Tutorial: Verbinden von Microsoft Defender for IoT mit Microsoft Sentinel
Microsoft Defender for IoT bietet Schutz für Ihre gesamte OT- und Enterprise IoT-Umgebung. Dabei spielt es keine Rolle, ob Sie vorhandene Geräte schützen oder Sicherheit in neue Innovationen integrieren müssen.
Microsoft Sentinel und Microsoft Defender for IoT helfen dabei, die Lücke zwischen IT- und OT-Sicherheitsherausforderungen zu schließen und SOC-Teams mit vorgefertigten Möglichkeiten auszustatten, um Sicherheitsbedrohungen effizient und effektiv zu erkennen und zu begegnen. Die Integration von Microsoft Defender für IoT und Microsoft Sentinel hilft Organisationen bei der schnellen Erkennung mehrstufiger Angriffe, die häufig IT- und OT-Grenzen überschreiten.
Mit diesem Connector können Sie Microsoft Defender for IoT-Daten in Microsoft Sentinel streamen, damit Sie Defender for IoT-Warnungen und die von Ihnen generierten Incidents in einem umfassenderen Bedrohungskontext der Organisation anzeigen, analysieren und darauf reagieren können.
In diesem Tutorial lernen Sie Folgendes:
- Verbinden von Defender for IoT-Daten mit Microsoft Sentinel
- Abfragen von Defender for IoT-Warnungsdaten mit Log Analytics
Voraussetzungen
Bevor Sie beginnen, stellen Sie sicher, dass Ihr Arbeitsbereich die folgenden Voraussetzungen erfüllt:
Die Berechtigungen Lesen und Schreiben für Ihren Microsoft Sentinel-Arbeitsbereich. Weitere Informationen hierzu finden Sie unter Berechtigungen in Microsoft Sentinel.
Die Berechtigungen Mitwirkender oder Besitzer für das Abonnement, das Sie mit Microsoft Sentinel verbinden möchten.
Ein Defender for IoT-Plan für Ihr Azure-Abonnement mit Datenstreaming in Defender for IoT. Weitere Informationen finden Sie unter Schnellstart: Erste Schritte mit Defender for IoT.
Wichtig
Wenn derzeit sowohl der Datenconnector „Microsoft Defender für IoT“ als auch der Datenconnector Microsoft Defender für Cloud gleichzeitig im selben Arbeitsbereich von Microsoft Sentinel aktiviert sind, kann dies zu einer Duplikation der Warnungen in Microsoft Sentinel führen. Es wird empfohlen, den Datenconnector „Microsoft Defender für Cloud“ zu trennen, bevor Sie eine Verbindung mit Microsoft Defender für IoT herstellen.
Verbinden Ihrer Daten aus Defender für IoT mit Microsoft Sentinel
Aktivieren Sie zunächst den Datenconnector Defender für IoT, um alle Ihre Defender für IoT-Ereignisse in Microsoft Sentinel zu streamen.
So aktivieren Sie den Datenconnector „Defender für IoT“
Wählen Sie in Microsoft Sentinel unter Konfiguration die Option Datenconnectors aus, und wechseln Sie zum Datenconnector Microsoft Defender für IoT.
Wählen Sie rechts unten Connectorseite öffnen aus.
Wählen Sie auf der Registerkarte Anweisungen unter Konfiguration die Option Verbinden für jedes Abonnement aus, dessen Warnungen und Gerätewarnungen Sie in Microsoft Sentinel streamen möchten.
Wenn Sie Änderungen an der Verbindung vorgenommen haben, dauert die Aktualisierung der Liste Abonnement mindestens 10 Sekunden.
Weitere Informationen finden Sie unter Verbinden von Microsoft Sentinel mit Azure-, Windows-, Microsoft- und Amazon-Diensten.
Anzeigen von Defender für IoT-Warnungen
Nachdem Sie ein Abonnement mit Microsoft Sentinel verbunden haben, können Sie Defender for IoT-Warnungen im Bereich Protokolle von Microsoft Sentinel anzeigen.
Wählen Sie in Microsoft Sentinel Protokolle > AzureSecurityOfThings > SecurityAlert aus, oder suchen Sie nach SecurityAlert.
