Zugreifen auf Sicherheitsdaten
Defender für IoT speichert Sicherheitswarnungen, Empfehlungen und Sicherheitsrohdaten (falls Sie diese speichern möchten) in Ihrem Log Analytics-Arbeitsbereich.
Log Analytics
So konfigurieren Sie, wie der Log Analytics-Arbeitsbereich verwendet wird:
- Öffnen Sie Ihren IoT Hub.
- Wählen Sie im Abschnitt Sicherheit das Blatt Einstellungen aus.
- Wählen Sie Datensammlung aus, und ändern Sie die Konfiguration für Ihren Log Analytics-Arbeitsbereich.
So greifen Sie nach der Konfiguration auf Ihre Warnungen und Empfehlungen in Ihrem Log Analytics-Arbeitsbereich zu:
- Wählen Sie eine Warnung oder Empfehlung in Defender für IoT aus.
- Wählen Sie Weitere Untersuchungen und dann Klicken Sie hier, und zeigen Sie die Spalte „DeviceId“ an, um die Geräte mit dieser Warnung anzuzeigen aus.
Ausführliche Informationen zum Abfragen von Daten aus Log Analytics finden Sie unter Erste Schritte mit Protokollabfragen in Azure Monitor.
Sicherheitswarnungen
Sicherheitswarnungen werden in der Tabelle AzureSecurityOfThings.SecurityAlert im Log Analytics-Arbeitsbereich gespeichert, der für die Defender für IoT-Lösung konfiguriert wurde.
Wir stellen viele nützliche Abfragen zur Verfügung, die Ihnen den Einstieg in die Untersuchung von Sicherheitswarnungen erleichtern.
Musterdatensätze
Auswählen einiger zufälliger Datensätze
// Select a few random records
//
SecurityAlert
| project
TimeGenerated,
IoTHubId=ResourceId,
DeviceId=tostring(parse_json(ExtendedProperties)["DeviceId"]),
AlertSeverity,
DisplayName,
Description,
ExtendedProperties
| take 3
| TimeGenerated | IoTHubId | deviceId | AlertSeverity | DisplayName | BESCHREIBUNG | ExtendedProperties |
|---|---|---|---|---|---|---|
| 2018-11-18T18:10:29 | /subscriptions/<Abonnement-ID>/resourceGroups/<Ressourcengruppe>/providers/Microsoft.Devices/IotHubs/<IoT_Hub> | <Gerätename> | High | Erfolgreicher Brute-Force-Angriff | Ein Brute-Force-Angriff auf dem Gerät war erfolgreich | { "Vollständige Quelladresse": "["10.165.12.18:"]", "Benutzernamen": "[""]", "DeviceId": "IoT-Device-Linux" } |
| 2018-11-19T12:40:31 | /subscriptions/<Abonnement-ID>/resourceGroups/<Ressourcengruppe>/providers/Microsoft.Devices/IotHubs/<IoT_Hub> | <Gerätename> | High | Erfolgreiche lokale Anmeldung auf dem Gerät | Eine erfolgreiche lokale Anmeldung auf dem Gerät wurde erkannt | { "Remoteadresse": "?", "Remoteport": "", "Lokaler Port": "", "Anmeldeshell": "/bin/su", "Anmeldeprozess-ID": "28207", "Benutzername": "Angreifer", "DeviceId": "IoT-Device-Linux" } |
| 2018-11-19T12:40:31 | /subscriptions/<Abonnement-ID>/resourceGroups/<Ressourcengruppe>/providers/Microsoft.Devices/IotHubs/<IoT_Hub> | <Gerätename> | High | Fehler bei lokalem Anmeldeversuch auf dem Gerät | Ein fehlgeschlagener Anmeldeversuch auf dem Gerät wurde erkannt | { "Remoteadresse": "?", "Remoteport": "", "Lokaler Port": "", "Anmeldeshell": "/bin/su", "Anmeldeprozess-ID": "22644", "Benutzername": "Angreifer", "DeviceId": "IoT-Device-Linux" } |
Gerätezusammenfassung
Rufen Sie die Reihe von unterschiedlichen Sicherheitswarnungen ab, die in der letzten Woche erkannt wurden – gruppiert nach IoT Hub, Gerät, Schweregrad der Warnung und Warnungstyp.
