البرنامج التعليمي: الاتصال Microsoft Defender for IoT مع Microsoft Sentinel

يتيح لك Microsoft Defender for IoT تأمين بيئة OT وEnterprise IoT بأكملها، سواء كنت بحاجة إلى حماية الأجهزة الموجودة أو بناء الأمان في الابتكارات الجديدة.

يساعد Microsoft Sentinel وMicrosoft Defender for IoT على سد الفجوة بين تحديات أمان تكنولوجيا المعلومات وOT، وتمكين فرق SOC من القدرات الجاهزة للكشف عن التهديدات الأمنية والاستجابة لها بكفاءة وفعالية. يساعد التكامل بين Microsoft Defender for IoT وMicrosoft Sentinel المؤسسات على اكتشاف الهجمات متعددة المراحل بسرعة، والتي غالبًا ما تعبر حدود تكنولوجيا المعلومات وOT.

يسمح لك هذا الموصل ببث بيانات Microsoft Defender for IoT إلى Microsoft Sentinel، حتى تتمكن من عرض تنبيهات Defender ل IoT وتحليلها والاستجابة لها، والحوادث التي تنشئها، في سياق تهديد مؤسسي أوسع.

في هذا البرنامج التعليمي، سوف تتعلم كيفية:

• الاتصال Defender لبيانات IoT إلى Microsoft Sentinel
• استخدام Log Analytics للاستعلام عن بيانات تنبيه Defender ل IoT

المتطلبات الأساسية

قبل البدء، تأكد من أن لديك المتطلبات التالية على مساحة العمل الخاصة بك:

• أذونات القراءة والكتابةعلى مساحة عمل Microsoft Sentinel. لمزيد من المعلومات، راجعالأذونات في Microsoft Azure Sentinel.

• أذونات المساهم أو المالك على الاشتراك الذي تريد الاتصال به ب Microsoft Sentinel.

• خطة Defender ل IoT على اشتراك Azure الخاص بك مع تدفق البيانات إلى Defender for IoT. لمزيد من المعلومات، راجع التشغيل السريع: بدء استخدام Defender for IoT.

هام

حاليًا، قد يؤدي تمكين موصلات بيانات Microsoft Defender لـIoT وMicrosoft Defender لـCloud على نفس مساحة عمل Microsoft Sentinel في وقت واحد إلى تنبيهات مكررة في Microsoft Sentinel. نوصي بقطع اتصال موصل بيانات Microsoft Defender لـCloud قبل الاتصال بـMicrosoft Defender لـIoT.

توصيل بياناتك من Defender لـIoT إلى Microsoft Sentinel

ابدأ بتمكين موصل بيانات Defender لـIoT من دفق جميع أحداث Defender لـIoT إلى Microsoft Sentinel.

لتمكين موصل بيانات Defender for IoT:

1. في Microsoft Sentinel، ضمن Configuration، حدد Data connectors، ثم حدد موقع موصل بيانات Microsoft Defender لـIoT.

2. في أسفل اليمين، حدد فتح صفحة الموصل.

3. في علامة التبويب إرشادات، ضمن التكوين، حدد الاتصال لكل اشتراك تريد دفق تنبيهاته وتنبيهات الجهاز الخاصة به إلى Microsoft Sentinel.

   إذا أجريت أي تغييرات على الاتصال، فقد يستغرق تحديث قائمة الاشتراك 10 ثوانٍ أو أكثر.

لمزيد من المعلومات، راجع توصيل Microsoft Azure Sentinel بخدمات Azure وWindows وMicrosoft وAmazon.

عرض تنبيهات Defender لـIoT

بعد توصيل اشتراك ب Microsoft Sentinel، ستتمكن من عرض تنبيهات Defender for IoT في منطقة سجلات Microsoft Sentinel.

1. في Microsoft Sentinel، حدد Logs > AzureSecurityOfThings > SecurityAlert، أو ابحث عن SecurityAlert.

2. استخدم نماذج الاستعلامات التالية لتصفية السجلات وعرض التنبيهات التي تم إنشاؤها بواسطة Defender لـIoT:

   لمشاهدة جميع التنبيهات التي تم إنشاؤها بواسطة Defender لـIoT:

   SecurityAlert | where ProductName == "Azure Security Center for IoT"
   

   لمشاهدة تنبيهات مستشعر محددة تم إنشاؤها بواسطة Defender لـIoT:

   SecurityAlert
   | where ProductName == "Azure Security Center for IoT"
   | where tostring(parse_json(ExtendedProperties).SensorId) == “<sensor_name>”
   

   لمشاهدة تنبيهات محددة لمحرك OT تم إنشاؤها بواسطة Defender لـ IoT:

   SecurityAlert
   | where ProductName == "Azure Security Center for IoT"
   | where ProductComponentName == "MALWARE"
   