Mit den folgenden Beispielabfragen können Sie die Protokolle filtern und die von Defender für IoT angemeldeten Warnungen anzeigen:
So zeigen Sie alle von Defender für IoT generierten Warnungen an
SecurityAlert | where ProductName == "Azure Security Center for IoT"So zeigen Sie von Defender für IoT generierte bestimmte Sensorwarnungen an
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where tostring(parse_json(ExtendedProperties).SensorId) == “<sensor_name>”So zeigen Sie von Defender für IoT generierte OT-Enginewarnungen an
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "MALWARE" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "ANOMALY" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "PROTOCOL_VIOLATION" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "POLICY_VIOLATION" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "OPERATIONAL"So zeigen Sie von Defender für IoT generierte Warnungen mit hohem Schweregrad an
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where AlertSeverity == "High"So zeigen Sie von Defender für IoT generierte Protokollwarnungen an
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where tostring(parse_json(ExtendedProperties).Protocol) == "<protocol_name>"
Hinweis
Die Seite Protokolle in Microsoft Sentinel basiert auf der Azure Monitor-Funktion „Log Analytics“.
Weitere Informationen finden Sie in der Azure Monitor-Dokumentation unter Übersicht über Protokollabfragen und im Lernmodul Schreiben Ihrer ersten KQL-Abfrage.
Verstehen von Zeitstempeln für Warnungen
Defender for IoT-Warnungen, sowohl im Azure-Portal als auch in der Sensorkonsole, verfolgen die Zeit, zu der eine Warnung erstmals festgestellt, zuletzt erkannt und zuletzt geändert wurde.
In der folgenden Tabelle werden die Defender for IoT-Warnungsstempelfelder beschrieben und den relevanten Feldern aus Log Analytics in Microsoft Sentinel zugeordnet.
| Defender for IoT-Feld | BESCHREIBUNG | Log Analytics-Feld |
|---|---|---|
| Erste Erkennung | Definiert, wann die Warnung erstmals im Netzwerk erkannt wurde. | StartTime |
| Letzte Erkennung | Definiert, wann die Warnung zuletzt im Netzwerk erkannt wurde, und ersetzt die Spalte Erkennungszeit. | EndTime |
| Letzte Aktivität | Definiert, wann die Warnung zuletzt geändert wurde, einschließlich manueller Updates für Schweregrad oder Status oder automatisierter Änderungen für Geräteupdates oder Geräte-/Warnungsdeduplizierungen. | TimeGenerated |
In Defender for IoT im Azure-Portal und in der Sensorkonsole wird standardmäßig die Spalte Letzte Erkennung angezeigt. Bearbeiten Sie die Spalten auf der Seite Warnungen, um die Spalten Erste Erkennung und Letzte Aktivität nach Bedarf anzuzeigen.
Weitere Informationen finden Sie unter Anzeigen von Warnungen im Defender for IoT-Portal und unter Anzeigen von Warnungen für Ihren Sensor.
Grundlegendes zu mehreren Datensätzen pro Warnung
Defender für IoT-Warnungsdaten werden an den Microsoft Sentinel-Dienst gestreamt und in Ihrem Log Analytics-Arbeitsbereich in der Tabelle SecurityAlert gespeichert.
Datensätze in der Tabelle "SecurityAlert " werden jedes Mal erstellt, wenn eine Warnung in Defender für IoT generiert oder aktualisiert wird. Manchmal enthält eine einzelne Warnung mehrere Datensätze, z. B. bei der Erstellung der Warnung und dann erneut bei deren Update.
Verwenden Sie in Microsoft Sentinel die folgende Abfrage, um die Datensätze, die der SecurityAlert-Tabelle hinzugefügt wurden, auf eine einzelne Warnung zu überprüfen:
SecurityAlert
| where ProductName == "Azure Security Center for IoT"
| where VendorOriginalId == "Defender for IoT Alert ID"
| sort by TimeGenerated desc
Updates für warnungsstatus oder schweregrad generieren sofort neue Datensätze in der Tabelle "SecurityAlert ".
Andere Arten von Updates werden bis zu 12 Stunden aggregiert, und neue Datensätze in der Tabelle "SecurityAlert " spiegeln nur die neueste Änderung wider. Beispiele für aggregierte Updates sind:
- Updates der letzten Erkennungszeit, z. B. wenn dieselbe Warnung mehrmals erkannt wird
- Einer vorhandenen Warnung wird ein neues Gerät hinzugefügt.
- Die Geräteeigenschaften für eine Warnung werden aktualisiert.
Nächste Schritte
Die Microsoft Defender for IoT-Lösung umfasst eine Reihe von gebündelten, vorkonfigurierten Inhalten, die speziell für Defender for IoT-Daten konfiguriert sind, und enthält Analyseregeln, Arbeitsmappen und Playbooks.