Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Defender для Интернета вещей хранит оповещения безопасности, рекомендации и необработанные данные безопасности (если вы решили сохранить их) в пространстве Log Analytics.
Аналитика логов
Чтобы настроить рабочую область Log Analytics, выполните следующие действия.
- Откройте Центр Интернета вещей.
- Выберите вкладку "Параметры" в разделе "Безопасность".
- Выберите коллекцию данных и измените конфигурацию рабочей области Log Analytics.
Чтобы получить доступ к оповещениям и рекомендациям в рабочей области Log Analytics после настройки:
- Выберите оповещение или рекомендацию в Defender для Интернета вещей.
- Выберите дальнейшее исследование, затем выберите "Чтобы увидеть, на каких устройствах есть это оповещение, нажмите здесь" и просмотрите столбец DeviceId.
Дополнительные сведения о запросе данных из Log Analytics см. в статье "Начало работы с запросами журналов" в Azure Monitor.
Оповещения безопасности
Оповещения системы безопасности хранятся в таблице AzureSecurityOfThings.SecurityAlert в рабочей области Log Analytics, настроенной для решения Defender для Интернета вещей.
Мы предоставляем множество полезных запросов, которые помогут вам приступить к изучению оповещений системы безопасности.
Примеры записей
Выбор нескольких случайных записей
// Select a few random records
//
SecurityAlert
| project
TimeGenerated,
IoTHubId=ResourceId,
DeviceId=tostring(parse_json(ExtendedProperties)["DeviceId"]),
AlertSeverity,
DisplayName,
Description,
ExtendedProperties
| take 3
| Время генерации | IoTHubId | DeviceId | AlertSeverity | Отображаемое имя | Описание | РасширенныеСвойства |
|---|---|---|---|---|---|---|
| 2018-11-18T18:10:29.000 | /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <имя_устройства> | Высоко | Атака грубой силы выполнена успешно | Атака методом перебора на устройстве была успешной | { "Полный исходный адрес": "["["10.165.12.18:"]", "Имена пользователей": "["]", "DeviceId": "IoT-Device-Linux" } |
| 2018-11-19T12:40:31.000 | /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <имя_устройства> | Высоко | Успешный локальный вход на устройство | Обнаружен успешный локальный вход на устройство | { "Удаленный адрес": "?", "Удаленный порт": "", "Локальный порт": "", "Оболочка входа": "/bin/su", "Идентификатор процесса входа": "28207", "Имя пользователя": "злоумышленник", "DeviceId": "IoT-Device-Linux" } |
| 2018-11-19T12:40:31.000 | /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Высоко | Неудачная попытка локального входа на устройстве | Обнаружена неудачная локальная попытка входа на устройство | { "Удаленный адрес": "?", "Удаленный порт": "", "Локальный порт": "", "Оболочка входа": "/bin/su", "Идентификатор процесса входа": "22644", "Имя пользователя": "злоумышленник", "DeviceId": "IoT-Device-Linux" } |
Сводка по устройствам
Получите количество различных оповещений системы безопасности, обнаруженных на прошлой неделе, сгруппированных по Центру Интернета вещей, устройству, серьезности оповещений, типу оповещений.
// Get the number of distinct security alerts detected in the last week, grouped by
// IoT hub, device, alert severity, alert type
//
SecurityAlert
| where TimeGenerated > ago(7d)
| summarize Cnt=dcount(SystemAlertId) by
IoTHubId=ResourceId,
DeviceId=tostring(parse_json(ExtendedProperties)["DeviceId"]),
AlertSeverity,
DisplayName
| IoTHubId | DeviceId | AlertSeverity | Отображаемое имя | Численность |
|---|---|---|---|---|
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <название_устройства> | Высоко | Атака грубой силой успешно завершена | 9 |
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Средний | Неудачная попытка локального входа на устройстве | 242 |
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <имя_устройства> | Высоко | Успешный локальный вход на устройство | 31 |
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Средний | Криптовалютный майнер | 4 |
Сводка центра Интернета вещей
Выберите количество различных устройств, которые имели оповещения на прошлой неделе, по IoT-хабу, степени серьезности и типу оповещений.