   SecurityAlert
   | where ProductName == "Azure Security Center for IoT"
   | where ProductComponentName == "ANOMALY"
   
   SecurityAlert
   | where ProductName == "Azure Security Center for IoT"
   | where ProductComponentName == "PROTOCOL_VIOLATION"
   
   SecurityAlert
   | where ProductName == "Azure Security Center for IoT"
   | where ProductComponentName == "POLICY_VIOLATION"
   
   SecurityAlert
   | where ProductName == "Azure Security Center for IoT"
   | where ProductComponentName == "OPERATIONAL"
   

   لمشاهدة التنبيهات عالية الخطورة التي تم إنشاؤها بواسطة Defender لـ IoT:

   SecurityAlert
   | where ProductName == "Azure Security Center for IoT"
   | where AlertSeverity == "High"
   

   لمشاهدة تنبيهات بروتوكول محددة تم إنشاؤها بواسطة Defender لـ IoT:

   SecurityAlert
   | where ProductName == "Azure Security Center for IoT"
   | where tostring(parse_json(ExtendedProperties).Protocol) == "<protocol_name>"
   

إشعار

تستند صفحة السجلات في Microsoft Sentinel إلى تحليلات السجل الخاصة بـAzure Monitor.

لمزيد من المعلومات، راجع نظرة عامة على استعلامات السجل في وثائق Azure Monitor والوحدة النمطية Learn لكتابة استعلام KQL الأول.

فهم الطوابع الزمنية للتنبيه

Defender لتنبيهات IoT، في كل من مدخل Microsoft Azure وعلى وحدة تحكم المستشعر، تعقب وقت اكتشاف تنبيه لأول مرة، وآخر اكتشاف، وآخر تغيير.

يصف الجدول التالي حقول الطابع الزمني لتنبيه Defender for IoT، مع تعيين إلى الحقول ذات الصلة من Log Analytics الموضحة في Microsoft Sentinel.

حقل Azure Defender لإنترنت الأشياء	‏‏الوصف	سجل تحليلات المجال
الكشف الأول	تحديد المرة الأولى التي تم فيها الكشف عن التنبيه في الشبكة.	StartTime
الكشف الأخير	يحدد آخر مرة تم فيها الكشف عن التنبيه في الشبكة، ويستبدل عمود وقت الكشف.	EndTime
آخر نشاط	يحدد آخر مرة تم فيها تغيير التنبيه، بما في ذلك التحديثات اليدوية للخطورة أو الحالة، أو التغييرات التلقائية لتحديثات الجهاز أو إلغاء تكرار الجهاز/التنبيه	TimeGenerated

في Defender for IoT على مدخل Microsoft Azure ووحدة تحكم المستشعر، يتم عرض عمود الكشف الأخير بشكل افتراضي. قم بتحرير الأعمدة في صفحة التنبيهات لإظهار عمودي الكشف الأولوالنشاط الأخير حسب الحاجة.

لمزيد من المعلومات، راجع عرض التنبيهات على مدخل Defender for IoTوعرض التنبيهات على جهاز الاستشعار الخاص بك.

فهم سجلات متعددة لكل تنبيه

يتم دفق بيانات تنبيه Defender for IoT إلى Microsoft Sentinel وتخزينها في مساحة عمل Log Analytics، في جدول SecurityAlert .

يتم إنشاء السجلات في جدول SecurityAlert في كل مرة يتم فيها إنشاء تنبيه أو تحديثه في Defender for IoT. في بعض الأحيان سيكون للتنبيه الواحد سجلات متعددة، مثل وقت إنشاء التنبيه لأول مرة ثم مرة أخرى عند تحديثه.

في Microsoft Sentinel، استخدم الاستعلام التالي للتحقق من السجلات المضافة إلى جدول SecurityAlert لتنبيه واحد:

SecurityAlert
|  where ProductName == "Azure Security Center for IoT"
|  where VendorOriginalId == "Defender for IoT Alert ID"
| sort by TimeGenerated desc

التحديثات لحالة التنبيه أو الخطورة إنشاء سجلات جديدة في جدول SecurityAlert على الفور.

يتم تجميع أنواع التحديثات الأخرى خلال ما يصل إلى 12 ساعة، وتعكس السجلات الجديدة في جدول SecurityAlert التغيير الأخير فقط. تتضمن أمثلة التحديثات المجمعة ما يلي:

• التحديثات في وقت الكشف الأخير، مثل وقت اكتشاف نفس التنبيه عدة مرات
• تتم إضافة جهاز جديد إلى تنبيه موجود
• يتم تحديث خصائص الجهاز لتنبيه

الخطوات التالية

حل Microsoft Defender for IoT هو مجموعة من المحتوى المجمع وغير الجاهز الذي تم تكوينه خصيصا لبيانات Defender for IoT، ويتضمن قواعد التحليلات والمصنفات ودلائل المبادئ.

تثبيت حل Microsoft Defender for IoT