教學課程:使用 Microsoft Sentinel 連線適用於 IoT 的 Microsoft Defender
適用於 IoT 的 Microsoft Defender 可讓您保護整個 OT 和企業 IoT 環境,無論您是需要保護現有的裝置,還是要為新的創新建立安全性。
Microsoft Sentinel 和適用於 IoT 的 Microsoft Defender 可協助橋接 IT 與 OT 安全性挑戰之間的差距,並讓 SOC 小組具備現成可用的功能,以有效率且有效地偵測和回應安全性威脅。 適用於 IoT 的 Microsoft Defender 與 Microsoft Sentinel 之間的整合可協助組織快速偵測多階段攻擊,這通常跨越 IT 和 OT 界限。
此連接器可讓您將適用於 IoT 的 Microsoft Defender 資料串流至 Microsoft Sentinel,讓您在更廣泛的組織威脅內容中檢視、分析與回應適用於 IoT 的 Defender 警示及其產生的事件。
在本教學課程中,您將了解如何:
- 將適用於 IoT 的 Defender 資料連線至 Microsoft Sentinel
- 使用 Log Analytics 以查詢適用於 IoT 的 Defender 警示資料
必要條件
開始前請確定您在工作區上具有下列需求:
您 Microsoft Sentinel 工作區的 [讀取和 [寫入]權限。 如需詳細資訊,請參閱 Microsoft Sentinel 中的權限。
您想要連線至 Microsoft Sentinel 之訂用帳戶的「參與者」或「擁有者」權限。
Azure 訂用帳戶上的適用於 IoT 的 Defender 方案,其資料串流至適用於 IoT 的 Defender。 如需詳細資訊,請參閱快速入門:開始使用適用於 IoT 的 Defender。
重要
目前在相同的 Microsoft Sentinel 工作區上同時啟用適用於 IoT 的 Microsoft Defender 和適用於雲端的 Microsoft Defender 資料連接器,可能會導致 Microsoft Sentinel 中出現重複警示。 建議您先中斷連接適用於雲端的 Microsoft Defender 資料連接器,再連接至適用於 IoT 的 Microsoft Defender。
將資料從適用於 IoT 的 Defender 連接至 Microsoft Sentinel
首先啟用適用於 IoT 的 Defender 資料連接器,將所有適用於 IoT 的 Defender 事件串流至 Microsoft Sentinel。
如何啟用適用於 IoT 的 Defender 資料連接器:
在 Microsoft Sentinel 的 [設定] 下,選取 [資料連接器] 後找到適用於 IoT 的 Defender 資料連接器。
選取右下角的 [開啟連接器頁面]。
在 [指示] 索引標籤上的 [設定] 下,針對您想要串流至 Microsoft Sentinel 的警示和裝置警示的每個訂閱選取 [連線]。
如果您已進行任何連線變更,可能需要 10 秒以上的時間,才能更新 [訂閱] 清單。
如需詳細資訊,請參閱將 Microsoft Sentinel 連線至 Azure、Windows、Microsoft 和 Amazon 服務。
檢視適用於 IoT 的 Defender 警示
將訂用帳戶連線至 Microsoft Sentinel 之後,您將可以在 Microsoft Sentinel [記錄] 區域中檢視適用於 IoT 的 Defender 警示。
在 Microsoft Sentinel 中選取 [記錄]>[AzureSecurityOfThings]>[SecurityAlert],或搜尋 SecurityAlert。
使用下列範例查詢來篩選記錄,並檢視適用於 IoT 的 Defender 產生的警示:
如何查看適用於 IoT 的 Defender 產生的所有警示:
SecurityAlert | where ProductName == "Azure Security Center for IoT"如何查看適用於 IoT 的 Defender 產生的特定感應器警示:
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where tostring(parse_json(ExtendedProperties).SensorId) == “<sensor_name>”如何查看適用於 IoT 的 Defender 產生的特定 OT 引擎警示:
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "MALWARE" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "ANOMALY" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "PROTOCOL_VIOLATION" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "POLICY_VIOLATION" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "OPERATIONAL"如何查看適用於 IoT 的 Defender 產生的高嚴重性警示:
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where AlertSeverity == "High"如何查看適用於 IoT 的 Defender 產生的特定通訊協定警示:
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where tostring(parse_json(ExtendedProperties).Protocol) == "<protocol_name>"
注意
Microsoft Sentinel 中的 [記錄] 頁面是以 Azure 監視器的 Log Analytics 為基礎。
如需詳細資訊,請參閱 Azure 監視器檔中的記錄查詢概觀和撰寫您的第一個 KQL 查詢學習課程模組。
了解警示時間戳記
在 Azure 入口網站中和感應器主控台上,適用於 IoT 的 Defender 警示都會追蹤第一次和上次偵測到警示的時間,以及警示上次變更的時間。
下表描述適用於 IoT 的 Defender 警示時間戳記欄位,並對應至 Microsoft Sentinel 中顯示的 Log Analytics 相關欄位。
| 適用於 IoT 的 Defender 欄位 | 描述 | Log Analytics 欄位 |
|---|---|---|
| 第一次偵測 | 定義網路中第一次偵測到警示的時間。 | StartTime |
| 上次偵測 | 定義網路中上次偵測到警示的時間,並取代 [偵測時間] 資料行。 | EndTime |
| 上次活動 | 定義上次變更警示的時間,包括手動更新嚴重性或狀態,或是自動變更裝置更新或刪除重複的裝置/警示 | TimeGenerated |
在 Azure 入口網站和感應器主控台上,適用於 IoT 的 Defender 會預設顯示 [上次偵測] 資料行。 編輯 [警示] 頁面上的資料行,並視需要顯示 [第一個偵測] 和 [上次活動] 資料行。
如需詳細資訊,請參閱在適用於 IoT 的 Defender 入口網站上檢視警示和檢視感應器上的警示。
了解每個警示的多個記錄
適用於 IoT 的 Defender 警示資料會串流至 Microsoft Sentinel,並儲存在 SecurityAlert 資料表的 Log Analytics 工作區。
每次在適用於 IoT 的 Defender 中產生或更新警示時,都會建立 SecurityAlert 資料表中的記錄。 有時候,單一警示會有多個記錄,例如警示在第一次建立後更新時再次出現時。
在 Microsoft Sentinel 中,使用下列查詢來檢查在 SecurityAlert 資料表中新增的記錄是否有單一警示:
SecurityAlert
| where ProductName == "Azure Security Center for IoT"
| where VendorOriginalId == "Defender for IoT Alert ID"
| sort by TimeGenerated desc
警示狀態或嚴重性的更新會立即在 SecurityAlert 資料表中產生新記錄。
其他類型更新的彙總時間長達 12 小時,SecurityAlert 資料表中的新記錄只會反映最新的變更。 彙總更新的範例包括:
- 上次偵測時間的更新,例如多次偵測到相同警示時
- 新的裝置會新增至現有的警示
- 警示的裝置屬性已更新
下一步
「適用於 IoT 的 Microsoft Defender」解決方案是特別針對適用於 IoT 的 Defender 資料所設定的一組配套且現成可用內容,並且包括分析規則、活頁簿和劇本。