分享方式:


教學課程:使用 Microsoft Sentinel 連線適用於 IoT 的 Microsoft Defender

​適用於 IoT 的 Microsoft Defender 可讓您保護整個 OT 和企業 IoT 環境,無論您是需要保護現有的裝置,還是要為新的創新建立安全性。

Microsoft Sentinel 和適用於 IoT 的 Microsoft Defender 可協助橋接 IT 與 OT 安全性挑戰之間的差距,並讓 SOC 小組具備現成可用的功能,以有效率且有效地偵測和回應安全性威脅。 適用於 IoT 的 Microsoft Defender 與 Microsoft Sentinel 之間的整合可協助組織快速偵測多階段攻擊,這通常跨越 IT 和 OT 界限。

此連接器可讓您將適用於 IoT 的 Microsoft Defender 資料串流至 Microsoft Sentinel,讓您在更廣泛的組織威脅內容中檢視、分析與回應適用於 IoT 的 Defender 警示及其產生的事件。

在本教學課程中,您將了解如何:

  • 將適用於 IoT 的 Defender 資料連線至 Microsoft Sentinel
  • 使用 Log Analytics 以查詢適用於 IoT 的 Defender 警示資料

必要條件

開始前請確定您在工作區上具有下列需求:

  • 您 Microsoft Sentinel 工作區的 [讀取和 [寫入]權限。 如需詳細資訊,請參閱 Microsoft Sentinel 中的權限

  • 您想要連線至 Microsoft Sentinel 之訂用帳戶的「參與者」或「擁有者」權限。

  • Azure 訂用帳戶上的適用於 IoT 的 Defender 方案,其資料串流至適用於 IoT 的 Defender。 如需詳細資訊,請參閱快速入門:開始使用適用於 IoT 的 Defender

重要

目前在相同的 Microsoft Sentinel 工作區上同時啟用適用於 IoT 的 Microsoft Defender 和適用於雲端的 Microsoft Defender 資料連接器,可能會導致 Microsoft Sentinel 中出現重複警示。 建議您先中斷連接適用於雲端的 Microsoft Defender 資料連接器,再連接至適用於 IoT 的 Microsoft Defender。

將資料從適用於 IoT 的 Defender 連接至 Microsoft Sentinel

首先啟用適用於 IoT 的 Defender 資料連接器,將所有適用於 IoT 的 Defender 事件串流至 Microsoft Sentinel。

如何啟用適用於 IoT 的 Defender 資料連接器

  1. 在 Microsoft Sentinel 的 [設定] 下,選取 [資料連接器] 後找到適用於 IoT 的 Microsoft Defender 資料連接器。

  2. 選取右下角的 [開啟連接器頁面]

  3. 在 [指示] 索引標籤上的 [設定] 下,針對您想要串流至 Microsoft Sentinel 的警示和裝置警示的每個訂閱選取 [連線]

    如果您已進行任何連線變更,可能需要 10 秒以上的時間,才能更新 [訂閱] 清單。

如需詳細資訊,請參閱將 Microsoft Sentinel 連線至 Azure、Windows、Microsoft 和 Amazon 服務

檢視適用於 IoT 的 Defender 警示

將訂用帳戶連線至 Microsoft Sentinel 之後,您將可以在 Microsoft Sentinel [記錄] 區域中檢視適用於 IoT 的 Defender 警示。

  1. 在 Microsoft Sentinel 中選取 [記錄]>[AzureSecurityOfThings]>[SecurityAlert],或搜尋 SecurityAlert

  2. 使用下列範例查詢來篩選記錄,並檢視適用於 IoT 的 Defender 產生的警示:

    如何查看適用於 IoT 的 Defender 產生的所有警示

    SecurityAlert | where ProductName == "Azure Security Center for IoT"
    

    如何查看適用於 IoT 的 Defender 產生的特定感應器警示

    SecurityAlert
    | where ProductName == "Azure Security Center for IoT"
    | where tostring(parse_json(ExtendedProperties).SensorId) == “<sensor_name>”
    