// Get the number of distinct security alerts detected in the last week, grouped by
// IoT hub, device, alert severity, alert type
//
SecurityAlert
| where TimeGenerated > ago(7d)
| summarize Cnt=dcount(SystemAlertId) by
IoTHubId=ResourceId,
DeviceId=tostring(parse_json(ExtendedProperties)["DeviceId"]),
AlertSeverity,
DisplayName
| IoTHubId | deviceId | AlertSeverity | DisplayName | Anzahl |
|---|---|---|---|---|
| /subscriptions/<Abonnement-ID>/resourceGroups/<Ressourcengruppe>/providers/Microsoft.Devices/IotHubs/<IoT_Hub> | <Gerätename> | High | Erfolgreicher Brute-Force-Angriff | 9 |
| /subscriptions/<Abonnement-ID>/resourceGroups/<Ressourcengruppe>/providers/Microsoft.Devices/IotHubs/<IoT_Hub> | <Gerätename> | Medium | Fehler bei lokalem Anmeldeversuch auf dem Gerät | 242 |
| /subscriptions/<Abonnement-ID>/resourceGroups/<Ressourcengruppe>/providers/Microsoft.Devices/IotHubs/<IoT_Hub> | <Gerätename> | High | Erfolgreiche lokale Anmeldung auf dem Gerät | 31 |
| /subscriptions/<Abonnement-ID>/resourceGroups/<Ressourcengruppe>/providers/Microsoft.Devices/IotHubs/<IoT_Hub> | <Gerätename> | Medium | Crypto Coin Miner | 4 |
IoT Hub-Zusammenfassung
Wählen Sie Reihe von unterschiedlichen Geräten, für die in der letzten Woche Warnungen aufgetreten sind, nach IoT Hub, Schweregrad der Warnung, Warnungstyp aus.
// Select number of distinct devices which had alerts in the last week, by
// IoT hub, alert severity, alert type
//
SecurityAlert
| where TimeGenerated > ago(7d)
| extend DeviceId=tostring(parse_json(ExtendedProperties)["DeviceId"])
| summarize CntDevices=dcount(DeviceId) by
IoTHubId=ResourceId,
AlertSeverity,
DisplayName
| IoTHubId | AlertSeverity | DisplayName | CntDevices |
|---|---|---|---|
| /subscriptions/<Abonnement-ID>/resourceGroups/<Ressourcengruppe>/providers/Microsoft.Devices/IotHubs/<IoT_Hub> | High | Erfolgreicher Brute-Force-Angriff | 1 |
| /subscriptions/<Abonnement-ID>/resourceGroups/<Ressourcengruppe>/providers/Microsoft.Devices/IotHubs/<IoT_Hub> | Medium | Fehler bei lokalem Anmeldeversuch auf dem Gerät | 1 |
| /subscriptions/<Abonnement-ID>/resourceGroups/<Ressourcengruppe>/providers/Microsoft.Devices/IotHubs/<IoT_Hub> | High | Erfolgreiche lokale Anmeldung auf dem Gerät | 1 |
| /subscriptions/<Abonnement-ID>/resourceGroups/<Ressourcengruppe>/providers/Microsoft.Devices/IotHubs/<IoT_Hub> | Medium | Crypto Coin Miner | 1 |
Sicherheitsempfehlungen
Sicherheitsempfehlungen werden in der Tabelle AzureSecurityOfThings.SecurityRecommendation im Log Analytics-Arbeitsbereich gespeichert, der für die Defender für IoT-Lösung konfiguriert wurde.
