Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В книгах Azure Monitor представлены графы, диаграммы и панели мониторинга, на которых визуально отражены данные, хранящиеся в ваших подписках Azure Resource Graph и доступные непосредственно в Microsoft Defender для Интернета вещей.
Для просмотра рабочих книг, созданных корпорацией Майкрософт и предоставленных сообществом, используйте страницу Рабочие книги Defender для IoT на портале Azure.
Каждый граф или диаграмма книги основана на запросе Azure Resource Graph (ARG), выполняющемся на ваших данных. В Defender для Интернета вещей с помощью запросов ARG можно выполнять следующие задачи:
- Сбор данных о состоянии датчика
- Обнаружение новых устройств в сети
- Поиск оповещений, связанных с конкретными IP-адресами
- Понимание того, какие оповещения видны каждым датчиком
Просмотр рабочих книг
Для просмотра предварительно настроенных рабочих книг, созданных компанией Майкрософт, или других рабочих книг, уже сохраненных в вашей подписке:
На портале Azure перейдите в раздел Defender для Интернета вещей и выберите пункт Книги в левой части экрана.
При необходимости измените параметры фильтрации и выберите книгу, чтобы открыть ее.
Defender для IoT предлагает следующие готовые рабочие тетради:
- Работоспособность датчиков. Отображает данные о работоспособности датчиков, такие как версии установленного на них программного обеспечения.
- Оповещения. Отображает данные об оповещениях, возникающих на датчиках, в том числе по отдельным датчикам, типам оповещений, недавно созданным оповещениям и т. д.
- Устройства. Отображает данные об инвентаризации устройств, в том числе по конкретным поставщикам, подтипам и новым идентифицированным устройствам.
- Уязвимости. Отображает данные об уязвимостях, обнаруженных на устройствах OT в сети. Выберите элемент в таблицах уязвимостей устройств, уязвимых устройств или уязвимых компонентов, чтобы просмотреть связанные сведения в таблицах справа.
Создание настраиваемых рабочих тетрадей
Страница Рабочие книги в Defender для Интернета вещей предназначена для создания пользовательских рабочих книг Azure Monitor в Defender для Интернета вещей.
На странице Рабочие книги выберите Новый, или, чтобы начать с другого шаблона, откройте книгу шаблона и выберите Изменить.
В новой книге выберите Добавитьи выберите параметр, который нужно добавить в книгу. При редактировании существующей книги или шаблона нажмите кнопку "Параметры" (...) справа, чтобы открыть меню Добавить.
В книгу можно добавить любой из следующих элементов:
Вариант Описание Текст Добавьте текст для описания графиков в рабочей книге или выполнение дополнительных необходимых действий. Параметры Определите параметры для использования в тексте и запросах книги. Ссылки/вкладки Добавление в книгу навигационных элементов, включая списки, ссылки на другие целевые объекты, дополнительные вкладки и панели инструментов. Запрос Добавьте запрос для использования при создании графиков и диаграмм в вашей книге.
— Убедитесь, что в качестве источника данных выбран Azure Resource Graph, и укажите все необходимые подписки.
— Добавьте графическое представление данных, выбрав нужный тип в параметрах визуализации.Метрика Добавьте метрики для использования при создании графиков и диаграмм в книге. Группа Добавление групп для упорядочения книг по областям. После настройки всех доступных параметров для каждого элемента рабочей книги нажмите кнопку Добавить... или Выполнить..., чтобы его создать. (например, Добавить параметр или Выполнить запрос).
Совет
Вы можете создавать запросы в Azure Resource Graph Explorer и копировать их в ваш рабочий запрос в книге.
На панели инструментов выберите Сохранить
или Сохранить как
, чтобы сохранить вашу рабочую книгу, а затем нажмите Завершить редактирование.Выберите Рабочие книги, чтобы вернуться на главную страницу со списком всех рабочих книг.
Ссылочные параметры в запросах
После создания параметра сослаться на него в запросе можно с помощью следующей синтаксической конструкции: {ParameterName}. Например:
iotsecurityresources
| where type == "microsoft.iotsecurity/sensors"
| extend Name=name
| extend Status= properties.sensorStatus
| where Name=={SensorName}
| project Name,Status
Примеры запросов
В этом разделе приводятся примеры запросов, которые обычно используются в книгах Defender для Интернета вещей.
Запросы оповещений
Распределение оповещений между датчиками
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| extend Sensor=properties.extendedProperties.SensorId
| where properties.status!='Closed'
| summarize Alerts=count() by tostring(Sensor)
| sort by Alerts desc
Новые оповещения за последние 24 часа
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| where properties.status!='Closed'
| extend AlertTime=properties.startTimeUtc
| extend Type=properties.displayName
| where AlertTime > ago(1d)
| project AlertTime, Type
Оповещения по исходному IP-адресу
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| extend Type=properties.displayName
| extend Source_IP=properties.extendedProperties.SourceDeviceAddress
| extend Destination_IP=properties.extendedProperties.DestinationDeviceAddress
| where Source_IP=='192.168.10.1'
| project Source_IP, Destination_IP, Type
Запросы устройства
Инвентаризация устройств OT по поставщикам
iotsecurityresources
| extend Vendor= properties.hardware.vendor
| where properties.deviceDataSource=='OtSensor'
| summarize Devices=count() by tostring(Vendor)
| sort by Devices
Инвентаризация устройств OT по подтипам, например: ПЛК, встраиваемое устройство, ИБП и т. д.
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| extend SubType=properties.deviceSubTypeDisplayName
| summarize Devices=count() by tostring(SubType)
| sort by Devices
Новые устройства OT по датчику, расположению и IPv4-адресу
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| extend TimeFirstSeen=properties.firstSeen
| where TimeFirstSeen > ago(1d)
| extend DeviceName=properties.deviceName
| extend Site=properties.sensor.site
| extend Sensor=properties.sensor.name
| extend IPv4=properties.nics.[0].ipv4Address
| where properties.deviceDataSource=='OtSensor'
| project TimeFirstSeen, Site, Sensor, DeviceName, IPv4
Сводка оповещений по уровням модели Purdue
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| project
resourceId = id,
affectedResource = tostring(properties.extendedProperties.DeviceResourceIds),
id = properties.systemAlertId
| join kind=leftouter (
iotsecurityresources | where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| project
sensor = properties.sensor.name,
zone = properties.sensor.zone,
site = properties.sensor.site,
deviceProperties=properties,
affectedResource = tostring(id)
) on affectedResource
| project-away affectedResource1
| where deviceProperties.deviceDataSource == 'OtSensor'
| summarize Alerts=count() by tostring(deviceProperties.purdueLevel)
Следующие шаги
Дополнительные сведения о просмотре панелей мониторинга и отчетов в консоли датчиков:
- Выполнение запросов интеллектуального анализа данных
- Отчеты об оценке рисков
- Создание панелей мониторинга тенденций и статистики
Узнайте больше о рабочих книгах Azure Monitor и Azure Resource Graph.