Accedere ai dati di sicurezza
Defender per IoT archivia avvisi di sicurezza, raccomandazioni e dati di sicurezza non elaborati (se si sceglie di salvarli) nell'area di lavoro Log Analitica.
Log Analytics
Per configurare l'area di lavoro Log Analitica viene usata:
- Aprire l'hub IoT.
- Selezionare il pannello Impostazioni nella sezione Sicurezza .
- Selezionare Raccolta dati e modificare la configurazione dell'area di lavoro Log Analitica.
Per accedere agli avvisi e alle raccomandazioni nell'area di lavoro Log Analitica dopo la configurazione:
- Scegliere un avviso o una raccomandazione in Defender per IoT.
- Selezionare altre indagini, quindi selezionare Per visualizzare i dispositivi con questo avviso fare clic qui e visualizzare la colonna DeviceId.
Per informazioni dettagliate sull'esecuzione di query sui dati da Log Analitica, vedere Introduzione alle query di log in Monitoraggio di Azure.
Avvisi di sicurezza
Gli avvisi di sicurezza vengono archiviati nella tabella AzureSecurityOfThings.SecurityAlert nell'area di lavoro Log Analitica configurata per la soluzione Defender per IoT.
Sono disponibili molte query utili per iniziare a esplorare gli avvisi di sicurezza.
Record di esempio
Selezionare alcuni record casuali
// Select a few random records
//
SecurityAlert
| project
TimeGenerated,
IoTHubId=ResourceId,
DeviceId=tostring(parse_json(ExtendedProperties)["DeviceId"]),
AlertSeverity,
DisplayName,
Description,
ExtendedProperties
| take 3
| TimeGenerated | IoTHubId | DeviceId | AlertSeverity | DisplayName | Descrizione | ExtendedProperties |
|---|---|---|---|---|---|---|
| 2018-11-18T18:10:29.000 | /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Alto | Attacco di forza bruta riuscito | Un attacco di forza bruta sul dispositivo è riuscito | { "Full Source Address": "["10.165.12.18:"]", "User Names": "[""]", "DeviceId": "IoT-Device-Linux" } |
| 2018-11-19T12:40:31.000 | /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Alto | Accesso locale riuscito nel dispositivo | È stato rilevato un accesso locale riuscito al dispositivo | { "Remote Address": "?", "Remote Port": "", "Local Port": "", "Login Shell": "/bin/su", "Login Process Id": "28207", "User Name": "attacker", "DeviceId": "IoT-Device-Linux" } |
| 2018-11-19T12:40:31.000 | /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Alto | Tentativo di accesso locale non riuscito nel dispositivo | È stato rilevato un tentativo di accesso locale non riuscito al dispositivo | { "Remote Address": "?", "Remote Port": "", "Local Port": "", "Login Shell": "/bin/su", "Login Process Id": "22644", "User Name": "attacker", "DeviceId": "IoT-Device-Linux" } |
Riepilogo dispositivi
Ottiene il numero di avvisi di sicurezza distinti rilevati nell'ultima settimana, raggruppati per hub IoT, dispositivo, gravità dell'avviso, tipo di avviso.
// Get the number of distinct security alerts detected in the last week, grouped by
// IoT hub, device, alert severity, alert type
//
SecurityAlert
| where TimeGenerated > ago(7d)
| summarize Cnt=dcount(SystemAlertId) by
IoTHubId=ResourceId,
DeviceId=tostring(parse_json(ExtendedProperties)["DeviceId"]),
AlertSeverity,
DisplayName
| IoTHubId | DeviceId | AlertSeverity | DisplayName | Count |
|---|---|---|---|---|
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Alto | Attacco di forza bruta riuscito | 9 |
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Medio | Tentativo di accesso locale non riuscito nel dispositivo | 242 |
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Alto | Accesso locale riuscito nel dispositivo | 31 |
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Medio | Crypto Coin Miner | 4 |
Riepilogo dell'hub IoT
Selezionare un numero di dispositivi distinti con avvisi nell'ultima settimana, per hub IoT, gravità dell'avviso, tipo di avviso
// Select number of distinct devices which had alerts in the last week, by
// IoT hub, alert severity, alert type
//
SecurityAlert
| where TimeGenerated > ago(7d)
| extend DeviceId=tostring(parse_json(ExtendedProperties)["DeviceId"])
| summarize CntDevices=dcount(DeviceId) by
IoTHubId=ResourceId,
AlertSeverity,
DisplayName
| IoTHubId | AlertSeverity | DisplayName | CntDevices |
|---|---|---|---|
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | Alto | Attacco di forza bruta riuscito | 1 |
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | Medio | Tentativo di accesso locale non riuscito nel dispositivo | 1 |
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | Alto | Accesso locale riuscito nel dispositivo | 1 |
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | Medio | Crypto Coin Miner | 1 |
Suggerimenti per la sicurezza
Le raccomandazioni sulla sicurezza vengono archiviate nella tabella AzureSecurityOfThings.SecurityRecommendation nell'area di lavoro Log Analitica configurata per la soluzione Defender per IoT.
Sono disponibili molte query utili per iniziare a esplorare le raccomandazioni sulla sicurezza.
Record di esempio
Selezionare alcuni record casuali
// Select a few random records
//
SecurityRecommendation
| project
TimeGenerated,
IoTHubId=AssessedResourceId,
DeviceId,
RecommendationSeverity,
RecommendationState,
RecommendationDisplayName,
Description,
RecommendationAdditionalData
| take 2
| TimeGenerated | IoTHubId | DeviceId | RaccomandazioneSeverità | RecommendationState | RecommendationDisplayName | Descrizione | RecommendationAdditionalData |
|---|---|---|---|---|---|---|---|
| 2019-03-22T10:21:06.060 | /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Medio | Attive | È stata trovata una regola del firewall permissiva nella catena di input | È stata rilevata una regola nel firewall che contiene un modello permissivo per un'ampia gamma di indirizzi IP o porte | {"Rules":"[{"SourceAddress":"","SourcePort":"","DestinationAddress":"","DestinationPort":"1337"}]"} |
| 2019-03-22T10:50:27.237 | /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Medio | Attive | È stata trovata una regola del firewall permissiva nella catena di input | È stata rilevata una regola nel firewall che contiene un modello permissivo per un'ampia gamma di indirizzi IP o porte | {"Rules":"[{"SourceAddress":"","SourcePort":"","DestinationAddress":"","DestinationPort":"1337"}]"} |
Riepilogo dispositivi
Ottenere il numero di raccomandazioni di sicurezza attive distinte, raggruppate per hub IoT, dispositivo, gravità della raccomandazione e tipo.
// Get the number of distinct active security recommendations, grouped by
// IoT hub, device, recommendation severity and type
//
SecurityRecommendation
| extend IoTHubId=AssessedResourceId
| summarize CurrentState=arg_max(RecommendationState, DiscoveredTimeUTC) by IoTHubId, DeviceId, RecommendationSeverity, RecommendationDisplayName
| where CurrentState == "Active"
| summarize Cnt=count() by IoTHubId, DeviceId, RecommendationSeverity
| IoTHubId | DeviceId | RaccomandazioneSeverità | Count |
|---|---|---|---|
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Alto | 2 |
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Medio | 1 |
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Alto | 1 |
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Medio | 4 |
Passaggi successivi
- Leggere la panoramica di Defender per IoT
- Informazioni su Defender per IoT Che cos'è la soluzione basata su agente per i generatori di dispositivi
- Comprendere ed esplorare gli avvisi di Defender per IoT
- Comprendere ed esplorare le raccomandazioni di Defender per IoT