Visualisera Microsoft Defender för IoT-data med Azure Monitor-arbetsböcker
Azure Monitor-arbetsböcker tillhandahåller diagram, diagram och instrumentpaneler som visuellt återspeglar data som lagras i dina Azure Resource Graph-prenumerationer och som är tillgängliga direkt i Microsoft Defender för IoT.
I Azure Portal använder du sidan Defender för IoT-arbetsböcker för att visa arbetsböcker som skapats av Microsoft och tillhandahålls direkt, eller som skapats av kunder och delats i hela communityn.
Varje arbetsboksdiagram eller diagram baseras på en Arg-fråga (Azure Resource Graph) som körs på dina data. I Defender för IoT kan du använda ARG-frågor för att:
- Samla in sensorstatusar
- Identifiera nya enheter i nätverket
- Hitta aviseringar relaterade till specifika IP-adresser
- Förstå vilka aviseringar som visas av varje sensor
Visa arbetsböcker
Så här visar du färdiga arbetsböcker som skapats av Microsoft eller andra arbetsböcker som redan har sparats i din prenumeration:
I Azure Portal går du till Defender för IoT och väljer Arbetsböcker till vänster.
Ändra filtreringsalternativen om det behövs och välj en arbetsbok för att öppna den.
Defender för IoT tillhandahåller följande arbetsböcker direkt:
- Sensorhälsa. Visar data om sensorhälsan, till exempel sensorkonsolens programvaruversioner som är installerade på dina sensorer.
- Aviseringar. Visar data om aviseringar som inträffar på dina sensorer, inklusive aviseringar efter sensor, aviseringstyper, nyligen genererade aviseringar med mera.
- Enheter. Visar data om din enhetsinventering, inklusive enheter efter leverantör, undertyp och nya enheter som identifierats.
- Sårbarheter. Visar data om de sårbarheter som identifierats i OT-enheter i nätverket. Välj ett objekt i tabellerna Enhetssårbarheter, Sårbara enheter eller Sårbara komponenter för att visa relaterad information i tabellerna till höger.
Skapa anpassade arbetsböcker
Använd sidan Defender för IoT-arbetsböcker för att skapa anpassade Azure Monitor-arbetsböcker direkt i Defender för IoT.
På sidan Arbetsböcker väljer du Ny eller startar från en annan mall, öppnar mallarbetsboken och väljer Redigera.
I den nya arbetsboken väljer du Lägg till och väljer det alternativ som du vill lägga till i arbetsboken. Om du redigerar en befintlig arbetsbok eller mall väljer du knappen alternativ (...) till höger för att komma åt menyn Lägg till .
Du kan lägga till något av följande element i arbetsboken:
Alternativ Description Text Lägg till text för att beskriva de diagram som visas i arbetsboken eller eventuella ytterligare åtgärder som krävs. Parameters Definiera parametrar som ska användas i arbetsbokens text och frågor. Länkar/flikar Lägg till navigeringselement i arbetsboken, inklusive listor, länkar till andra mål, extra flikar eller verktygsfält. Fråga Lägg till en fråga som ska användas när du skapar dina arbetsboksdiagram och diagram.
– Välj Azure Resource Graph som datakälla och välj alla dina relevanta prenumerationer.
– Lägg till en grafisk representation för dina data genom att välja en typ från visualiseringsalternativen.Mått Lägg till mått som ska användas när du skapar arbetsboksdiagram och diagram. Grupp Lägg till grupper för att organisera dina arbetsböcker i underområden. När du har definierat alla tillgängliga inställningar för varje alternativ väljer du knappen Lägg till... eller Kör... för att skapa arbetsbokselementet. Lägg till exempel till parameter eller Kör fråga.
Dricks
Du kan skapa dina frågor i Azure Resource Graph Explorer och kopiera dem till din arbetsboksfråga.
I verktygsfältet väljer du Spara eller Spara som för att spara arbetsboken och sedan Klar redigering.
Välj Arbetsböcker för att gå tillbaka till huvudarbetsbokssidan med den fullständiga arbetsbokslistan.
Referensparametrar i dina frågor
När du har skapat en parameter refererar du till den i din fråga med hjälp av följande syntax: {ParameterName}
. Till exempel:
iotsecurityresources
| where type == "microsoft.iotsecurity/sensors"
| extend Name=name
| extend Status= properties.sensorStatus
| where Name=={SensorName}
| project Name,Status
Exempelfrågor
Det här avsnittet innehåller exempelfrågor som ofta används i Defender för IoT-arbetsböcker.
Aviseringsfrågor
Distribution av aviseringar mellan sensorer
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| extend Sensor=properties.extendedProperties.SensorId
| where properties.status!='Closed'
| summarize Alerts=count() by tostring(Sensor)
| sort by Alerts desc
Nya aviseringar från de senaste 24 timmarna
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| where properties.status!='Closed'
| extend AlertTime=properties.startTimeUtc
| extend Type=properties.displayName
| where AlertTime > ago(1d)
| project AlertTime, Type
Aviseringar efter källans IP-adress
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| extend Type=properties.displayName
| extend Source_IP=properties.extendedProperties.SourceDeviceAddress
| extend Destination_IP=properties.extendedProperties.DestinationDeviceAddress
| where Source_IP=='192.168.10.1'
| project Source_IP, Destination_IP, Type
Enhetsfrågor
OT-enhetsinventering efter leverantör
iotsecurityresources
| extend Vendor= properties.hardware.vendor
| where properties.deviceDataSource=='OtSensor'
| summarize Devices=count() by tostring(Vendor)
| sort by Devices
OT-enhetsinventering efter undertyp, till exempel PLC, inbäddad enhet, UPS och så vidare
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| extend SubType=properties.deviceSubTypeDisplayName
| summarize Devices=count() by tostring(SubType)
| sort by Devices
Nya OT-enheter efter sensor, plats och IPv4-adress
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| extend TimeFirstSeen=properties.firstSeen
| where TimeFirstSeen > ago(1d)
| extend DeviceName=properties.deviceName
| extend Site=properties.sensor.site
| extend Sensor=properties.sensor.name
| extend IPv4=properties.nics.[0].ipv4Address
| where properties.deviceDataSource=='OtSensor'
| project TimeFirstSeen, Site, Sensor, DeviceName, IPv4
Sammanfatta aviseringar efter Purdue-nivå
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| project
resourceId = id,
affectedResource = tostring(properties.extendedProperties.DeviceResourceIds),
id = properties.systemAlertId
| join kind=leftouter (
iotsecurityresources | where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| project
sensor = properties.sensor.name,
zone = properties.sensor.zone,
site = properties.sensor.site,
deviceProperties=properties,
affectedResource = tostring(id)
) on affectedResource
| project-away affectedResource1
| where deviceProperties.deviceDataSource == 'OtSensor'
| summarize Alerts=count() by tostring(deviceProperties.purdueLevel)
Nästa steg
Läs mer om att visa instrumentpaneler och rapporter i sensorkonsolen:
- Köra datautvinningsfrågor
- Rapportering av riskbedömning
- Skapa instrumentpaneler för trender och statistik
Läs mer om Azure Monitor-arbetsböcker och Azure Resource Graph: