Partilhar via


Aceda aos seus dados de segurança

O Defender for IoT armazena alertas de segurança, recomendações e dados de segurança brutos (se você optar por salvá-los) em seu espaço de trabalho do Log Analytics.

Log Analytics

Para configurar qual espaço de trabalho do Log Analytics é usado:

  1. Abra seu hub IoT.
  2. Selecione a folha Configurações na seção Segurança .
  3. Selecione Coleta de dados e altere a configuração do espaço de trabalho do Log Analytics.

Para acessar seus alertas e recomendações no espaço de trabalho do Log Analytics após a configuração:

  1. Escolha um alerta ou recomendação no Defender for IoT.
  2. Selecione investigação adicional e, em seguida, selecione Para ver quais dispositivos têm esse alerta, clique aqui e visualize a coluna DeviceId.

Para obter detalhes sobre como consultar dados do Log Analytics, consulte Introdução às consultas de log no Azure Monitor.

Alertas de segurança

Os alertas de segurança são armazenados na tabela AzureSecurityOfThings.SecurityAlert no espaço de trabalho do Log Analytics configurado para a solução Defender for IoT.

Fornecemos muitas consultas úteis para ajudá-lo a começar a explorar alertas de segurança.

Registos de amostras

Selecione alguns registros aleatórios

// Select a few random records
//
SecurityAlert
| project
    TimeGenerated,
    IoTHubId=ResourceId,
    DeviceId=tostring(parse_json(ExtendedProperties)["DeviceId"]),
    AlertSeverity,
    DisplayName,
    Description,
    ExtendedProperties
| take 3
TimeGenerated IoTHubId DeviceId AlertSeverity DisplayName Description ExtendedProperties
2018-11-18T18:10:29.000 /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Alto Ataque de força bruta bem-sucedido Um ataque de força bruta ao dispositivo foi bem-sucedido { "Endereço completo de origem": "["10.165.12.18:"]", "Nomes de usuário": "[""]", "DeviceId": "IoT-Device-Linux" }
2018-11-19T12:40:31.000 /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Alto Login local bem-sucedido no dispositivo Foi detetado um login local bem-sucedido no dispositivo { "Endereço remoto": "?", "Porta remota": "", "Porta local": "", "Shell de login": "/bin/su", "ID do processo de login": "28207", "Nome de usuário": "atacante", "DeviceId": "IoT-Device-Linux" }
2018-11-19T12:40:31.000 /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Alto Falha na tentativa de login local no dispositivo Foi detetada uma tentativa de login local com falha no dispositivo { "Endereço remoto": "?", "Porta remota": "", "Porta local": "", "Shell de login": "/bin/su", "ID do processo de login": "22644", "Nome de usuário": "atacante", "DeviceId": "IoT-Device-Linux" }

Resumo do dispositivo

Obtenha o número de alertas de segurança distintos detetados na última semana, agrupados por Hub IoT, dispositivo, gravidade do alerta, tipo de alerta.

// Get the number of distinct security alerts detected in the last week, grouped by
//   IoT hub, device, alert severity, alert type
//
SecurityAlert
| where TimeGenerated > ago(7d)
| summarize Cnt=dcount(SystemAlertId) by
    IoTHubId=ResourceId,
    DeviceId=tostring(parse_json(ExtendedProperties)["DeviceId"]),
    AlertSeverity,
    DisplayName
IoTHubId DeviceId AlertSeverity DisplayName Count
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Alto Ataque de força bruta bem-sucedido 9
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Médio Falha na tentativa de login local no dispositivo 242
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Alto Login local bem-sucedido no dispositivo 31
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Médio Cripto Minerador de Moedas 4

Resumo do hub IoT

Selecione vários dispositivos distintos que tiveram alertas na última semana, por Hub IoT, gravidade do alerta, tipo de alerta

// Select number of distinct devices which had alerts in the last week, by
//   IoT hub, alert severity, alert type
//
SecurityAlert
| where TimeGenerated > ago(7d)
| extend DeviceId=tostring(parse_json(ExtendedProperties)["DeviceId"])
| summarize CntDevices=dcount(DeviceId) by
    IoTHubId=ResourceId,
    AlertSeverity,
    DisplayName
IoTHubId AlertSeverity DisplayName CntDispositivos
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> Alto Ataque de força bruta bem-sucedido 1
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> Médio Falha na tentativa de login local no dispositivo 1
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> Alto Login local bem-sucedido no dispositivo 1
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> Médio Cripto Minerador de Moedas 1

Recomendações de segurança

As recomendações de segurança são armazenadas na tabela AzureSecurityOfThings.SecurityRecommendation no espaço de trabalho do Log Analytics configurado para a solução Defender for IoT.

Fornecemos muitas consultas úteis para ajudá-lo a começar a explorar as recomendações de segurança.

Registos de amostras

Selecione alguns registros aleatórios

// Select a few random records
//
SecurityRecommendation
| project
    TimeGenerated,
    IoTHubId=AssessedResourceId,
    DeviceId,
    RecommendationSeverity,
    RecommendationState,
    RecommendationDisplayName,
    Description,
    RecommendationAdditionalData
| take 2
TimeGenerated IoTHubId DeviceId RecomendaçãoSeveridade Estado de Recomendação RecommendationDisplayName Description RecomendaçãoDados adicionais
2019-03-22T10:21:06.060 /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Médio Ativos Foi encontrada uma regra de firewall permissiva na cadeia de entrada Foi encontrada uma regra no firewall que contém um padrão permissivo para uma ampla gama de endereços IP ou portas {"Regras":"[{"SourceAddress":"","SourcePort":"","DestinationAddress":"","DestinationPort":"1337"}]"}
2019-03-22T10:50:27.237 /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Médio Ativos Foi encontrada uma regra de firewall permissiva na cadeia de entrada Foi encontrada uma regra no firewall que contém um padrão permissivo para uma ampla gama de endereços IP ou portas {"Regras":"[{"SourceAddress":"","SourcePort":"","DestinationAddress":"","DestinationPort":"1337"}]"}

Resumo do dispositivo

Obtenha o número de recomendações de segurança ativas distintas, agrupadas por Hub IoT, dispositivo, gravidade da recomendação e tipo.

// Get the number of distinct active security recommendations, grouped by
//   IoT hub, device, recommendation severity and type
//
SecurityRecommendation
| extend IoTHubId=AssessedResourceId
| summarize CurrentState=arg_max(RecommendationState, DiscoveredTimeUTC) by IoTHubId, DeviceId, RecommendationSeverity, RecommendationDisplayName
| where CurrentState == "Active"
| summarize Cnt=count() by IoTHubId, DeviceId, RecommendationSeverity
IoTHubId DeviceId RecomendaçãoSeveridade Count
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Alto 2
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Médio 1
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Alto 1
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Médio 4

Próximos passos