Toegang tot uw beveiligingsgegevens
Defender for IoT slaat beveiligingswaarschuwingen, aanbevelingen en onbewerkte beveiligingsgegevens op (als u deze opslaat) in uw Log Analytics-werkruimte.
Log Analytics
Ga als volgt te werk om te configureren welke Log Analytics-werkruimte wordt gebruikt:
- Open uw IoT-hub.
- Selecteer de blade Instellingen onder de sectie Beveiliging .
- Selecteer Gegevensverzameling en wijzig de configuratie van uw Log Analytics-werkruimte.
Om na de configuratie toegang te krijgen tot uw waarschuwingen en aanbevelingen in uw Log Analytics-werkruimte:
- Kies een waarschuwing of aanbeveling in Defender for IoT.
- Selecteer nader onderzoek en selecteer vervolgens Om te zien welke apparaten deze waarschuwing hebben, klikt u hier en bekijkt u de kolom DeviceId.
Zie Aan de slag met logboekquery's in Azure Monitor voor meer informatie over het uitvoeren van query's op gegevens uit Log Analytics.
Beveiligingswaarschuwingen
Beveiligingswaarschuwingen worden opgeslagen in de tabel AzureSecurityOfThings.SecurityAlert in de Log Analytics-werkruimte die is geconfigureerd voor de Defender for IoT-oplossing.
We bieden veel nuttige query's om u te helpen aan de slag te gaan met het verkennen van beveiligingswaarschuwingen.
Voorbeeldrecords
Een paar willekeurige records selecteren
// Select a few random records
//
SecurityAlert
| project
TimeGenerated,
IoTHubId=ResourceId,
DeviceId=tostring(parse_json(ExtendedProperties)["DeviceId"]),
AlertSeverity,
DisplayName,
Description,
ExtendedProperties
| take 3
| TimeGenerated | IoTHubId | DeviceId | AlertSeverity | DisplayName | Beschrijving | ExtendedProperties |
|---|---|---|---|---|---|---|
| 2018-11-18T18:10:29.000 | /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Hoog | Beveiligingsaanval is geslaagd | Een Brute Force-aanval op het apparaat is geslaagd | { "Volledig bronadres": "["10.165.12.18:"]", "Gebruikersnamen": "[""]", "DeviceId": "IoT-Device-Linux" } |
| 2018-11-19T12:40:31.000 | /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Hoog | Geslaagde lokale aanmelding op apparaat | Er is een geslaagde lokale aanmelding bij het apparaat gedetecteerd | { "Remote Address": "?", "Remote Port": "", "Local Port": "", "Login Shell": "/bin/su", "Login Process Id": "28207", "User Name": "attacker", "DeviceId": "IoT-Device-Linux" } |
| 2018-11-19T12:40:31.000 | /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Hoog | Mislukte lokale aanmeldingspoging op apparaat | Er is een mislukte lokale aanmeldingspoging naar het apparaat gedetecteerd | { "Remote Address": "?", "Remote Port": "", "Local Port": "", "Login Shell": "/bin/su", "Login Process Id": "22644", "User Name": "attacker", "DeviceId": "IoT-Device-Linux" } |
Apparaatoverzicht
Haal het aantal afzonderlijke beveiligingswaarschuwingen op dat in de afgelopen week is gedetecteerd, gegroepeerd op IoT Hub, apparaat, ernst van waarschuwing, waarschuwingstype.