    如何查看適用於 IoT 的 Defender 產生的特定 OT 引擎警示

    SecurityAlert
    | where ProductName == "Azure Security Center for IoT"
    | where ProductComponentName == "MALWARE"
    
    SecurityAlert
    | where ProductName == "Azure Security Center for IoT"
    | where ProductComponentName == "ANOMALY"
    
    SecurityAlert
    | where ProductName == "Azure Security Center for IoT"
    | where ProductComponentName == "PROTOCOL_VIOLATION"
    
    SecurityAlert
    | where ProductName == "Azure Security Center for IoT"
    | where ProductComponentName == "POLICY_VIOLATION"
    
    SecurityAlert
    | where ProductName == "Azure Security Center for IoT"
    | where ProductComponentName == "OPERATIONAL"
    

    如何查看適用於 IoT 的 Defender 產生的高嚴重性警示

    SecurityAlert
    | where ProductName == "Azure Security Center for IoT"
    | where AlertSeverity == "High"
    

    如何查看適用於 IoT 的 Defender 產生的特定通訊協定警示

    SecurityAlert
    | where ProductName == "Azure Security Center for IoT"
    | where tostring(parse_json(ExtendedProperties).Protocol) == "<protocol_name>"
    

注意

Microsoft Sentinel 中的 [記錄] 頁面是以 Azure 監視器的 Log Analytics 為基礎。

如需詳細資訊,請參閱 Azure 監視器檔中的記錄查詢概觀撰寫您的第一個 KQL 查詢學習課程模組。

了解警示時間戳記

在 Azure 入口網站中和感應器主控台上,適用於 IoT 的 Defender 警示都會追蹤第一次和上次偵測到警示的時間,以及警示上次變更的時間。

下表描述適用於 IoT 的 Defender 警示時間戳記欄位,並對應至 Microsoft Sentinel 中顯示的 Log Analytics 相關欄位。

適用於 IoT 的 Defender 欄位 描述 Log Analytics 欄位
第一次偵測 定義網路中第一次偵測到警示的時間。 StartTime
上次偵測 定義網路中上次偵測到警示的時間,並取代 [偵測時間] 資料行。 EndTime
上次活動 定義上次變更警示的時間,包括手動更新嚴重性或狀態,或是自動變更裝置更新或刪除重複的裝置/警示 TimeGenerated

在 Azure 入口網站和感應器主控台上,適用於 IoT 的 Defender 會預設顯示 [上次偵測] 資料行。 編輯 [警示] 頁面上的資料行,並視需要顯示 [第一個偵測] 和 [上次活動] 資料行。

如需詳細資訊,請參閱在適用於 IoT 的 Defender 入口網站上檢視警示檢視感應器上的警示

了解每個警示的多個記錄

適用於 IoT 的 Defender 警示資料會串流至 Microsoft Sentinel,並儲存在 SecurityAlert 資料表的 Log Analytics 工作區。

每次在適用於 IoT 的 Defender 中產生或更新警示時,都會建立 SecurityAlert 資料表中的記錄。 有時候,單一警示會有多個記錄,例如警示在第一次建立後更新時再次出現時。

在 Microsoft Sentinel 中,使用下列查詢來檢查在 SecurityAlert 資料表中新增的記錄是否有單一警示:

SecurityAlert
|  where ProductName == "Azure Security Center for IoT"
|  where VendorOriginalId == "Defender for IoT Alert ID"
| sort by TimeGenerated desc

警示狀態或嚴重性的更新會立即在 SecurityAlert 資料表中產生新記錄。

其他類型更新的彙總時間長達 12 小時,SecurityAlert 資料表中的新記錄只會反映最新的變更。 彙總更新的範例包括:

  • 上次偵測時間的更新,例如多次偵測到相同警示時
  • 新的裝置會新增至現有的警示
  • 警示的裝置屬性已更新

下一步

「適用於 IoT 的 Microsoft Defender」解決方案是特別針對適用於 IoT 的 Defender 資料所設定的一組配套且現成可用內容,並且包括分析規則、活頁簿和劇本。