Визуализация данных Microsoft Defender для Интернета вещей с помощью книг Azure Monitor
В книгах Azure Monitor представлены графы, диаграммы и панели мониторинга, на которых визуально отражены данные, хранящиеся в ваших подписках Azure Resource Graph и доступные непосредственно в Microsoft Defender для Интернета вещей.
Для просмотра готовых книг, созданных корпорацией Майкрософт либо опубликованных в сообществе клиентами, используйте новую страницу Книги Defender для Интернета вещей на портале Azure.
Каждый граф или диаграмма книги основана на запросе Azure Resource Graph (ARG), выполняющемся на ваших данных. В Defender для Интернета вещей с помощью запросов ARG можно выполнять следующие задачи:
- Сбор данных о состоянии датчика
- Обнаружение новых устройств в сети
- Поиск оповещений, связанных с конкретными IP-адресами
- Сведения о том, какие оповещения отображаются каждым датчиком
Просмотр книг
Для просмотра готовых книг, созданных корпорацией Майкрософт, или других книг, уже сохраненных в вашей подписке:
На портале Azure перейдите в раздел Defender для Интернета вещей и выберите пункт Книги в левой части экрана.
При необходимости измените параметры фильтрации и выберите книгу, чтобы открыть ее.
Defender для Интернета вещей предлагает следующие готовые книги:
- Работоспособность датчиков. Отображает данные о работоспособности датчиков, такие как версии установленного на них программного обеспечения.
- Оповещения. Отображает данные об оповещениях, возникающих на датчиках, в том числе по отдельным датчикам, типам оповещений, недавно созданным оповещениям и т. д.
- Устройства. Отображает данные об инвентаризации устройств, в том числе по конкретным поставщикам, подтипам и новым идентифицированным устройствам.
- Уязвимости. Отображает данные об уязвимостях, обнаруженных на устройствах OT в сети. Выберите элемент в таблицах уязвимостей устройств, уязвимых устройств или уязвимых компонентов, чтобы просмотреть связанные сведения в таблицах справа.
Создание настраиваемых книг
Страница Книги Defender для Интернета вещей предназначена для создания настраиваемых книг Azure Monitor непосредственно в Defender для Интернета вещей.
На странице Книги выберите Создать или начните с другого шаблона, откройте книгу шаблона и выберите Изменить.
В новой книге выберите Добавитьи выберите параметр, который нужно добавить в книгу. При редактировании существующей книги или шаблона нажмите кнопку "Параметры" (...) справа, чтобы открыть меню Добавить.
В книгу можно добавить любой из следующих элементов:
Вариант Описание Текст Добавление текста для описания графиков в книге и других необходимых действий. Параметры Определение параметров для использования в тексте и запросах книги. Ссылки/вкладки Добавление в книгу навигационных элементов, включая списки, ссылки на другие целевые объекты, дополнительные вкладки и панели инструментов. Запрос Добавление запроса для использования при создании графиков и диаграмм в книге.
— Убедитесь, что в качестве источника данных выбран Azure Resource Graph, и укажите все необходимые подписки.
— Добавьте графическое представление данных, выбрав нужный тип в параметрах визуализации.Метрика Добавление метрик, используемых при создании графиков и диаграмм в книге. Групповое Добавление групп для упорядочения книг по областям. После настройки всех доступных параметров для каждого элемента книги нажмите кнопку Добавить... или Выполнить..., чтобы создать его (например, Добавить параметр или Выполнить запрос).
Совет
Вы можете создавать запросы в обозревателе Azure Resource Graph и копировать их в запрос книги.
На панели инструментов нажмите кнопку "Сохранить" или "
Сохранить"
, чтобы сохранить книгу, а затем нажмите кнопку "Готово".Выберите Книги, чтобы вернуться на главную страницу со списком всех книг.
Ссылочные параметры в запросах
После создания параметра сослаться на него в запросе можно с помощью следующей синтаксической конструкции: {ParameterName}. Например:
iotsecurityresources
| where type == "microsoft.iotsecurity/sensors"
| extend Name=name
| extend Status= properties.sensorStatus
| where Name=={SensorName}
| project Name,Status
Примеры запросов
В этом разделе приводятся примеры запросов, которые обычно используются в книгах Defender для Интернета вещей.
Запросы оповещений
Распределение оповещений между датчиками
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| extend Sensor=properties.extendedProperties.SensorId
| where properties.status!='Closed'
| summarize Alerts=count() by tostring(Sensor)
| sort by Alerts desc
Новые оповещения за последние 24 часа
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| where properties.status!='Closed'
| extend AlertTime=properties.startTimeUtc
| extend Type=properties.displayName
| where AlertTime > ago(1d)
| project AlertTime, Type
Оповещения по исходному IP-адресу
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| extend Type=properties.displayName
| extend Source_IP=properties.extendedProperties.SourceDeviceAddress
| extend Destination_IP=properties.extendedProperties.DestinationDeviceAddress
| where Source_IP=='192.168.10.1'
| project Source_IP, Destination_IP, Type
Запросы устройства
Инвентаризация устройств OT по поставщикам
iotsecurityresources
| extend Vendor= properties.hardware.vendor
| where properties.deviceDataSource=='OtSensor'
| summarize Devices=count() by tostring(Vendor)
| sort by Devices
Инвентаризация устройств OT по подтипам, например: ПЛК, встраиваемое устройство, ИБП и т. д.
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| extend SubType=properties.deviceSubTypeDisplayName
| summarize Devices=count() by tostring(SubType)
| sort by Devices
Новые устройства OT по датчику, расположению и IPv4-адресу
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| extend TimeFirstSeen=properties.firstSeen
| where TimeFirstSeen > ago(1d)
| extend DeviceName=properties.deviceName
| extend Site=properties.sensor.site
| extend Sensor=properties.sensor.name
| extend IPv4=properties.nics.[0].ipv4Address
| where properties.deviceDataSource=='OtSensor'
| project TimeFirstSeen, Site, Sensor, DeviceName, IPv4
Сводка оповещений по уровню Пердью
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| project
resourceId = id,
affectedResource = tostring(properties.extendedProperties.DeviceResourceIds),
id = properties.systemAlertId
| join kind=leftouter (
iotsecurityresources | where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| project
sensor = properties.sensor.name,
zone = properties.sensor.zone,
site = properties.sensor.site,
deviceProperties=properties,
affectedResource = tostring(id)
) on affectedResource
| project-away affectedResource1
| where deviceProperties.deviceDataSource == 'OtSensor'
| summarize Alerts=count() by tostring(deviceProperties.purdueLevel)
Следующие шаги
Дополнительные сведения о просмотре панелей мониторинга и отчетов в консоли датчиков:
- Выполнение запросов интеллектуального анализа данных
- Отчеты об оценке рисков
- Создание панелей мониторинга тенденций и статистики
Дополнительные сведения о книгах Azure Monitor и Azure Resource Graph: