Compartilhar via

Acessar os dados de segurança

  • Artigo

O Defender para IoT armazena alertas de segurança, recomendações e dados brutos de segurança (se você optar por salvá-lo) no espaço de trabalho do Log Analytics.

Log Analytics

Para configurar qual espaço de trabalho do Log Analytics é usado:

  1. Abrir seu Hub IoT.
  2. Selecione a folha Configurações na seção Segurança.
  3. Clique em Coleta de Dados e altere a configuração do workspace do Log Analytics.

Para acessar os alertas e recomendações no espaço de trabalho do Log Analytics após a configuração:

  1. Escolha um alerta ou recomendação no Defender para IoT.
  2. Selecione Investigação adicional, em seguida, clique em Para ver quais dispositivos têm esse alerta, clique aqui e veja a coluna DeviceId.

Para obter mais informações sobre como consultar dados do Log Analytics, confira a Introdução às consultas de log no Azure Monitor.

Alertas de segurança

Os alertas de segurança são armazenados na tabela AzureSecurityOfThings.SecurityAlert no espaço de trabalho do Log Analytics configurado para a solução do Defender para IoT.

Fornecemos muitas consultas úteis para ajudá-lo a começar a explorar os alertas de segurança.

Registros de exemplo

Selecionar alguns registros aleatórios

// Select a few random records
//
SecurityAlert
| project
    TimeGenerated,
    IoTHubId=ResourceId,
    DeviceId=tostring(parse_json(ExtendedProperties)["DeviceId"]),
    AlertSeverity,
    DisplayName,
    Description,
    ExtendedProperties
| take 3
TimeGenerated IoTHubId DeviceId AlertSeverity DisplayName Descrição ExtendedProperties
2018-11-18T18:10:29 /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Alto Ataque de força bruta bem-sucedido Um ataque de força bruta no dispositivo foi bem-sucedido { "Full Source Address": "["10.165.12.18:"]", "User Names": "[""]", "DeviceId": "IoT-Device-Linux" }
2018-11-19T12:40:31 /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Alto Logon local bem-sucedido no dispositivo Foi detectado um logon local bem-sucedido com o dispositivo { "Remote Address": "?", "Remote Port": "", "Local Port": "", "Login Shell": "/bin/su", "Login Process Id": "28207", "User Name": "attacker", "DeviceId": "IoT-Device-Linux" }
2018-11-19T12:40:31 /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Alto Falha na tentativa de logon local no dispositivo Foi detectada uma tentativa falha de logon local no dispositivo { "Remote Address": "?", "Remote Port": "", "Local Port": "", "Login Shell": "/bin/su", "Login Process Id": "22644", "User Name": "attacker", "DeviceId": "IoT-Device-Linux" }

Resumo do dispositivo

Obtenha o número de alertas de segurança distintos detectados na última semana, agrupados por Hub IoT, dispositivo, severidade do alerta, tipo de alerta.

// Get the number of distinct security alerts detected in the last week, grouped by
//   IoT hub, device, alert severity, alert type
//
SecurityAlert
| where TimeGenerated > ago(7d)
| summarize Cnt=dcount(SystemAlertId) by
    IoTHubId=ResourceId,
    DeviceId=tostring(parse_json(ExtendedProperties)["DeviceId"]),
    AlertSeverity,
    DisplayName
IoTHubId DeviceId AlertSeverity DisplayName Contagem
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Alto Ataque de força bruta bem-sucedido 9
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Médio Falha na tentativa de logon local no dispositivo 242
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Alto Logon local bem-sucedido no dispositivo 31
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Médio Miner de moeda de criptografia 4

Resumo do Hub IoT

Selecione um número de dispositivos distintos que tinham alertas na última semana, por Hub IoT, severidade do alerta, tipo de alerta

// Select number of distinct devices which had alerts in the last week, by
//   IoT hub, alert severity, alert type
//
SecurityAlert
| where TimeGenerated > ago(7d)
| extend DeviceId=tostring(parse_json(ExtendedProperties)["DeviceId"])
| summarize CntDevices=dcount(DeviceId) by
    IoTHubId=ResourceId,
    AlertSeverity,
    DisplayName
IoTHubId AlertSeverity DisplayName CntDevices
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> Alto Ataque de força bruta bem-sucedido 1
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> Médio Falha na tentativa de logon local no dispositivo 1
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> Alto Logon local bem-sucedido no dispositivo 1
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> Médio Miner de moeda de criptografia 1

Recomendações de segurança

As recomendações de segurança são armazenados na tabela AzureSecurityOfThings.SecurityAlert no espaço de trabalho do Log Analytics configurado para a solução do Defender para IoT.

Fornecemos várias consultas úteis para ajudá-lo a começar a explorar as recomendações de segurança.

Registros de exemplo

Selecionar alguns registros aleatórios

// Select a few random records
//
SecurityRecommendation
| project
    TimeGenerated,
    IoTHubId=AssessedResourceId,
    DeviceId,
    RecommendationSeverity,
    RecommendationState,
    RecommendationDisplayName,
    Description,
    RecommendationAdditionalData
| take 2
TimeGenerated IoTHubId DeviceId RecommendationSeverity RecommendationState RecommendationDisplayName Descrição RecommendationAdditionalData
2019-03-22T10:21:06.06 /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Médio Ativo Foi encontrada uma regra de firewall permissiva na cadeia de entrada Foi encontrada uma regra no firewall que contém um padrão permissivo para uma grande variedade de endereços de IP ou Portas {"Rules":"[{"SourceAddress":"","SourcePort":"","DestinationAddress":"","DestinationPort":"1337"}]"}
2019-03-22T10:50:27.237 /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Médio Ativo Foi encontrada uma regra de firewall permissiva na cadeia de entrada Foi encontrada uma regra no firewall que contém um padrão permissivo para uma grande variedade de endereços de IP ou Portas {"Rules":"[{"SourceAddress":"","SourcePort":"","DestinationAddress":"","DestinationPort":"1337"}]"}

Resumo do dispositivo

Obtenha o número de recomendações de segurança ativas distintas, agrupadas por Hub IoT, dispositivo, severidade de recomendação e tipo.

// Get the number of distinct active security recommendations, grouped by
//   IoT hub, device, recommendation severity and type
//
SecurityRecommendation
| extend IoTHubId=AssessedResourceId
| summarize CurrentState=arg_max(RecommendationState, DiscoveredTimeUTC) by IoTHubId, DeviceId, RecommendationSeverity, RecommendationDisplayName
| where CurrentState == "Active"
| summarize Cnt=count() by IoTHubId, DeviceId, RecommendationSeverity
IoTHubId DeviceId RecommendationSeverity Contagem
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Alto 2
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Médio 1
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Alta 1
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Médio 4

Próximas etapas