Mengakses data keamanan Anda

  • Artikel

Defender untuk IoT menyimpan peringatan keamanan, rekomendasi, dan data keamanan mentah (jika Anda memilih untuk menyimpannya) di ruang kerja Analitik Log Anda.

Log Analytics

Untuk mengonfigurasi ruang kerja Log Analytics mana yang digunakan:

  1. Buka hub IoT-mu.
  2. Pilih bilah Pengaturan di bawah bagian Keamanan.
  3. Klik Kumpulan Data, dan ubah konfigurasi ruang kerja Analitik Log Anda.

Untuk mengakses pemberitahuan dan rekomendasi Anda di ruang kerja Analitik Log Anda setelah konfigurasi:

  1. Pilih pemberitahuan atau rekomendasi di Defender untuk IoT.
  2. Klik investigasi lebih lanjut, lalu klik Untuk melihat perangkat mana yang memiliki pemberitahuan ini klik di sini dan melihat kolom DeviceId.

Untuk detail tentang kueri data dari Analitik Log, lihat Memulai dengan kueri log di Azure Monitor.

Peringatan keamanan

Peringatan keamanan disimpan dalam tabel AzureSecurityOfThings.SecurityAlert di ruang kerja Analitik Log yang dikonfigurasi untuk solusi Defender untuk IoT.

Kami menyediakan banyak kueri yang berguna untuk membantu Anda mulai menjelajahi pemberitahuan keamanan.

Contoh rekaman

Memilih beberapa rekaman acak

// Select a few random records
//
SecurityAlert
| project
    TimeGenerated,
    IoTHubId=ResourceId,
    DeviceId=tostring(parse_json(ExtendedProperties)["DeviceId"]),
    AlertSeverity,
    DisplayName,
    Description,
    ExtendedProperties
| take 3
TimeGenerated IoTHubId DeviceId AlertSeverity DisplayName Deskripsi ExtendedProperties
2018-11-18T18:10:29.000 /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Sangat Penting Serangan brute force berhasil Serangan brute force pada perangkat berhasil { "Alamat Sumber Lengkap": "["10.165.12.18:"]", "Nama Pengguna": "[""]", "DeviceId": "IoT-Device-Linux" }
2018-11-19T12:40:31.000 /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Sangat Penting Berhasil masuk lokal pada perangkat Masuk lokal yang sukses ke perangkat terdeteksi { "Alamat Jarak Jauh": "?", "Port Jarak Jauh": "", "Port Lokal": "", "Login Shell": "/bin/su", "Login Process Id": "28207", "Nama Pengguna": "penyerang", "DeviceId": "IoT-Perangkat-Linux" }
2018-11-19T12:40:31.000 /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Sangat Penting Upaya masuk lokal gagal pada peranti Upaya masuk lokal yang gagal ke perangkat terdeteksi { "Alamat Jarak Jauh": "?", "Port Jarak Jauh": "", "Port Lokal": "", "Login Shell": "/bin/su", "Login Process Id": "22644", "Nama Pengguna": "penyerang", "DeviceId": "IoT-Peranti-Linux" }

Ringkasan perangkat

Dapatkan jumlah peringatan keamanan berbeda yang terdeteksi dalam minggu lalu, dikelompokkan menurut IoT Hub, perangkat, tingkat keparahan peringatan, jenis peringatan.

// Get the number of distinct security alerts detected in the last week, grouped by
//   IoT hub, device, alert severity, alert type
//
SecurityAlert
| where TimeGenerated > ago(7d)
| summarize Cnt=dcount(SystemAlertId) by
    IoTHubId=ResourceId,
    DeviceId=tostring(parse_json(ExtendedProperties)["DeviceId"]),
    AlertSeverity,
    DisplayName
IoTHubId DeviceId AlertSeverity DisplayName Hitung
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Sangat Penting Serangan brute force berhasil 9
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Medium Upaya masuk lokal gagal pada peranti 242
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Sangat Penting Berhasil masuk lokal pada perangkat 31
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Medium Penambang Koin Kripto 4

Ringkasan hub IoT

Pilih sejumlah perangkat berbeda yang memiliki pemberitahuan dalam seminggu terakhir, oleh IoT Hub, tingkat keparahan peringatan, jenis peringatan

// Select number of distinct devices which had alerts in the last week, by
//   IoT hub, alert severity, alert type
//
SecurityAlert
| where TimeGenerated > ago(7d)
| extend DeviceId=tostring(parse_json(ExtendedProperties)["DeviceId"])
| summarize CntDevices=dcount(DeviceId) by
    IoTHubId=ResourceId,
    AlertSeverity,
    DisplayName
IoTHubId AlertSeverity DisplayName CntDevices
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> Sangat Penting Serangan brute force berhasil 1
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> Medium Upaya masuk lokal gagal pada peranti 1
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> Sangat Penting Berhasil masuk lokal pada perangkat 1
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> Medium Penambang Koin Kripto 1

Rekomendasi keamanan

Rekomendasi keamanan disimpan di AzureSecurityOfThings.SecurityRecommendation table di ruang kerja Log Analytics yang dikonfigurasi untuk solusi Defender for IoT.

Kami menyediakan banyak kueri yang berguna untuk membantu Anda mulai menjelajahi rekomendasi keamanan.

Contoh rekaman

Memilih beberapa rekaman acak

// Select a few random records
//
SecurityRecommendation
| project
    TimeGenerated,
    IoTHubId=AssessedResourceId,
    DeviceId,
    RecommendationSeverity,
    RecommendationState,
    RecommendationDisplayName,
    Description,
    RecommendationAdditionalData
| take 2
TimeGenerated IoTHubId DeviceId RekomendasiKeparahan RekomendasiState RekomendasiDisplayNama Deskripsi RekomendasiDataTambahan
2019-03-22T10:21:06.060 /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Medium Aktif Aturan firewall permisif dalam rantai input ditemukan Aturan dalam firewall ditemukan yang berisi pola permisif untuk berbagai alamat IP atau Port {"Rules":"[{"SourceAddress":"","SourcePort":"","DestinationAddress":"","DestinationPort":"1337"}]"}
2019-03-22T10:50:27.237 /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Medium Aktif Aturan firewall permisif dalam rantai input ditemukan Aturan dalam firewall ditemukan yang berisi pola permisif untuk berbagai alamat IP atau Port {"Rules":"[{"SourceAddress":"","SourcePort":"","DestinationAddress":"","DestinationPort":"1337"}]"}

Ringkasan perangkat

Dapatkan jumlah rekomendasi keamanan aktif yang berbeda, dikelompokkan menurut IoT Hub, perangkat, tingkat keparahan rekomendasi, dan jenis.

// Get the number of distinct active security recommendations, grouped by
//   IoT hub, device, recommendation severity and type
//
SecurityRecommendation
| extend IoTHubId=AssessedResourceId
| summarize CurrentState=arg_max(RecommendationState, DiscoveredTimeUTC) by IoTHubId, DeviceId, RecommendationSeverity, RecommendationDisplayName
| where CurrentState == "Active"
| summarize Cnt=count() by IoTHubId, DeviceId, RecommendationSeverity
IoTHubId DeviceId RekomendasiKeparahan Hitung
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Sangat Penting 2
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Medium 1
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Sangat Penting 1
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Medium 4

Langkah berikutnya