// Select number of distinct devices which had alerts in the last week, by
// IoT hub, alert severity, alert type
//
SecurityAlert
| where TimeGenerated > ago(7d)
| extend DeviceId=tostring(parse_json(ExtendedProperties)["DeviceId"])
| summarize CntDevices=dcount(DeviceId) by
IoTHubId=ResourceId,
AlertSeverity,
DisplayName
| IoTHubId | AlertSeverity | Отображаемое имя | CntDevices |
|---|---|---|---|
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | Высоко | Атака методом подбора выполнена успешно | 1 |
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | Средний | Неудачная попытка локального входа на устройстве | 1 |
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | Высоко | Успешный локальный вход на устройстве | 1 |
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | Средний | Криптовалютный майнер | 1 |
Рекомендации по безопасности
Рекомендации по безопасности хранятся в таблице AzureSecurityOfThings.SecurityRecommendation в рабочей области Log Analytics, настроенной для решения Defender для Интернета вещей.
Мы предоставляем множество полезных запросов, которые помогут вам приступить к изучению рекомендаций по безопасности.
Примеры записей
Выбор нескольких случайных записей
// Select a few random records
//
SecurityRecommendation
| project
TimeGenerated,
IoTHubId=AssessedResourceId,
DeviceId,
RecommendationSeverity,
RecommendationState,
RecommendationDisplayName,
Description,
RecommendationAdditionalData
| take 2
| Время генерации | IoTHubId | DeviceId | Серьезность рекомендации | СостояниеРекомендации | ИмяРекомендации | Описание | РекомендацияДополнительныеДанные |
|---|---|---|---|---|---|---|---|
| 2019-03-22T10:21:06.060 | /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Средний | Активен | Во входной цепочке найдено разрешительное правило брандмауэра | Было найдено правило в брандмауэре, содержащее разрешающий шаблон для широкого диапазона IP-адресов или портов. | {"Правила":"[{"SourceAddress":"","SourcePort":"","DestinationAddress":"","DestinationPort":"1337"}"}"} |
| 2019-03-22T10:50:27.237 | /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Средний | Активен | Во входной цепочке найдено разрешительное правило брандмауэра | В брандмауэре найдено правило, содержащее разрешающий шаблон для широкого диапазона IP-адресов или портов. | {"Правила":"[{"SourceAddress":"","SourcePort":"","DestinationAddress":"","DestinationPort":"1337"}"}"} |
Сводка по устройствам
Получите количество отдельных активных рекомендаций по безопасности, сгруппированных по Центру Интернета вещей, устройству, серьезности рекомендаций и типу.
// Get the number of distinct active security recommendations, grouped by
// IoT hub, device, recommendation severity and type
//
SecurityRecommendation
| extend IoTHubId=AssessedResourceId
| summarize CurrentState=arg_max(RecommendationState, DiscoveredTimeUTC) by IoTHubId, DeviceId, RecommendationSeverity, RecommendationDisplayName
| where CurrentState == "Active"
| summarize Cnt=count() by IoTHubId, DeviceId, RecommendationSeverity
| IoTHubId | DeviceId | Серьезность рекомендации | Численность |
|---|---|---|---|
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Высоко | 2 |
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Средний | 1 |
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <имя_устройства> | Высоко | 1 |
| /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Средний | 4 |
Дальнейшие шаги
- Ознакомьтесь с обзором Defender для Интернета вещей
- Узнайте о решении Defender для Интернета вещей на основе агента для разработчиков устройств
- Понимание и изучение оповещений Defender для Интернета вещей
- Изучите и исследуйте рекомендации Defender для IoT