Aceda aos seus dados de segurança
O Defender for IoT armazena alertas de segurança, recomendações e dados de segurança brutos (se você optar por salvá-los) em seu espaço de trabalho do Log Analytics.
Log Analytics
Para configurar qual espaço de trabalho do Log Analytics é usado:
- Abra seu hub IoT.
- Selecione a folha Configurações na seção Segurança .
- Selecione Coleta de dados e altere a configuração do espaço de trabalho do Log Analytics.
Para acessar seus alertas e recomendações no espaço de trabalho do Log Analytics após a configuração:
- Escolha um alerta ou recomendação no Defender for IoT.
- Selecione investigação adicional e, em seguida, selecione Para ver quais dispositivos têm esse alerta, clique aqui e visualize a coluna DeviceId.
Para obter detalhes sobre como consultar dados do Log Analytics, consulte Introdução às consultas de log no Azure Monitor.
Alertas de segurança
Os alertas de segurança são armazenados na tabela AzureSecurityOfThings.SecurityAlert no espaço de trabalho do Log Analytics configurado para a solução Defender for IoT.
Fornecemos muitas consultas úteis para ajudá-lo a começar a explorar alertas de segurança.
Registos de amostras
Selecione alguns registros aleatórios
// Select a few random records
//
SecurityAlert
| project
TimeGenerated,
IoTHubId=ResourceId,
DeviceId=tostring(parse_json(ExtendedProperties)["DeviceId"]),
AlertSeverity,
DisplayName,
Description,
ExtendedProperties
| take 3
TimeGenerated | IoTHubId | DeviceId | AlertSeverity | DisplayName | Description | ExtendedProperties |
---|---|---|---|---|---|---|
2018-11-18T18:10:29.000 | /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Alto | Ataque de força bruta bem-sucedido | Um ataque de força bruta ao dispositivo foi bem-sucedido | { "Endereço completo de origem": "["10.165.12.18:"]", "Nomes de usuário": "[""]", "DeviceId": "IoT-Device-Linux" } |
2018-11-19T12:40:31.000 | /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Alto | Login local bem-sucedido no dispositivo | Foi detetado um login local bem-sucedido no dispositivo | { "Endereço remoto": "?", "Porta remota": "", "Porta local": "", "Shell de login": "/bin/su", "ID do processo de login": "28207", "Nome de usuário": "atacante", "DeviceId": "IoT-Device-Linux" } |
2018-11-19T12:40:31.000 | /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Alto | Falha na tentativa de login local no dispositivo | Foi detetada uma tentativa de login local com falha no dispositivo | { "Endereço remoto": "?", "Porta remota": "", "Porta local": "", "Shell de login": "/bin/su", "ID do processo de login": "22644", "Nome de usuário": "atacante", "DeviceId": "IoT-Device-Linux" } |
Resumo do dispositivo
Obtenha o número de alertas de segurança distintos detetados na última semana, agrupados por Hub IoT, dispositivo, gravidade do alerta, tipo de alerta.
// Get the number of distinct security alerts detected in the last week, grouped by
// IoT hub, device, alert severity, alert type
//
SecurityAlert
| where TimeGenerated > ago(7d)
| summarize Cnt=dcount(SystemAlertId) by
IoTHubId=ResourceId,
DeviceId=tostring(parse_json(ExtendedProperties)["DeviceId"]),
AlertSeverity,
DisplayName
IoTHubId | DeviceId | AlertSeverity | DisplayName | Count |
---|---|---|---|---|
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Alto | Ataque de força bruta bem-sucedido | 9 |
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Médio | Falha na tentativa de login local no dispositivo | 242 |
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Alto | Login local bem-sucedido no dispositivo | 31 |
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Médio | Cripto Minerador de Moedas | 4 |
Resumo do hub IoT
Selecione vários dispositivos distintos que tiveram alertas na última semana, por Hub IoT, gravidade do alerta, tipo de alerta
// Select number of distinct devices which had alerts in the last week, by
// IoT hub, alert severity, alert type
//
SecurityAlert
| where TimeGenerated > ago(7d)
| extend DeviceId=tostring(parse_json(ExtendedProperties)["DeviceId"])
| summarize CntDevices=dcount(DeviceId) by
IoTHubId=ResourceId,
AlertSeverity,
DisplayName
IoTHubId | AlertSeverity | DisplayName | CntDispositivos |
---|---|---|---|
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | Alto | Ataque de força bruta bem-sucedido | 1 |
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | Médio | Falha na tentativa de login local no dispositivo | 1 |
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | Alto | Login local bem-sucedido no dispositivo | 1 |
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | Médio | Cripto Minerador de Moedas | 1 |
Recomendações de segurança
As recomendações de segurança são armazenadas na tabela AzureSecurityOfThings.SecurityRecommendation no espaço de trabalho do Log Analytics configurado para a solução Defender for IoT.
Fornecemos muitas consultas úteis para ajudá-lo a começar a explorar as recomendações de segurança.
Registos de amostras
Selecione alguns registros aleatórios
// Select a few random records
//
SecurityRecommendation
| project
TimeGenerated,
IoTHubId=AssessedResourceId,
DeviceId,
RecommendationSeverity,
RecommendationState,
RecommendationDisplayName,
Description,
RecommendationAdditionalData
| take 2
TimeGenerated | IoTHubId | DeviceId | RecomendaçãoSeveridade | Estado de Recomendação | RecommendationDisplayName | Description | RecomendaçãoDados adicionais |
---|---|---|---|---|---|---|---|
2019-03-22T10:21:06.060 | /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Médio | Ativos | Foi encontrada uma regra de firewall permissiva na cadeia de entrada | Foi encontrada uma regra no firewall que contém um padrão permissivo para uma ampla gama de endereços IP ou portas | {"Regras":"[{"SourceAddress":"","SourcePort":"","DestinationAddress":"","DestinationPort":"1337"}]"} |
2019-03-22T10:50:27.237 | /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Médio | Ativos | Foi encontrada uma regra de firewall permissiva na cadeia de entrada | Foi encontrada uma regra no firewall que contém um padrão permissivo para uma ampla gama de endereços IP ou portas | {"Regras":"[{"SourceAddress":"","SourcePort":"","DestinationAddress":"","DestinationPort":"1337"}]"} |
Resumo do dispositivo
Obtenha o número de recomendações de segurança ativas distintas, agrupadas por Hub IoT, dispositivo, gravidade da recomendação e tipo.
// Get the number of distinct active security recommendations, grouped by
// IoT hub, device, recommendation severity and type
//
SecurityRecommendation
| extend IoTHubId=AssessedResourceId
| summarize CurrentState=arg_max(RecommendationState, DiscoveredTimeUTC) by IoTHubId, DeviceId, RecommendationSeverity, RecommendationDisplayName
| where CurrentState == "Active"
| summarize Cnt=count() by IoTHubId, DeviceId, RecommendationSeverity
IoTHubId | DeviceId | RecomendaçãoSeveridade | Count |
---|---|---|---|
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Alto | 2 |
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Médio | 1 |
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Alto | 1 |
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Médio | 4 |
Próximos passos
- Leia a visão geral do Defender for IoT
- Saiba mais sobre o Defender for IoT O que é uma solução baseada em agente para construtores de dispositivos
- Entenda e explore os alertas do Defender for IoT
- Entenda e explore as recomendações do Defender for IoT