Tutorial: Conexión de Microsoft Defender para IoT con Microsoft Sentinel
Microsoft Defender para IoT permite proteger todo el entorno de OT y Enterprise IoT, independientemente de que necesite proteger dispositivos existentes o incorporar seguridad a las innovaciones.
Microsoft Sentinel y Microsoft Defender para IoT ayudan a reducir la brecha entre los desafíos de seguridad de TI y OT, así como a capacitar a los equipos de SOC con funcionalidades integradas para detectar amenazas de seguridad y responder a ellas de forma eficaz. La integración entre Microsoft Defender para IoT y Microsoft Sentinel ayuda a las organizaciones a detectar rápidamente ataques de varias fases, que a menudo cruzan los límites de TI y OT.
Este conector le permite transmitir Microsoft Defender para IoT a Microsoft Sentinel, para que pueda ver y analizar estas alertas, y responder a alertas de Defender para IoT, así como a los incidentes que generan, en un contexto de amenaza a la organización más amplio.
En este tutorial, aprenderá a:
- Conectar datos de Defender para IoT a Microsoft Sentinel
- Usar Log Analytics para consultar datos de alerta a Defender para IoT
Requisitos previos
Antes de empezar, asegúrese de que cumple los requisitos siguientes en el área de trabajo:
Permisos de lectura y escritura en el área de trabajo de Microsoft Sentinel. Para más información, consulte Permisos de Microsoft Sentinel.
Permisos de colaborador o propietario en la suscripción que desea conectar a Microsoft Sentinel.
Un plan de Defender para IoT en la suscripción de Azure con streaming de datos en Defender para IoT. Para obtener más información, consulte Guía de inicio rápido: Introducción a Defender para IoT.
Importante
Actualmente, si se tienen los conectores de datos de Microsoft Defender para IoT y Microsoft Defender for Cloud habilitados simultáneamente en la misma área de trabajo de Microsoft Sentinel, pueden producirse alertas duplicadas en Microsoft Sentinel. Se recomienda desconectar el conector de datos de Microsoft Defender for Cloud antes de conectarse a Microsoft Defender para IoT.
Conexión de los datos de Defender para IoT con Microsoft Sentinel
Para empezar, habilite el conector de datos de Defender para IoT a fin de transmitir todos los eventos de esta solución a Microsoft Sentinel.
Para habilitar el conector de datos de Defender para IoT:
En Microsoft Sentinel, en Configuración, seleccione Conectores de datos y, luego, busque el conector de datos de Microsoft Defender para IoT.
En la parte inferior derecha, seleccione Open connector page (Abrir página del conector).
En la pestaña Instrucciones, en Configuración, seleccione Conectar junto a cada suscripción cuyas alertas y alertas de dispositivo quiera transmitir a Microsoft Sentinel.
Si ha realizado cambios en la conexión, la lista de Suscripción puede tardar 10 segundos o más en actualizarse.
Para obtener más información, consulte Conexión de Microsoft Sentinel a servicios de Azure, Windows, Microsoft y Amazon.
Visualización de alertas de Defender para IoT
Después de conectar una suscripción a Microsoft Sentinel, podrá ver las alertas de Defender para IoT en el área Registros de Microsoft Sentinel.
En Microsoft Sentinel, seleccione Registros > AzureSecurityOfThings > SecurityAlert, o bien busque SecurityAlert.
Use las siguientes consultas de ejemplo para filtrar los registros y ver las alertas que genere Defender para IoT:
Para ver todas las alertas generadas por Defender para IoT:
SecurityAlert | where ProductName == "Azure Security Center for IoT"
Para ver alertas específicas del sensor generadas por Defender para IoT:
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where tostring(parse_json(ExtendedProperties).SensorId) == “<sensor_name>”
Para ver alertas específicas del motor de OT generadas por Defender para IoT:
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "MALWARE" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "ANOMALY" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "PROTOCOL_VIOLATION" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "POLICY_VIOLATION" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "OPERATIONAL"
Para ver las alertas de gravedad alta generadas por Defender para IoT:
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where AlertSeverity == "High"
Para ver alertas específicas de protocolo generadas por Defender para IoT:
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where tostring(parse_json(ExtendedProperties).Protocol) == "<protocol_name>"
Nota
La página Registros de Microsoft Sentinel se basa en Log Analytics de Azure Monitor.
Para obtener más información, consulte la introducción a las consultas de registro en la documentación de Azure Monitor y el módulo de Learn Escritura de la primera consulta de KQL.
Descripción de las marcas de tiempo de alerta
En las alertas de Defender para IoT, tanto en Azure Portal como en la consola del sensor, realice el seguimiento de la hora a la que se ha detectado una alerta por primera vez, por última vez y cuándo se ha cambiado por última vez.
En la tabla siguiente se describen los campos de marca de tiempo de alerta de Defender para IoT, con una asignación a los campos pertinentes de Log Analytics que se muestran en Microsoft Sentinel.
Campo de Defender para IoT | Descripción | Campo de Log Analytics |
---|---|---|
Primera detección | Define la primera vez que la alerta se ha detectado en la red. | StartTime |
Última detección | Define la última vez que se ha detectado la alerta en la red y reemplaza la columna Hora de detección. | EndTime |
Última actividad | Define la última vez que se ha cambiado la alerta, incluidas las actualizaciones manuales de gravedad o estado, o bien los cambios automatizados para actualizaciones de dispositivos o desduplicación de alertas o dispositivos | TimeGenerated |
En Defender para IoT en Azure Portal y la consola del sensor, la columna Última detección se muestra de forma predeterminada. Edite las columnas de la página Alertas para mostrar las columnas Primera detección y Última actividad según sea necesario.
Para más información, vea Visualización de alertas en el portal de Defender para IoT y Visualización de alertas en el sensor.
Descripción de varios registros por alerta
Los datos de alertas de Defender para IoT se transmiten a Microsoft Sentinel y se almacenan en el área de trabajo de Log Analytics, en la tabla SecurityAlert.
Los registros de la tabla SecurityAlert se crean cada vez que se genera o actualiza una alerta en Defender para IoT. A veces, una sola alerta tendrá varios registros, como cuando se creó por primera vez la alerta y, después, cuando se actualizó.
En Microsoft Sentinel, use la siguiente consulta para comprobar los registros agregados a la tabla SecurityAlert para obtener una sola alerta:
SecurityAlert
| where ProductName == "Azure Security Center for IoT"
| where VendorOriginalId == "Defender for IoT Alert ID"
| sort by TimeGenerated desc
Las actualizaciones para el estado de alerta o la gravedad generan registros nuevos en la tabla SecurityAlert inmediatamente.
Otros tipos de actualizaciones se agregan en hasta 12 horas y los nuevos registros de la tabla SecurityAlert solo reflejan el cambio más reciente. Entre los ejemplos de actualizaciones agregadas se incluyen:
- Novedades en la última hora de detección, como cuando se detecta la misma alerta varias veces.
- Se agrega un nuevo dispositivo a una alerta existente.
- Las propiedades del dispositivo de una alerta se actualizan.
Pasos siguientes
La solución Microsoft Defender para IoT es un conjunto de contenido integrado y listo para usar configurado específicamente para los datos de Defender para IoT e incluye reglas de análisis, libros y cuadernos de estrategias.