Uzyskiwanie dostępu do danych zabezpieczeń
Usługa Defender dla IoT przechowuje alerty zabezpieczeń, zalecenia i nieprzetworzone dane zabezpieczeń (jeśli zdecydujesz się je zapisać) w obszarze roboczym usługi Log Analytics.
Log Analytics
Aby skonfigurować, który obszar roboczy usługi Log Analytics jest używany:
- Otwórz centrum IoT Hub.
- Wybierz blok Ustawienia w sekcji Zabezpieczenia.
- Wybierz pozycję Zbieranie danych i zmień konfigurację obszaru roboczego usługi Log Analytics.
Aby uzyskać dostęp do alertów i zaleceń w obszarze roboczym usługi Log Analytics po konfiguracji:
- Wybierz alert lub zalecenie w usłudze Defender dla IoT.
- Wybierz dalsze badanie, a następnie wybierz pozycję Aby sprawdzić, które urządzenia mają ten alert, kliknij tutaj i wyświetl kolumnę DeviceId.
Aby uzyskać szczegółowe informacje na temat wykonywania zapytań dotyczących danych z usługi Log Analytics, zobacz Rozpoczynanie pracy z zapytaniami dzienników w usłudze Azure Monitor.
Alerty zabezpieczeń
Alerty zabezpieczeń są przechowywane w tabeli AzureSecurityOfThings.SecurityAlert w obszarze roboczym usługi Log Analytics skonfigurowanym dla rozwiązania Defender for IoT.
Udostępniamy wiele przydatnych zapytań, które ułatwiają rozpoczęcie eksplorowania alertów zabezpieczeń.
Przykładowe rekordy
Wybierz kilka losowych rekordów
// Select a few random records
//
SecurityAlert
| project
TimeGenerated,
IoTHubId=ResourceId,
DeviceId=tostring(parse_json(ExtendedProperties)["DeviceId"]),
AlertSeverity,
DisplayName,
Description,
ExtendedProperties
| take 3
| TimeGenerated | Identyfikator IoTHubId | DeviceId | Zależnie od alertów | DisplayName | opis | Właściwości rozszerzone |
|---|---|---|---|---|---|---|
| 2018-11-18T18:10:29.000 | /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Wys. | Atak siłowy zakończył się pomyślnie | Atak siłowy na urządzenie zakończył się powodzeniem | { "Pełny adres źródłowy": "["10.165.12.18:"]", "Nazwy użytkowników": "[""]", "DeviceId": "IoT-Device-Linux" } |
| 2018-11-19T12:40:31.000 | /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Wys. | Pomyślne logowanie lokalne na urządzeniu | Wykryto pomyślne logowanie lokalne na urządzeniu | { "Remote Address": "?", "Remote Port": "", "Local Port": "", "Login Shell": "/bin/su", "Identyfikator procesu logowania": "28207", "User Name": "osoba atakująca", "DeviceId": "IoT-Device-Linux" } |
| 2018-11-19T12:40:31.000 | /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Wys. | Nieudana próba logowania lokalnego na urządzeniu | Wykryto nieudaną próbę logowania lokalnego na urządzeniu | { "Remote Address": "?", "Remote Port": "", "Local Port": "", "Login Shell": "/bin/su", "Identyfikator procesu logowania": "22644", "User Name": "osoba atakująca", "DeviceId": "IoT-Device-Linux" } |
Podsumowanie urządzenia
Uzyskaj liczbę unikatowych alertów zabezpieczeń wykrytych w ostatnim tygodniu pogrupowanych według usługi IoT Hub, urządzenia, ważności alertu, typu alertu.
