Wizualizowanie danych usługi Microsoft Defender dla IoT za pomocą skoroszytów usługi Azure Monitor

Zeszyty usługi Azure Monitor udostępniają grafy, wykresy i pulpity nawigacyjne, które wizualnie odzwierciedlają dane przechowywane w subskrypcjach usługi Azure Resource Graph i są dostępne bezpośrednio w Microsoft Defender dla IoT.

Na portalu Azure użyj strony Skoroszyty usługi Defender for IoT, aby wyświetlić skoroszyty utworzone przez firmę Microsoft i dostarczone jako gotowe do użycia, lub utworzone przez klientów i udostępnione w całej społeczności.

Każdy wykres lub diagram skoroszytu opiera się na zapytaniu Azure Resource Graph (ARG) uruchamianym na Twoich danych. W usłudze Defender dla IoT możesz użyć zapytań ARG do:

• Zbieranie stanów czujników
• Identyfikowanie nowych urządzeń w sieci
• Znajdowanie alertów związanych z określonymi adresami IP
• Zrozum, które alerty są widziane przez każdy czujnik

Wyświetlanie skoroszytów

Aby wyświetlić gotowe skoroszyty utworzone przez firmę Microsoft lub inne skoroszyty już zapisane w ramach Twojej subskrypcji:

1. W witrynie Azure Portal przejdź do usługi Defender dla IoT i wybierz pozycję Skoroszyty po lewej stronie.

   

2. W razie potrzeby zmodyfikuj opcje filtrowania i wybierz skoroszyt, aby go otworzyć.

Usługa Defender dla IoT udostępnia następujące skoroszyty gotowe do użycia:

• Kondycja czujnika. Wyświetla dane dotyczące kondycji czujnika, takie jak wersje oprogramowania konsoli czujnika zainstalowane na czujnikach.
• Alerty. Wyświetla dane dotyczące alertów występujących w czujnikach, w tym alerty według czujnika, typów alertów, wygenerowanych ostatnio alertów i nie tylko.
• Urządzenia Wyświetla dane dotyczące spisu urządzeń, w tym urządzenia według dostawcy, podtypu i zidentyfikowanych nowych urządzeń.
• Luki w zabezpieczeniach. Wyświetla dane dotyczące luk w zabezpieczeniach wykrytych na urządzeniach OT w sieci. Wybierz element w tabelach Luki w zabezpieczeniach urządzeń, Urządzenia podatne lub Składniki podatne, aby zobaczyć powiązane informacje w tabelach po prawej.

Tworzenie skoroszytów niestandardowych

Użyj strony Skoroszyty programu Defender dla IoT, aby utworzyć niestandardowe skoroszyty usługi Azure Monitor bezpośrednio w Defenderze dla IoT.

1. Na stronie Skoroszyty wybierz pozycję Nowy lub, aby rozpocząć od innego szablonu, otwórz skoroszyt szablonu i wybierz pozycję Edytuj.

2. W nowym skoroszycie wybierz pozycję Dodaj i wybierz opcję, którą chcesz dodać do skoroszytu. Jeśli edytujesz istniejący skoroszyt lub szablon, wybierz przycisk opcje (...) po prawej stronie, aby uzyskać dostęp do menu Dodaj .

   Do skoroszytu można dodać dowolny z następujących elementów:

   Opcja	Opis
   Tekst	Dodaj tekst, aby opisać wykresy wyświetlane w skoroszycie lub dowolną dodatkową wymaganą akcję.
   Parametry	Zdefiniuj parametry do użycia w tekście skoroszytu i zapytaniach.
   Łącza/karty	Dodaj elementy nawigacji do skoroszytu, w tym listy, linki do innych elementów docelowych, dodatkowych kart lub pasków narzędzi.
   Zapytanie	Dodaj zapytanie, którego użyjesz do tworzenia wykresów i diagramów w skoroszycie. — Wybierz pozycję Azure Resource Graph jako źródło danych i wybierz wszystkie odpowiednie subskrypcje. — Dodaj graficzną reprezentację danych, wybierając typ z opcji Wizualizacja .
   Metryka	Dodaj metryki do użycia podczas tworzenia wykresów i diagramów skoroszytu.
   Grupa	Dodaj grupy, aby organizować skoroszyty w podregionach.