// Get the number of distinct security alerts detected in the last week, grouped by
// IoT hub, device, alert severity, alert type
//
SecurityAlert
| where TimeGenerated > ago(7d)
| summarize Cnt=dcount(SystemAlertId) by
IoTHubId=ResourceId,
DeviceId=tostring(parse_json(ExtendedProperties)["DeviceId"]),
AlertSeverity,
DisplayName
| IoTHubId | DeviceId | AlertSeverity | DisplayName | Tellen |
|---|---|---|---|---|
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Hoog | Beveiligingsaanval is geslaagd | 9 |
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Gemiddeld | Mislukte lokale aanmeldingspoging op apparaat | 242 |
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Hoog | Geslaagde lokale aanmelding op apparaat | 31 |
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Gemiddeld | Crypto Coin Miner | 4 |
Overzicht van IoT Hub
Selecteer een aantal afzonderlijke apparaten met waarschuwingen in de afgelopen week, per IoT Hub, ernst van waarschuwing, waarschuwingstype
// Select number of distinct devices which had alerts in the last week, by
// IoT hub, alert severity, alert type
//
SecurityAlert
| where TimeGenerated > ago(7d)
| extend DeviceId=tostring(parse_json(ExtendedProperties)["DeviceId"])
| summarize CntDevices=dcount(DeviceId) by
IoTHubId=ResourceId,
AlertSeverity,
DisplayName
| IoTHubId | AlertSeverity | DisplayName | CntDevices |
|---|---|---|---|
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | Hoog | Beveiligingsaanval is geslaagd | 1 |
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | Gemiddeld | Mislukte lokale aanmeldingspoging op apparaat | 1 |
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | Hoog | Geslaagde lokale aanmelding op apparaat | 1 |
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | Gemiddeld | Crypto Coin Miner | 1 |
Aanbevelingen voor beveiliging
Beveiligingsaanbevelingen worden opgeslagen in de tabel AzureSecurityOfThings.SecurityRecommendation in de Log Analytics-werkruimte die is geconfigureerd voor de Defender for IoT-oplossing.
We bieden veel nuttige query's om u te helpen bij het verkennen van beveiligingsaankopen.
Voorbeeldrecords
Een paar willekeurige records selecteren
// Select a few random records
//
SecurityRecommendation
| project
TimeGenerated,
IoTHubId=AssessedResourceId,
DeviceId,
RecommendationSeverity,
RecommendationState,
RecommendationDisplayName,
Description,
RecommendationAdditionalData
| take 2
| TimeGenerated | IoTHubId | DeviceId | Aanbevelingseverity | RecommendationState | RecommendationDisplayName | Beschrijving | RecommendationAdditionalData |
|---|---|---|---|---|---|---|---|
| 2019-03-22T10:21:06.060 | /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Gemiddeld | Actief | Er is een permissieve firewallregel gevonden in de invoerketen | Er is een regel in de firewall gevonden die een missief patroon bevat voor een breed scala aan IP-adressen of poorten | {"Regels":"[{"SourceAddress":"","SourcePort":"","DestinationAddress":""","DestinationPort":"1337"}]"} |
| 2019-03-22T10:50:27.237 | /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Gemiddeld | Actief | Er is een permissieve firewallregel gevonden in de invoerketen | Er is een regel in de firewall gevonden die een missief patroon bevat voor een breed scala aan IP-adressen of poorten | {"Regels":"[{"SourceAddress":"","SourcePort":"","DestinationAddress":""","DestinationPort":"1337"}]"} |
Apparaatoverzicht
Haal het aantal afzonderlijke actieve beveiligingsaanaanvelingen op, gegroepeerd op IoT Hub, apparaat, ernst van aanbeveling en type.
// Get the number of distinct active security recommendations, grouped by
// IoT hub, device, recommendation severity and type
//
SecurityRecommendation
| extend IoTHubId=AssessedResourceId
| summarize CurrentState=arg_max(RecommendationState, DiscoveredTimeUTC) by IoTHubId, DeviceId, RecommendationSeverity, RecommendationDisplayName
| where CurrentState == "Active"
| summarize Cnt=count() by IoTHubId, DeviceId, RecommendationSeverity
| IoTHubId | DeviceId | Aanbevelingseverity | Tellen |
|---|---|---|---|
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Hoog | 2 |
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Gemiddeld | 1 |
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Hoog | 1 |
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Gemiddeld | 4 |
Volgende stappen
- Lees het overzicht van Defender for IoT
- Meer informatie over Defender for IoT Wat is een oplossing op basis van agents voor apparaatbouwers
- Defender for IoT-waarschuwingen begrijpen en verkennen
- Defender for IoT-aanbevelingen begrijpen en verkennen