker

Så här visar du färdiga arbetsböcker som skapats av Microsoft eller andra arbetsböcker som redan har sparats i din prenumeration:

1. I Azure-portalen går du till Defender för IoT och väljer Arbetsböcker till vänster.

   

2. Ändra filtreringsalternativen om det behövs och välj en arbetsbok för att öppna den.

Defender för IoT tillhandahåller följande arbetsböcker direkt:

• Sensorhälsa. Visar data om sensorhälsan, till exempel sensorkonsolens programvaruversioner som är installerade på dina sensorer.
• Aviseringar. Visar data om aviseringar som inträffar på dina sensorer, inklusive aviseringar efter sensor, aviseringstyper, nyligen genererade aviseringar med mera.
• Enheter. Visar data om din enhetsinventering, inklusive enheter efter leverantör, undertyp och nya enheter som identifierats.
• Sårbarheter. Visar data om de sårbarheter som identifierats i OT-enheter i nätverket. Välj ett objekt i tabellerna Enhetssårbarheter, Sårbara enheter eller Sårbara komponenter för att visa relaterad information i tabellerna till höger.

Skapa anpassade arbetsböcker

Använd sidan Defender för IoT-arbetsböcker för att skapa anpassade Azure Monitor-arbetsböcker direkt i Defender för IoT.

1. På sidan Arbetsböcker väljer du Ny eller startar från en annan mall, öppnar mallarbetsboken och väljer Redigera.

2. I den nya arbetsboken väljer du Lägg till och väljer det alternativ som du vill lägga till i arbetsboken. Om du redigerar en befintlig arbetsbok eller mall väljer du knappen alternativ (...) till höger för att komma åt menyn Lägg till .

   Du kan lägga till något av följande element i arbetsboken:

   Alternativ	Description
   Text	Lägg till text för att beskriva de diagram som visas i arbetsboken eller eventuella ytterligare åtgärder som krävs.
   Parameters	Definiera parametrar som ska användas i arbetsbokens text och frågor.
   Länkar/flikar	Lägg till navigeringselement i arbetsboken, inklusive listor, länkar till andra mål, extra flikar eller verktygsfält.
   Fråga	Lägg till en fråga som ska användas när du skapar dina arbetsboksdiagram och diagram. – Välj Azure Resource Graph som datakälla och välj alla dina relevanta prenumerationer. – Lägg till en grafisk representation för dina data genom att välja en typ från visualiseringsalternativen.
   Mått	Lägg till mått som ska användas när du skapar arbetsboksdiagram och diagram.
   Grupp	Lägg till grupper för att organisera dina arbetsböcker i underområden.

   När du har definierat alla tillgängliga inställningar för varje alternativ väljer du knappen Lägg till... eller Kör... för att skapa arbetsbokselementet. Lägg till exempel till parameter eller Kör fråga.

   Dricks

   Du kan skapa dina frågor i Azure Resource Graph Explorer och kopiera dem till din arbetsboksfråga.

3. I verktygsfältet väljer du Spara eller Spara som för att spara arbetsboken och sedan Klar redigering.

4. Välj Arbetsböcker för att gå tillbaka till huvudarbetsbokssidan med den fullständiga arbetsbokslistan.

Referensparametrar i dina frågor

När du har skapat en parameter refererar du till den i din fråga med hjälp av följande syntax: {ParameterName}. Till exempel:

iotsecurityresources
| where type == "microsoft.iotsecurity/sensors"
| extend Name=name
| extend Status= properties.sensorStatus
| where Name=={SensorName}
| project Name,Status

Exempelfrågor

Det här avsnittet innehåller exempelfrågor som ofta används i Defender för IoT-arbetsböcker.

Aviseringsfrågor

Distribution av aviseringar mellan sensorer

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| extend Sensor=properties.extendedProperties.SensorId
| where properties.status!='Closed'
| summarize Alerts=count() by tostring(Sensor)
| sort by Alerts desc

Nya aviseringar från de senaste 24 timmarna

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| where properties.status!='Closed'
| extend AlertTime=properties.startTimeUtc
| extend Type=properties.displayName
| where AlertTime > ago(1d)
| project AlertTime, Type

Aviseringar efter källans IP-adress

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| extend Type=properties.displayName
| extend Source_IP=properties.extendedProperties.SourceDeviceAddress
| extend Destination_IP=properties.extendedProperties.DestinationDeviceAddress
| where Source_IP=='192.168.10.1'
| project Source_IP, Destination_IP, Type

Enhetsfrågor

OT-enhetsinventering efter leverantör

iotsecurityresources
| extend Vendor= properties.hardware.vendor
| where properties.deviceDataSource=='OtSensor'
| summarize Devices=count() by tostring(Vendor)
| sort by Devices

OT-enhetsinventering efter undertyp, till exempel PLC, inbäddad enhet, UPS och så vidare

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| extend SubType=properties.deviceSubTypeDisplayName
| summarize Devices=count() by tostring(SubType)
| sort by Devices

Nya OT-enheter efter sensor, plats och IPv4-adress

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| extend TimeFirstSeen=properties.firstSeen
| where TimeFirstSeen > ago(1d)
| extend DeviceName=properties.deviceName
| extend Site=properties.sensor.site
| extend Sensor=properties.sensor.name
| extend IPv4=properties.nics.[0].ipv4Address
| where properties.deviceDataSource=='OtSensor'
| project TimeFirstSeen, Site, Sensor, DeviceName, IPv4

Sammanfatta aviseringar efter Purdue-nivå

iotsecurityresources
    | where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
    | project 
        resourceId = id,
        affectedResource = tostring(properties.extendedProperties.DeviceResourceIds),
        id = properties.systemAlertId
    | join kind=leftouter (
        iotsecurityresources | where type == "microsoft.iotsecurity/locations/devicegroups/devices" 
        | project 
            sensor = properties.sensor.name,
            zone = properties.sensor.zone,
            site = properties.sensor.site,
            deviceProperties=properties,
            affectedResource = tostring(id)
    ) on affectedResource
    | project-away affectedResource1
    | where deviceProperties.deviceDataSource == 'OtSensor'
    | summarize Alerts=count() by tostring(deviceProperties.purdueLevel)

Nästa steg

Läs mer om att visa instrumentpaneler och rapporter i sensorkonsolen:

• Köra datautvinningsfrågor
• Rapportering av riskbedömning
• Skapa instrumentpaneler för trender och statistik

Läs mer om Azure Monitor-arbetsböcker och Azure Resource Graph:

• Dokumentation om Azure Resource Graph
• Dokumentation om Azure Monitor-arbetsböcker
• Dokumentation om Kusto Query Language (KQL)