   Dla każdej opcji po zdefiniowaniu wszystkich dostępnych ustawień wybierz przycisk Dodaj... lub Uruchom, aby utworzyć ten element skoroszytu. Na przykład Dodaj parametr lub Uruchom zapytanie.

   Napiwek

   Możesz tworzyć zapytania w Eksploratorze Azure Resource Graph i kopiować je do zapytania skoroszytu.

3. Na pasku narzędzi wybierz pozycję Zapiszlub Zapisz jako, aby zapisać skoroszyt, a następnie wybierz pozycję Zakończono edytowanie.

4. Wybierz Skoroszyty, aby wrócić do głównej strony skoroszytów z pełną listą skoroszytów.

Odwołuj się do parametrów w zapytaniach

Po utworzeniu parametru odwołaj się do niego w zapytaniu przy użyciu następującej składni: {ParameterName}. Na przykład:

iotsecurityresources
| where type == "microsoft.iotsecurity/sensors"
| extend Name=name
| extend Status= properties.sensorStatus
| where Name=={SensorName}
| project Name,Status

Przykładowe zapytania

Ta sekcja zawiera przykładowe zapytania, które są często używane w skoroszytach usługi Defender dla IoT.

Zapytania dotyczące alertów

Rozkład alertów między czujnikami

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| extend Sensor=properties.extendedProperties.SensorId
| where properties.status!='Closed'
| summarize Alerts=count() by tostring(Sensor)
| sort by Alerts desc

Nowe alerty z ostatnich 24 godzin

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| where properties.status!='Closed'
| extend AlertTime=properties.startTimeUtc
| extend Type=properties.displayName
| where AlertTime > ago(1d)
| project AlertTime, Type

Alerty według źródłowego adresu IP

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| extend Type=properties.displayName
| extend Source_IP=properties.extendedProperties.SourceDeviceAddress
| extend Destination_IP=properties.extendedProperties.DestinationDeviceAddress
| where Source_IP=='192.168.10.1'
| project Source_IP, Destination_IP, Type

Zapytania dotyczące urządzeń

Spis urządzeń OT według dostawcy

iotsecurityresources
| extend Vendor= properties.hardware.vendor
| where properties.deviceDataSource=='OtSensor'
| summarize Devices=count() by tostring(Vendor)
| sort by Devices

Spis urządzeń OT według typu podrzędnego, takiego jak PLC, urządzenie osadzone, UPS itd.

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| extend SubType=properties.deviceSubTypeDisplayName
| summarize Devices=count() by tostring(SubType)
| sort by Devices

Nowe urządzenia OT według czujnika, lokacji i adresu IPv4

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| extend TimeFirstSeen=properties.firstSeen
| where TimeFirstSeen > ago(1d)
| extend DeviceName=properties.deviceName
| extend Site=properties.sensor.site
| extend Sensor=properties.sensor.name
| extend IPv4=properties.nics.[0].ipv4Address
| where properties.deviceDataSource=='OtSensor'
| project TimeFirstSeen, Site, Sensor, DeviceName, IPv4

Podsumuj alerty według poziomu Purdue

iotsecurityresources
    | where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
    | project 
        resourceId = id,
        affectedResource = tostring(properties.extendedProperties.DeviceResourceIds),
        id = properties.systemAlertId
    | join kind=leftouter (
        iotsecurityresources | where type == "microsoft.iotsecurity/locations/devicegroups/devices" 
        | project 
            sensor = properties.sensor.name,
            zone = properties.sensor.zone,
            site = properties.sensor.site,
            deviceProperties=properties,
            affectedResource = tostring(id)
    ) on affectedResource
    | project-away affectedResource1
    | where deviceProperties.deviceDataSource == 'OtSensor'
    | summarize Alerts=count() by tostring(deviceProperties.purdueLevel)

Następne kroki

Dowiedz się więcej o wyświetlaniu pulpitów nawigacyjnych i raportów w konsoli czujnika:

• Uruchamianie zapytań dotyczących wyszukiwania danych
• Raportowanie oceny ryzyka
• Tworzenie pulpitów trendów i statystyk

Dowiedz się więcej o skoroszytach usługi Azure Monitor i usłudze Azure Resource Graph:

• Dokumentacja usługi Azure Resource Graph
• Dokumentacja skoroszytu usługi Azure Monitor
• Dokumentacja języka zapytań Kusto (KQL)