// Get the number of distinct security alerts detected in the last week, grouped by
// IoT hub, device, alert severity, alert type
//
SecurityAlert
| where TimeGenerated > ago(7d)
| summarize Cnt=dcount(SystemAlertId) by
IoTHubId=ResourceId,
DeviceId=tostring(parse_json(ExtendedProperties)["DeviceId"]),
AlertSeverity,
DisplayName
| Identyfikator IoTHubId | DeviceId | Zależnie od alertów | DisplayName | Count |
|---|---|---|---|---|
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Wys. | Atak siłowy zakończył się pomyślnie | 9 |
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Śred. | Nieudana próba logowania lokalnego na urządzeniu | 242 |
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Wys. | Pomyślne logowanie lokalne na urządzeniu | 31 |
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Śred. | Crypto Coin Miner | 100 |
Podsumowanie centrum IoT
Wybierz kilka różnych urządzeń, które miały alerty w ostatnim tygodniu, według usługi IoT Hub, ważności alertu, typu alertu
// Select number of distinct devices which had alerts in the last week, by
// IoT hub, alert severity, alert type
//
SecurityAlert
| where TimeGenerated > ago(7d)
| extend DeviceId=tostring(parse_json(ExtendedProperties)["DeviceId"])
| summarize CntDevices=dcount(DeviceId) by
IoTHubId=ResourceId,
AlertSeverity,
DisplayName
| Identyfikator IoTHubId | Zależnie od alertów | DisplayName | CntDevices |
|---|---|---|---|
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | Wys. | Atak siłowy zakończył się pomyślnie | 1 |
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | Śred. | Nieudana próba logowania lokalnego na urządzeniu | 1 |
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | Wys. | Pomyślne logowanie lokalne na urządzeniu | 1 |
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | Śred. | Crypto Coin Miner | 1 |
Zalecenia dotyczące zabezpieczeń
Zalecenia dotyczące zabezpieczeń są przechowywane w tabeli AzureSecurityOfThings.SecurityRecommendation w obszarze roboczym usługi Log Analytics skonfigurowanym dla rozwiązania Defender for IoT.
Udostępniamy wiele przydatnych zapytań, które ułatwiają rozpoczęcie eksplorowania zaleceń dotyczących zabezpieczeń.
Przykładowe rekordy
Wybierz kilka losowych rekordów
// Select a few random records
//
SecurityRecommendation
| project
TimeGenerated,
IoTHubId=AssessedResourceId,
DeviceId,
RecommendationSeverity,
RecommendationState,
RecommendationDisplayName,
Description,
RecommendationAdditionalData
| take 2
| TimeGenerated | Identyfikator IoTHubId | DeviceId | RekomendacjeEverity | RecommendationState | RecommendationDisplayName | opis | ZalecenieAdditionalData |
|---|---|---|---|---|---|---|---|
| 2019-03-22T10:21:06.060 | /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Śred. | Aktywne | Znaleziono regułę zapory permissive w łańcuchu danych wejściowych | Znaleziono regułę w zaporze, która zawiera wzorzec permissywny dla szerokiego zakresu adresów IP lub portów | {"Rules":"[{"SourceAddress":"","SourcePort":"","DestinationAddress":"","DestinationPort":"1337"}]"} |
| 2019-03-22T10:50:27.237 | /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Śred. | Aktywne | Znaleziono regułę zapory permissive w łańcuchu danych wejściowych | Znaleziono regułę w zaporze, która zawiera wzorzec permissywny dla szerokiego zakresu adresów IP lub portów | {"Rules":"[{"SourceAddress":"","SourcePort":"","DestinationAddress":"","DestinationPort":"1337"}]"} |
Podsumowanie urządzenia
Uzyskaj liczbę odrębnych aktywnych zaleceń dotyczących zabezpieczeń, pogrupowanych według usługi IoT Hub, urządzenia, ważności rekomendacji i typu.
// Get the number of distinct active security recommendations, grouped by
// IoT hub, device, recommendation severity and type
//
SecurityRecommendation
| extend IoTHubId=AssessedResourceId
| summarize CurrentState=arg_max(RecommendationState, DiscoveredTimeUTC) by IoTHubId, DeviceId, RecommendationSeverity, RecommendationDisplayName
| where CurrentState == "Active"
| summarize Cnt=count() by IoTHubId, DeviceId, RecommendationSeverity
| Identyfikator IoTHubId | DeviceId | RekomendacjeEverity | Count |
|---|---|---|---|
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Wys. | 2 |
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Śred. | 1 |
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Wys. | 1 |
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Śred. | 100 |
Następne kroki
- Przeczytaj omówienie usługi Defender for IoT
- Dowiedz się więcej o usłudze Defender dla IoT Co to jest rozwiązanie oparte na agencie dla konstruktorów urządzeń
- Omówienie i eksplorowanie alertów usługi Defender dla IoT
- Omówienie i eksplorowanie zaleceń usługi Defender dla IoT