Microsoft Defender for IoT-gegevens visualiseren met Azure Monitor-werkmappen
Azure Monitor-werkmappen bieden grafieken, grafieken en dashboards die visueel gegevens weerspiegelen die zijn opgeslagen in uw Azure Resource Graph-abonnementen en die rechtstreeks beschikbaar zijn in Microsoft Defender for IoT.
Gebruik in De Azure-portal de pagina Defender for IoT-werkmappen om werkmappen weer te geven die door Microsoft zijn gemaakt en die standaard zijn geleverd, of gemaakt door klanten en gedeeld in de community.
Elke werkmapgrafiek of -grafiek is gebaseerd op een ARG-query (Azure Resource Graph) die wordt uitgevoerd op uw gegevens. In Defender for IoT kunt u ARG-query's gebruiken voor het volgende:
- Sensorstatussen verzamelen
- Nieuwe apparaten in uw netwerk identificeren
- Waarschuwingen zoeken met betrekking tot specifieke IP-adressen
- Begrijpen welke waarschuwingen door elke sensor worden gezien
Werkmappen weergeven
Als u kant-en-klare werkmappen wilt weergeven die zijn gemaakt door Microsoft of andere werkmappen die al zijn opgeslagen in uw abonnement:
Ga in Azure Portal naar Defender for IoT en selecteer Werkmappen aan de linkerkant.
Wijzig indien nodig de filteropties en selecteer een werkmap om deze te openen.
Defender for IoT biedt de volgende werkmappen standaard:
- Sensorstatus. Geeft gegevens weer over de status van uw sensor, zoals de softwareversies van de sensorconsole die op uw sensoren zijn geïnstalleerd.
- Waarschuwingen. Geeft gegevens weer over waarschuwingen die op uw sensoren plaatsvinden, waaronder waarschuwingen per sensor, waarschuwingstypen, recente waarschuwingen die zijn gegenereerd en meer.
- (P.R.D). Geeft gegevens weer over uw apparaatinventaris, waaronder apparaten per leverancier, subtype en nieuwe geïdentificeerde apparaten.
- Beveiligingsproblemen. Geeft gegevens weer over de beveiligingsproblemen die zijn gedetecteerd op OT-apparaten in uw netwerk. Selecteer een item in de tabellen Apparaatproblemen, Kwetsbare apparaten of Kwetsbare onderdelen om gerelateerde informatie weer te geven in de tabellen aan de rechterkant.
Aangepaste werkmappen maken
Gebruik de pagina Defender for IoT-werkmappen om aangepaste Azure Monitor-werkmappen rechtstreeks in Defender for IoT te maken.
Selecteer Nieuw op de pagina Werkmappen of open de sjabloonwerkmap om te beginnen met een andere sjabloon en selecteer Bewerken.
Selecteer Toevoegen in de nieuwe werkmap en selecteer de optie die u aan uw werkmap wilt toevoegen. Als u een bestaande werkmap of sjabloon bewerkt, selecteert u de knop Opties (...) aan de rechterkant om het menu Toevoegen te openen.
U kunt een van de volgende elementen toevoegen aan uw werkmap:
Optie Omschrijving Tekst Voeg tekst toe om de grafieken te beschrijven die in uw werkmap worden weergegeven of eventuele extra acties die vereist zijn. Parameters Definieer parameters voor gebruik in de tekst en query's van uw werkmap. Koppelingen/tabbladen Voeg navigatie-elementen toe aan uw werkmap, inclusief lijsten, koppelingen naar andere doelen, extra tabbladen of werkbalken. Query Voeg een query toe die moet worden gebruikt bij het maken van uw werkmapgrafieken en -grafieken.
- Zorg ervoor dat u Azure Resource Graph als uw gegevensbron selecteert en alle relevante abonnementen selecteert.
