Dela via

Få åtkomst till dina säkerhetsdata

  • Artikel

Defender för IoT lagrar säkerhetsaviseringar, rekommendationer och rådata (om du väljer att spara dem) på Din Log Analytics-arbetsyta.

Log Analytics

Så här konfigurerar du vilken Log Analytics-arbetsyta som används:

  1. Öppna din IoT-hubb.
  2. Välj bladet Inställningar under avsnittet Säkerhet.
  3. Välj Datainsamling och ändra konfigurationen av Log Analytics-arbetsytan.

Så här kommer du åt dina aviseringar och rekommendationer på Log Analytics-arbetsytan efter konfigurationen:

  1. Välj en avisering eller rekommendation i Defender för IoT.
  2. Välj ytterligare undersökning och välj sedan För att se vilka enheter som har den här aviseringen klickar du här och visar kolumnen DeviceId.

Mer information om hur du frågar efter data från Log Analytics finns i Komma igång med loggfrågor i Azure Monitor.

Säkerhetsaviseringar

Säkerhetsaviseringar lagras i tabellen AzureSecurityOfThings.SecurityAlert i Log Analytics-arbetsytan som konfigurerats för Defender for IoT-lösningen.

Vi tillhandahåller många användbara frågor som hjälper dig att komma igång med att utforska säkerhetsaviseringar.

Exempelposter

Välj några slumpmässiga poster

// Select a few random records
//
SecurityAlert
| project
    TimeGenerated,
    IoTHubId=ResourceId,
    DeviceId=tostring(parse_json(ExtendedProperties)["DeviceId"]),
    AlertSeverity,
    DisplayName,
    Description,
    ExtendedProperties
| take 3
TimeGenerated IoTHubId DeviceId AlertSeverity DisplayName beskrivning ExtendedProperties
2018-11-18T18:10:29.000 /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Högt Brute force-attacken lyckades En brute force-attack på enheten lyckades { "Fullständig källadress": "["10.165.12.18:"]", "Användarnamn": "[""]", "DeviceId": "IoT-Device-Linux" }
2018-11-19T12:40:31.000 /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Högt Lyckad lokal inloggning på enheten En lyckad lokal inloggning till enheten har identifierats { "Remote Address": "?", "Remote Port": "", "Local Port": "", "Login Shell": "/bin/su", "Login Process Id": "28207", "User Name": "attacker", "DeviceId": "IoT-Device-Linux" }
2018-11-19T12:40:31.000 /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Högt Misslyckat lokalt inloggningsförsök på enheten Ett misslyckat lokalt inloggningsförsök till enheten upptäcktes { "Remote Address": "?", "Remote Port": "", "Local Port": "", "Login Shell": "/bin/su", "Login Process Id": "22644", "User Name": "attacker", "DeviceId": "IoT-Device-Linux" }

Enhetssammanfattning

Få antalet distinkta säkerhetsaviseringar som identifierats under den senaste veckan, grupperade efter IoT Hub, enhet, allvarlighetsgrad för aviseringar, aviseringstyp.

// Get the number of distinct security alerts detected in the last week, grouped by
//   IoT hub, device, alert severity, alert type
//
SecurityAlert
| where TimeGenerated > ago(7d)
| summarize Cnt=dcount(SystemAlertId) by
    IoTHubId=ResourceId,
    DeviceId=tostring(parse_json(ExtendedProperties)["DeviceId"]),
    AlertSeverity,
    DisplayName
IoTHubId DeviceId AlertSeverity DisplayName Antal
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Högt Brute force-attacken lyckades 9
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Medium Misslyckat lokalt inloggningsförsök på enheten 242
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Högt Lyckad lokal inloggning på enheten 31
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Medium Kryptomyntgrävare 4

Sammanfattning av IoT Hub

Välj ett antal distinkta enheter som hade aviseringar den senaste veckan, efter IoT Hub, allvarlighetsgrad för aviseringar, aviseringstyp

// Select number of distinct devices which had alerts in the last week, by
//   IoT hub, alert severity, alert type
//
SecurityAlert
| where TimeGenerated > ago(7d)
| extend DeviceId=tostring(parse_json(ExtendedProperties)["DeviceId"])
| summarize CntDevices=dcount(DeviceId) by
    IoTHubId=ResourceId,
    AlertSeverity,
    DisplayName
IoTHubId AlertSeverity DisplayName CntDevices
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> Högt Brute force-attacken lyckades 1
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> Medium Misslyckat lokalt inloggningsförsök på enheten 1
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> Högt Lyckad lokal inloggning på enheten 1
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> Medium Kryptomyntgrävare 1

Säkerhetsrekommendationer

Säkerhetsrekommendationer lagras i tabellen AzureSecurityOfThings.SecurityRecommendation i Log Analytics-arbetsytan som konfigurerats för Defender for IoT-lösningen.

Vi tillhandahåller många användbara frågor som hjälper dig att börja utforska säkerhetsrekommendationer.

Exempelposter

Välj några slumpmässiga poster

// Select a few random records
//
SecurityRecommendation
| project
    TimeGenerated,
    IoTHubId=AssessedResourceId,
    DeviceId,
    RecommendationSeverity,
    RecommendationState,
    RecommendationDisplayName,
    Description,
    RecommendationAdditionalData
| take 2
TimeGenerated IoTHubId DeviceId RecommendationSeverity RecommendationState RecommendationDisplayName beskrivning RekommendationAdditionalData
2019-03-22T10:21:06.060 /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Medium Aktiv Tillåten brandväggsregel i indatakedjan hittades En regel i brandväggen hittades som innehåller ett tillåtande mönster för ett stort antal IP-adresser eller portar {"Rules":"[{"SourceAddress":"","SourcePort":"","DestinationAddress":"","DestinationPort":"1337"}]"}
2019-03-22T10:50:27.237 /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Medium Aktiv Tillåten brandväggsregel i indatakedjan hittades En regel i brandväggen hittades som innehåller ett tillåtande mönster för ett stort antal IP-adresser eller portar {"Rules":"[{"SourceAddress":"","SourcePort":"","DestinationAddress":"","DestinationPort":"1337"}]"}

Enhetssammanfattning

Hämta antalet distinkta aktiva säkerhetsrekommendationer grupperade efter IoT Hub, enhet, rekommendations allvarlighetsgrad och typ.

// Get the number of distinct active security recommendations, grouped by
//   IoT hub, device, recommendation severity and type
//
SecurityRecommendation
| extend IoTHubId=AssessedResourceId
| summarize CurrentState=arg_max(RecommendationState, DiscoveredTimeUTC) by IoTHubId, DeviceId, RecommendationSeverity, RecommendationDisplayName
| where CurrentState == "Active"
| summarize Cnt=count() by IoTHubId, DeviceId, RecommendationSeverity
IoTHubId DeviceId RecommendationSeverity Antal
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Högt 2
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Medium 1
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Högt 1
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Medium 4

Nästa steg