Sdílet prostřednictvím

Přístup k datům zabezpečení

  • Článek

Defender pro IoT ukládá výstrahy zabezpečení, doporučení a nezpracovaná data zabezpečení (pokud se rozhodnete je uložit) do pracovního prostoru služby Log Analytics.

Log Analytics

Konfigurace pracovního prostoru služby Log Analytics:

  1. Otevřete centrum IoT.
  2. V části Zabezpečení vyberte okno Nastavení.
  3. Vyberte Shromažďování dat a změňte konfiguraci pracovního prostoru služby Log Analytics.

Přístup k upozorněním a doporučením v pracovním prostoru služby Log Analytics po konfiguraci:

  1. Zvolte upozornění nebo doporučení v defenderu pro IoT.
  2. Vyberte další šetření a pak vyberte , která zařízení mají toto upozornění, klikněte sem a zobrazte sloupec DeviceId.

Podrobnosti o dotazování dat z Log Analytics najdete v tématu Začínáme s dotazy na protokoly ve službě Azure Monitor.

Výstrahy zabezpečení

Výstrahy zabezpečení se ukládají v tabulce AzureSecurityOfThings.SecurityAlert v pracovním prostoru služby Log Analytics nakonfigurované pro řešení Defender for IoT.

Poskytujeme mnoho užitečných dotazů, které vám pomůžou začít zkoumat výstrahy zabezpečení.

Ukázkové záznamy

Výběr několika náhodných záznamů

// Select a few random records
//
SecurityAlert
| project
    TimeGenerated,
    IoTHubId=ResourceId,
    DeviceId=tostring(parse_json(ExtendedProperties)["DeviceId"]),
    AlertSeverity,
    DisplayName,
    Description,
    ExtendedProperties
| take 3
TimeGenerated IoTHubId DeviceId Výstrahy bez ohledu na to DisplayName Popis ExtendedProperties
2018-11-18T18:10:29.000 /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Vysoká Útok hrubou silou byl úspěšný Útok hrubou silou na zařízení byl úspěšný. { "Úplná zdrojová adresa": "["10.165.12.18:"]", "Uživatelská jména": "[""]", "DeviceId": "IoT-Device-Linux" }
2018-11-19T12:40:31.000 /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Vysoká Úspěšné místní přihlášení na zařízení Bylo zjištěno úspěšné místní přihlášení k zařízení. { "Vzdálená adresa": "?", "Vzdálený port": "", "Místní port": "", "Přihlašovací prostředí": "/bin/su", "Id procesu přihlášení": "28207", "Uživatelské jméno": "útočník", "DeviceId": "IoT-Device-Linux" }
2018-11-19T12:40:31.000 /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Vysoká Neúspěšný místní pokus o přihlášení na zařízení Zjistil se neúspěšný místní pokus o přihlášení k zařízení. { "Remote Address": "?", "Remote Port": "", "Local Port": "", "Login Shell": "/bin/su", "Login Process Id": "22644", "User Name": "attacker", "DeviceId": "IoT-Device-Linux" }

Souhrn zařízení

Získejte počet jedinečných výstrah zabezpečení zjištěných v posledním týdnu seskupených podle ioT Hubu, zařízení, závažnosti výstrahy a typu výstrahy.

// Get the number of distinct security alerts detected in the last week, grouped by
//   IoT hub, device, alert severity, alert type
//
SecurityAlert
| where TimeGenerated > ago(7d)
| summarize Cnt=dcount(SystemAlertId) by
    IoTHubId=ResourceId,
    DeviceId=tostring(parse_json(ExtendedProperties)["DeviceId"]),
    AlertSeverity,
    DisplayName
IoTHubId DeviceId Výstrahy bez ohledu na to DisplayName Počet
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Vysoká Útok hrubou silou byl úspěšný 9
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Střední Neúspěšný místní pokus o přihlášení na zařízení 242
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Vysoká Úspěšné místní přihlášení na zařízení 31
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Střední Crypto Coin Miner 4

Souhrn centra IoT

Vyberte několik různých zařízení, která měla výstrahy v posledním týdnu, podle služby IoT Hub, závažnosti výstrahy a typu výstrahy.

// Select number of distinct devices which had alerts in the last week, by
//   IoT hub, alert severity, alert type
//
SecurityAlert
| where TimeGenerated > ago(7d)
| extend DeviceId=tostring(parse_json(ExtendedProperties)["DeviceId"])
| summarize CntDevices=dcount(DeviceId) by
    IoTHubId=ResourceId,
    AlertSeverity,
    DisplayName
IoTHubId Výstrahy bez ohledu na to DisplayName CntDevices
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> Vysoká Útok hrubou silou byl úspěšný 0
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> Střední Neúspěšný místní pokus o přihlášení na zařízení 0
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> Vysoká Úspěšné místní přihlášení na zařízení 0
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> Střední Crypto Coin Miner 0

Doporučení zabezpečení

Doporučení zabezpečení se ukládají v tabulce AzureSecurityOfThings.SecurityRecommendation v pracovním prostoru služby Log Analytics nakonfigurovaného pro řešení Defender for IoT.

Poskytujeme mnoho užitečných dotazů, které vám pomůžou začít zkoumat doporučení zabezpečení.

Ukázkové záznamy

Výběr několika náhodných záznamů

// Select a few random records
//
SecurityRecommendation
| project
    TimeGenerated,
    IoTHubId=AssessedResourceId,
    DeviceId,
    RecommendationSeverity,
    RecommendationState,
    RecommendationDisplayName,
    Description,
    RecommendationAdditionalData
| take 2
TimeGenerated IoTHubId DeviceId Doporučení bez ohledu na doporučení Stav doporučení RecommendationDisplayName Popis RecommendationAdditionalData
2019-03-22T10:21:06.060 /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Střední Aktivní Bylo nalezeno pravidlo brány firewall pro permisivní v vstupním řetězci. Zjistilo se pravidlo v bráně firewall, které obsahuje vzor pro širokou škálu IP adres nebo portů. {"Rules":"[{"SourceAddress":"","SourcePort":","DestinationAddress":","DestinationPort":"1337"}]"}
2019-03-22T10:50:27.237 /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Střední Aktivní Bylo nalezeno pravidlo brány firewall pro permisivní v vstupním řetězci. Zjistilo se pravidlo v bráně firewall, které obsahuje vzor pro širokou škálu IP adres nebo portů. {"Rules":"[{"SourceAddress":"","SourcePort":","DestinationAddress":","DestinationPort":"1337"}]"}

Souhrn zařízení

Získejte počet jedinečných aktivních doporučení zabezpečení seskupených podle ioT Hubu, zařízení, závažnosti doporučení a typu.

// Get the number of distinct active security recommendations, grouped by
//   IoT hub, device, recommendation severity and type
//
SecurityRecommendation
| extend IoTHubId=AssessedResourceId
| summarize CurrentState=arg_max(RecommendationState, DiscoveredTimeUTC) by IoTHubId, DeviceId, RecommendationSeverity, RecommendationDisplayName
| where CurrentState == "Active"
| summarize Cnt=count() by IoTHubId, DeviceId, RecommendationSeverity
IoTHubId DeviceId Doporučení bez ohledu na doporučení Počet
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Vysoká 2
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Střední 0
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Vysoká 0
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Střední 4

Další kroky