- Voeg een grafische weergave voor uw gegevens toe door een type te selecteren in de visualisatieopties .Metrische gegevens Voeg metrische gegevens toe die u kunt gebruiken bij het maken van werkmapgrafieken en -grafieken. Groep Voeg groepen toe om uw werkmappen te ordenen in subgebieden. Nadat u voor elke optie alle beschikbare instellingen hebt gedefinieerd, selecteert u de knop Toevoegen... of Uitvoeren... om dat werkmapelement te maken. Voeg bijvoorbeeld een parameter of Query uitvoeren toe.
Tip
U kunt uw query's bouwen in Azure Resource Graph Explorer en deze kopiëren naar uw werkmapquery.
Selecteer op de werkbalk Opslaan of Opslaan als om uw werkmap op te slaan en selecteer Klaar met bewerken.
Selecteer Werkmappen om terug te gaan naar de hoofdwerkmappagina met de volledige lijst met werkmappen .
Referentieparameters in uw query's
Nadat u een parameter hebt gemaakt, kunt u ernaar verwijzen in uw query met behulp van de volgende syntaxis: {ParameterName}
Voorbeeld:
iotsecurityresources
| where type == "microsoft.iotsecurity/sensors"
| extend Name=name
| extend Status= properties.sensorStatus
| where Name=={SensorName}
| project Name,Status
Voorbeeldquery's
Deze sectie bevat voorbeeldquery's die vaak worden gebruikt in Defender for IoT-werkmappen.
Waarschuwingsquery's
Distributie van waarschuwingen over sensoren
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| extend Sensor=properties.extendedProperties.SensorId
| where properties.status!='Closed'
| summarize Alerts=count() by tostring(Sensor)
| sort by Alerts desc
Nieuwe waarschuwingen van de afgelopen 24 uur
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| where properties.status!='Closed'
| extend AlertTime=properties.startTimeUtc
| extend Type=properties.displayName
| where AlertTime > ago(1d)
| project AlertTime, Type
Waarschuwingen per bron-IP-adres
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| extend Type=properties.displayName
| extend Source_IP=properties.extendedProperties.SourceDeviceAddress
| extend Destination_IP=properties.extendedProperties.DestinationDeviceAddress
| where Source_IP=='192.168.10.1'
| project Source_IP, Destination_IP, Type
Apparaatquery's
OT-apparaatinventaris per leverancier
iotsecurityresources
| extend Vendor= properties.hardware.vendor
| where properties.deviceDataSource=='OtSensor'
| summarize Devices=count() by tostring(Vendor)
| sort by Devices
OT-apparaatinventaris per subtype, zoals PLC, ingesloten apparaat, UPS, enzovoort
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| extend SubType=properties.deviceSubTypeDisplayName
| summarize Devices=count() by tostring(SubType)
| sort by Devices
Nieuwe OT-apparaten op sensor-, site- en IPv4-adres
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| extend TimeFirstSeen=properties.firstSeen
| where TimeFirstSeen > ago(1d)
| extend DeviceName=properties.deviceName
| extend Site=properties.sensor.site
| extend Sensor=properties.sensor.name
| extend IPv4=properties.nics.[0].ipv4Address
| where properties.deviceDataSource=='OtSensor'
| project TimeFirstSeen, Site, Sensor, DeviceName, IPv4
Waarschuwingen samenvatten op Purdue-niveau
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| project
resourceId = id,
affectedResource = tostring(properties.extendedProperties.DeviceResourceIds),
id = properties.systemAlertId
| join kind=leftouter (
iotsecurityresources | where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| project
sensor = properties.sensor.name,
zone = properties.sensor.zone,
site = properties.sensor.site,
deviceProperties=properties,
affectedResource = tostring(id)
) on affectedResource
| project-away affectedResource1
| where deviceProperties.deviceDataSource == 'OtSensor'
| summarize Alerts=count() by tostring(deviceProperties.purdueLevel)
Volgende stappen
Meer informatie over het weergeven van dashboards en rapporten in de sensorconsole:
- Query's voor gegevensanalyse uitvoeren
- Rapportage over risicoanalyse
- Dashboards voor trends en statistieken maken
Meer informatie over Azure Monitor-werkmappen en Azure Resource Graph: