共用方式為


存取您的安全性資料

適用於 IoT 的 Defender 會將安全性警示、建議和原始安全性資料儲存在 Log Analytics 工作區中 (如果您選擇加以儲存)。

Log Analytics

若要設定要使用的 Log Analytics 工作區:

  1. 開啟 IoT 中樞。
  2. 選取 [安全性] 區段底下的 [設定] 刀鋒視窗。
  3. 選取 [資料收集],然後變更您的 Log Analytics 工作區設定。

經過設定後,若要在 Log Analytics 工作區中存取您的警示和建議:

  1. 在適用於 IoT 的 Defender 中選擇警示或建議。
  2. 選取 [進一步調查],然後選取 [若要查看哪些裝置有此警示,請按一下這裡並檢視 DeviceId 資料行]

如需從 Log Analytics 查詢資料的詳細資訊,請參閱在 Azure 監視器中開始使用記錄查詢

安全性警訊

安全性警示會儲存在為適用於 IoT 的 Defender 解決方案設定的 Log Analytics 工作區中,放置在 AzureSecurityOfThings.SecurityAlert 資料表內。

我們提供許多實用的查詢,協助您開始探索安全性警示。

範例記錄

選取一些隨機記錄

// Select a few random records
//
SecurityAlert
| project
    TimeGenerated,
    IoTHubId=ResourceId,
    DeviceId=tostring(parse_json(ExtendedProperties)["DeviceId"]),
    AlertSeverity,
    DisplayName,
    Description,
    ExtendedProperties
| take 3
TimeGenerated IoTHubId DeviceId AlertSeverity DisplayName 描述 ExtendedProperties
2018-11-18T18:10:29.000 /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> 暴力密碼破解攻擊成功 裝置上的暴力密碼破解攻擊成功 { "Full Source Address": "["10.165.12.18:"]", "User Names": "[""]", "DeviceId": "IoT-Device-Linux" }
2018-11-19T12:40:31.000 /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> 裝置上的本機登入成功 偵測到成功從本機登入裝置 { "Remote Address": "?", "Remote Port": "", "Local Port": "", "Login Shell": "/bin/su", "Login Process Id": "28207", "User Name": "attacker", "DeviceId": "IoT-Device-Linux" }
2018-11-19T12:40:31.000 /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> 裝置上的本機登入嘗試失敗 偵測到有人嘗試從本機登入失敗 { "Remote Address": "?", "Remote Port": "", "Local Port": "", "Login Shell": "/bin/su", "Login Process Id": "22644", "User Name": "attacker", "DeviceId": "IoT-Device-Linux" }

裝置摘要

取得在過去一週偵測到的不同安全性警示的數目 (依 IoT 中樞、裝置、警示嚴重性、警示類型分組)。

// Get the number of distinct security alerts detected in the last week, grouped by
//   IoT hub, device, alert severity, alert type
//
SecurityAlert
| where TimeGenerated > ago(7d)
| summarize Cnt=dcount(SystemAlertId) by
    IoTHubId=ResourceId,
    DeviceId=tostring(parse_json(ExtendedProperties)["DeviceId"]),
    AlertSeverity,
    DisplayName
IoTHubId DeviceId AlertSeverity DisplayName 計數
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> 暴力密碼破解攻擊成功 9
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> 裝置上的本機登入嘗試失敗 242
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> 裝置上的本機登入成功 31
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> 加密貨幣採礦 4

IoT 中樞摘要

依 IoT 中樞、警示嚴重性、警示類型,選取在過去一週有警示的多個不同裝置

// Select number of distinct devices which had alerts in the last week, by
//   IoT hub, alert severity, alert type
//
SecurityAlert
| where TimeGenerated > ago(7d)
| extend DeviceId=tostring(parse_json(ExtendedProperties)["DeviceId"])
| summarize CntDevices=dcount(DeviceId) by
    IoTHubId=ResourceId,
    AlertSeverity,
    DisplayName
IoTHubId AlertSeverity DisplayName CntDevices
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> 暴力密碼破解攻擊成功 1
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> 裝置上的本機登入嘗試失敗 1
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> 裝置上的本機登入成功 1
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> 加密貨幣採礦 1

安全性建議

安全性建議會儲存在為適用於 IoT 的 Defender 解決方案設定的 Log Analytics 工作區中,放置在 AzureSecurityOfThings.SecurityRecommendation 資料表內。

我們提供許多實用的查詢,協助您開始探索安全性建議。

範例記錄

選取一些隨機記錄

// Select a few random records
//
SecurityRecommendation
| project
    TimeGenerated,
    IoTHubId=AssessedResourceId,
    DeviceId,
    RecommendationSeverity,
    RecommendationState,
    RecommendationDisplayName,
    Description,
    RecommendationAdditionalData
| take 2
TimeGenerated IoTHubId DeviceId RecommendationSeverity RecommendationState RecommendationDisplayName 描述 RecommendationAdditionalData
2019-03-22T10:21:06.060 /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> 使用中 在輸入鏈結中發現寬鬆的防火牆規則 找到防火牆中的規則,其中包含各種IP位址或埠的寬鬆模式 {"Rules":"[{"SourceAddress":"","SourcePort":"","DestinationAddress":"","DestinationPort":"1337"}]"}
2019-03-22T10:50:27.237 /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> 使用中 在輸入鏈結中發現寬鬆的防火牆規則 找到防火牆中的規則,其中包含各種IP位址或埠的寬鬆模式 {"Rules":"[{"SourceAddress":"","SourcePort":"","DestinationAddress":"","DestinationPort":"1337"}]"}

裝置摘要

取得不同作用中安全性建議的數目 (依 IoT 中樞、裝置、建議嚴重性和類型分組)。

// Get the number of distinct active security recommendations, grouped by
//   IoT hub, device, recommendation severity and type
//
SecurityRecommendation
| extend IoTHubId=AssessedResourceId
| summarize CurrentState=arg_max(RecommendationState, DiscoveredTimeUTC) by IoTHubId, DeviceId, RecommendationSeverity, RecommendationDisplayName
| where CurrentState == "Active"
| summarize Cnt=count() by IoTHubId, DeviceId, RecommendationSeverity
IoTHubId DeviceId RecommendationSeverity 計數
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> 2
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> 1
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> 1
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> 4

下一步