Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft Defender для Интернета вещей позволяет вам защитить всю вашу среду OT и Enterprise IoT, будь то защита существующих устройств или внедрение безопасности в новые разработки.
Microsoft Sentinel и Microsoft Defender для Интернета вещей помогают преодолеть разрыв между проблемами безопасности информационных технологий (ИТ) и операционных технологий (OT), а также предоставить командам SOC возможность эффективного и результативного обнаружения и реагирования на угрозы безопасности. Интеграция Между Microsoft Defender для Интернета вещей и Microsoft Sentinel помогает организациям быстро обнаруживать многоэтапные атаки, которые часто пересекают границы ИТ и OT.
Этот соединитель позволяет передавать данные Microsoft Defender для Интернета вещей в Microsoft Sentinel, чтобы просматривать, анализировать и реагировать на оповещения Defender для Интернета вещей, а также инциденты, которые они создают, в более широком контексте угроз организации.
В этом учебном пособии вы узнаете, как:
- Подключение данных Defender для Интернета вещей к Microsoft Sentinel
- Используйте Log Analytics для запроса данных оповещений Defender для Интернета вещей.
Предпосылки
Перед началом работы убедитесь, что у вас есть следующие требования к рабочей области:
Разрешения на чтение и запись в рабочей области Microsoft Sentinel. Дополнительные сведения см. в статье Разрешения в Microsoft Sentinel.
Разрешения участника или владельца подписки, которую вы хотите подключить к Microsoft Sentinel.
План Defender для Интернета вещей в подписке Azure с потоковой передачей данных в Defender для Интернета вещей. Дополнительные сведения см. в кратком руководстве. Начало работы с Defender для Интернета вещей.
Подключите данные из Defender для Интернета вещей к Microsoft Sentinel
Начните с включения соединителя данных Defender для Интернета вещей для потоковой передачи всех событий Defender для Интернета вещей в Microsoft Sentinel.
Чтобы включить соединитель данных Defender для Интернета вещей, выполните следующие действия.
В Microsoft Sentinel в разделе "Конфигурация" выберите соединители данных и найдите соединитель данных Microsoft Defender для Интернета вещей .
В правом нижнем углу нажмите кнопку "Открыть соединитель".
На вкладке "Инструкции" в разделе "Конфигурация" выберите "Подключиться " для каждой подписки, оповещения которой и оповещения устройств необходимо передавать в Microsoft Sentinel.
Если вы внесли изменения в подключение, для обновления списка подписок может потребоваться 10 секунд или больше.
Дополнительные сведения см. в статье Connect Microsoft Sentinel to Azure, Windows, Microsoft и Amazon services.
Просмотр оповещений Defender для Интернета вещей (IoT)
После подключения подписки к Microsoft Sentinel вы сможете просматривать оповещения Defender для Интернета вещей в области журналов Microsoft Sentinel.
В Microsoft Sentinel выберите Logs > AzureSecurityOfThings > SecurityAlert или найдите SecurityAlert.
Используйте следующие примеры запросов для фильтрации журналов и просмотра оповещений, созданных Defender для Интернета вещей:
Чтобы просмотреть все оповещения, созданные Defender для Интернета вещей:
SecurityAlert | where ProviderName == "IoTSecurity"Чтобы просмотреть определенные оповещения датчиков, созданные Defender для Интернета вещей, выполните указанные действия.
SecurityAlert | where ProviderName == "IoTSecurity" | where tostring(parse_json(ExtendedProperties).SensorId) == “<sensor_name>”Чтобы просмотреть конкретные оповещения системы OT, созданные Defender для Интернета вещей
SecurityAlert | where ProviderName == "IoTSecurity" | where ProductComponentName == "MALWARE" SecurityAlert | where ProviderName == "IoTSecurity" | where ProductComponentName == "ANOMALY" SecurityAlert | where ProviderName == "IoTSecurity" | where ProductComponentName == "PROTOCOL_VIOLATION" SecurityAlert | where ProviderName == "IoTSecurity" | where ProductComponentName == "POLICY_VIOLATION" SecurityAlert | where ProviderName == "IoTSecurity" | where ProductComponentName == "OPERATIONAL"Чтобы просмотреть оповещения с высоким уровнем серьезности, созданные Defender для Интернета вещей:
SecurityAlert | where ProviderName == "IoTSecurity" | where AlertSeverity == "High"Чтобы просмотреть определенные оповещения протокола, созданные Defender для Интернета вещей, выполните указанные действия.
SecurityAlert | where PProviderName == "IoTSecurity" | where tostring(parse_json(ExtendedProperties).Protocol) == "<protocol_name>"
Замечание
Страница журналов в Microsoft Sentinel основана на Log Analytics в Azure Monitor.
Дополнительные сведения см. в разделе Обзор запросов журналов в документации по Azure Monitor и в модуле обучения Напишите ваш первый запрос на KQL.
Общие сведения о метках времени оповещения
Оповещения Defender для Интернета вещей на портале Azure и на консоли датчиков отслеживают время первого обнаружения оповещения, последнего обнаружения и последнего изменения.
В следующей таблице описаны поля метки времени оповещений Defender для IoT, с сопоставлением с соответствующими полями из Log Analytics, отображаемыми в Microsoft Sentinel.
| Поле Defender для Интернета вещей | Описание | Поле Log Analytics |
|---|---|---|
| Первое обнаружение | Определяет момент, когда сигнал тревоги впервые был обнаружен в сети. | StartTime |
| Последнее обнаружение | Определяет последний раз, когда оповещение было обнаружено в сети, и заменяет столбец времени обнаружения . | EndTime |
| Последнее действие | Определяет дату последнего изменения оповещения, включая ручные изменения настроек серьезности или состояния, а также автоматические изменения, связанные с обновлениями устройства или удалением дублирующихся оповещений. | TimeGenerated |
В Defender для Интернета вещей на портале Azure и консоли датчика по умолчанию отображается столбец последнего обнаружения . Измените столбцы на странице "Оповещения" , чтобы отобразить столбцы первого обнаружения и последнего действия по мере необходимости.
Дополнительные сведения см. в разделе "Просмотр оповещений" на портале Defender для Интернета вещей ипросмотр оповещений на датчике.
Понимание нескольких записей для одного оповещения
Данные оповещений Defender для Интернета вещей передаются в Microsoft Sentinel и хранятся в рабочей области Log Analytics в таблице SecurityAlert .
Записи в таблице SecurityAlert создаются при каждом создании или обновлении оповещений в Defender для Интернета вещей. Иногда одно оповещение будет содержать несколько записей, например, когда оповещение было сначала создано, а потом обновлено.
В Microsoft Sentinel используйте следующий запрос, чтобы проверить записи, добавленные в таблицу SecurityAlert , для одного оповещения:
SecurityAlert
| where ProviderName == "IoTSecurity"
| where VendorOriginalId == "<Defender for IoT Alert ID>"
| sort by TimeGenerated desc
Обновления состояния оповещения или серьезности создают новые записи в таблице SecurityAlert немедленно.
Другие типы обновлений агрегируются до 12 часов, а новые записи в таблице SecurityAlert отражают только последние изменения. Примеры агрегированных обновлений:
- Обновления времени последнего обнаружения, например, когда одно и то же оповещение обнаруживается несколько раз
- Новое устройство добавляется в существующее оповещение
- Свойства устройства для оповещения обновляются
Дальнейшие шаги
Решение Microsoft Defender для Интернета вещей — это набор упакованного, встроенного содержимого, настроенного специально для данных Defender для Интернета вещей, и включает правила аналитики, книги и сборники схем.