Wir stellen viele nützliche Abfragen bereit, die Ihnen den Einstieg in die Untersuchung von Sicherheitsempfehlungen erleichtern.
Musterdatensätze
Auswählen einiger zufälliger Datensätze
// Select a few random records
//
SecurityRecommendation
| project
TimeGenerated,
IoTHubId=AssessedResourceId,
DeviceId,
RecommendationSeverity,
RecommendationState,
RecommendationDisplayName,
Description,
RecommendationAdditionalData
| take 2
| TimeGenerated | IoTHubId | deviceId | RecommendationSeverity | RecommendationState | RecommendationDisplayName | BESCHREIBUNG | RecommendationAdditionalData |
|---|---|---|---|---|---|---|---|
| 2019-03-22T10:21:06.06 | /subscriptions/<Abonnement-ID>/resourceGroups/<Ressourcengruppe>/providers/Microsoft.Devices/IotHubs/<IoT_Hub> | <Gerätename> | Medium | Aktiv | In der INPUT-Kette wurde eine zu wenig einschränkende Firewallregel gefunden | In der Firewall wurde eine Regel gefunden, die ein zu wenig einschränkendes Muster für eine Vielzahl von IP-Adressen oder Ports enthält | {"Rules":"[{"SourceAddress":"","SourcePort":"","DestinationAddress":"","DestinationPort":"1337"}]"} |
| 2019-03-22T10:50:27.237 | /subscriptions/<Abonnement-ID>/resourceGroups/<Ressourcengruppe>/providers/Microsoft.Devices/IotHubs/<IoT_Hub> | <Gerätename> | Medium | Aktiv | In der INPUT-Kette wurde eine zu wenig einschränkende Firewallregel gefunden | In der Firewall wurde eine Regel gefunden, die ein zu wenig einschränkendes Muster für eine Vielzahl von IP-Adressen oder Ports enthält | {"Rules":"[{"SourceAddress":"","SourcePort":"","DestinationAddress":"","DestinationPort":"1337"}]"} |
Gerätezusammenfassung
Rufen Sie die Reihe von unterschiedlichen aktiven Sicherheitsempfehlungen ab – gruppiert nach IoT Hub, Gerät, Empfehlungsschweregrad und Typ.
// Get the number of distinct active security recommendations, grouped by
// IoT hub, device, recommendation severity and type
//
SecurityRecommendation
| extend IoTHubId=AssessedResourceId
| summarize CurrentState=arg_max(RecommendationState, DiscoveredTimeUTC) by IoTHubId, DeviceId, RecommendationSeverity, RecommendationDisplayName
| where CurrentState == "Active"
| summarize Cnt=count() by IoTHubId, DeviceId, RecommendationSeverity
| IoTHubId | deviceId | RecommendationSeverity | Anzahl |
|---|---|---|---|
| /subscriptions/<Abonnement-ID>/resourceGroups/<Ressourcengruppe>/providers/Microsoft.Devices/IotHubs/<IoT_Hub> | <Gerätename> | High | 2 |
| /subscriptions/<Abonnement-ID>/resourceGroups/<Ressourcengruppe>/providers/Microsoft.Devices/IotHubs/<IoT_Hub> | <Gerätename> | Medium | 1 |
| /subscriptions/<Abonnement-ID>/resourceGroups/<Ressourcengruppe>/providers/Microsoft.Devices/IotHubs/<IoT_Hub> | <Gerätename> | High | 1 |
| /subscriptions/<Abonnement-ID>/resourceGroups/<Ressourcengruppe>/providers/Microsoft.Devices/IotHubs/<IoT_Hub> | <Gerätename> | Medium | 4 |
Nächste Schritte
- Lesen der Übersicht über Defender für IoT
- Informationen zu Defender für IoT: Info zu Agent-basierten Lösungen für Gerätehersteller
- Grundlegende und weiterführende Informationen zu für IoT-Warnungen
- Grundlegende und weiterführende Informationen zu für IoT-Empfehlungen