Доступ к данным безопасности
Defender для Интернета вещей хранит оповещения системы безопасности, рекомендации и необработанные данные системы безопасности (если вы решили сохранить их) в рабочей области Log Analytics.
Служба Log Analytics
Чтобы настроить используемую рабочую область Log Analytics:
- Откройте Центр Интернета вещей.
- Выберите Параметры в разделе Безопасность.
- Выберите Сбор данных и измените конфигурацию рабочей области Log Analytics.
Чтобы получить доступ к оповещениям и рекомендациям в рабочей области Log Analytics после настройки, выполните указанные ниже действия.
- Выберите оповещение или рекомендацию в Defender для Интернета вещей.
- Выберите Дальнейшее исследование, а затем — Чтобы узнать, какие устройства имеют это оповещение, нажмите здесь и просмотрите столбец DeviceId.
Дополнительные сведения о запросе данных из Log Analytics см. в статье Начало работы с запросами журналов Azure Monitor.
Оповещения безопасности
Оповещения системы безопасности хранятся в таблице AzureSecurityOfThings.SecurityAlert в рабочей области Log Analytics, настроенной для решения "Defender для Интернета вещей".
Мы предоставляем множество полезных запросов, которые помогут вам приступить к изучению оповещений системы безопасности.
Образцы записей
Выберите несколько случайных записей
// Select a few random records
//
SecurityAlert
| project
TimeGenerated,
IoTHubId=ResourceId,
DeviceId=tostring(parse_json(ExtendedProperties)["DeviceId"]),
AlertSeverity,
DisplayName,
Description,
ExtendedProperties
| take 3
| TimeGenerated | IoTHubId | DeviceId | AlertSeverity | DisplayName | Description | ExtendedProperties |
|---|---|---|---|---|---|---|
| 2018-11-18T18:10:29.000 | /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Высокая | Успешная атака методом подбора пароля | Атака методом подбора пароля на устройстве прошла успешно | { "Full Source Address": "["10.165.12.18:"]", "User Names": "[""]", "DeviceId": "IoT-Device-Linux" } |
| 2018-11-19T12:40:31.000 | /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Высокая | Успешный локальный вход на устройство | Обнаружен успешный локальный вход на устройство | { "Remote Address": "?", "Remote Port": "", "Local Port": "", "Login Shell": "/bin/su", "Login Process Id": "28207", "User Name": "attacker", "DeviceId": "IoT-Device-Linux" } |
| 2018-11-19T12:40:31.000 | /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Высокая | Неудачная попытка локального входа на устройство | Обнаружена неудачная попытка локального входа на устройство | { "Remote Address": "?", "Remote Port": "", "Local Port": "", "Login Shell": "/bin/su", "Login Process Id": "22644", "User Name": "attacker", "DeviceId": "IoT-Device-Linux" } |
Сводка по устройствам
Получите ряд отдельных оповещений системы безопасности, обнаруженных за последнюю неделю, сгруппированных по Центру Интернета вещей, устройству, серьезности и типу оповещения.
// Get the number of distinct security alerts detected in the last week, grouped by
// IoT hub, device, alert severity, alert type
//
SecurityAlert
| where TimeGenerated > ago(7d)
| summarize Cnt=dcount(SystemAlertId) by
IoTHubId=ResourceId,
DeviceId=tostring(parse_json(ExtendedProperties)["DeviceId"]),
AlertSeverity,
DisplayName
| IoTHubId | DeviceId | AlertSeverity | DisplayName | Count |
|---|---|---|---|---|
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Высокая | Успешная атака методом подбора пароля | 9 |
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Средняя | Неудачная попытка локального входа на устройство | 242 |
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Высокая | Успешный локальный вход на устройство | 31 |
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Средняя | Майнер криптовалюты | 4 |
Сводка по Центру Интернета вещей
Выберите несколько уникальных устройств с оповещениями за последнюю неделю по Центру Интернета вещей, серьезности и типу оповещения
// Select number of distinct devices which had alerts in the last week, by
// IoT hub, alert severity, alert type
//
SecurityAlert
| where TimeGenerated > ago(7d)
| extend DeviceId=tostring(parse_json(ExtendedProperties)["DeviceId"])
| summarize CntDevices=dcount(DeviceId) by
IoTHubId=ResourceId,
AlertSeverity,
DisplayName
| IoTHubId | AlertSeverity | DisplayName | CntDevices |
|---|---|---|---|
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | Высокая | Успешная атака методом подбора пароля | 1 |
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | Средняя | Неудачная попытка локального входа на устройство | 1 |
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | Высокая | Успешный локальный вход на устройство | 1 |
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | Средняя | Майнер криптовалюты | 1 |
Рекомендации по обеспечению безопасности
Рекомендации системы безопасности хранятся в таблице AzureSecurityOfThings.SecurityRecommendation в рабочей области Log Analytics, настроенной для решения "Defender для Интернета вещей".
Мы предоставляем множество полезных запросов, которые помогут вам приступить к изучению рекомендаций по безопасности.
Образцы записей
Выберите несколько случайных записей
// Select a few random records
//
SecurityRecommendation
| project
TimeGenerated,
IoTHubId=AssessedResourceId,
DeviceId,
RecommendationSeverity,
RecommendationState,
RecommendationDisplayName,
Description,
RecommendationAdditionalData
| take 2
| TimeGenerated | IoTHubId | DeviceId | RecommendationSeverity | RecommendationState | RecommendationDisplayName | Description | RecommendationAdditionalData |
|---|---|---|---|---|---|---|---|
| 2019-03-22T10:21:06.060 | /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Средняя | Активно | Во входной цепочке найдено разрешительное правило брандмауэра | Правило в брандмауэре было найдено, содержащее неизрешительный шаблон для широкого диапазона IP-адресов или портов. | {"Rules":"[{"SourceAddress":"","SourcePort":"","DestinationAddress":"","DestinationPort":"1337"}]"} |
| 2019-03-22T10:50:27.237 | /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Средняя | Активно | Во входной цепочке найдено разрешительное правило брандмауэра | Правило в брандмауэре было найдено, содержащее неизрешительный шаблон для широкого диапазона IP-адресов или портов. | {"Rules":"[{"SourceAddress":"","SourcePort":"","DestinationAddress":"","DestinationPort":"1337"}]"} |
Сводка по устройствам
Получите ряд уникальных активных рекомендаций по безопасности, сгруппированных по Центру Интернета вещей, устройству, серьезности рекомендации и типу.
// Get the number of distinct active security recommendations, grouped by
// IoT hub, device, recommendation severity and type
//
SecurityRecommendation
| extend IoTHubId=AssessedResourceId
| summarize CurrentState=arg_max(RecommendationState, DiscoveredTimeUTC) by IoTHubId, DeviceId, RecommendationSeverity, RecommendationDisplayName
| where CurrentState == "Active"
| summarize Cnt=count() by IoTHubId, DeviceId, RecommendationSeverity
| IoTHubId | DeviceId | RecommendationSeverity | Count |
|---|---|---|---|
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Высокий | 2 |
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Средние | 1 |
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Высокий | 1 |
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Средние | 4 |
Следующие шаги
- Изучите обзор службы "Defender для Интернета вещей".
- Сведения о Defender для Интернета вещей см. в статье Решение на основе агента для разработчиков устройств.
- Поймите и изучите оповещения Defender для Интернета вещей
- Поймите и изучите рекомендации Defender для Интернета вещей.