Visualizar Microsoft Defender para dados IoT com livros do Azure Monitor
Os livros do Azure Monitor fornecem gráficos, gráficos e dashboards que refletem visualmente os dados armazenados nas subscrições do Azure Resource Graph e estão disponíveis diretamente no Microsoft Defender para IoT.
No portal do Azure, utilize a página Livros do Defender para IoT para ver livros criados pela Microsoft e fornecidos fora da caixa, ou criados por clientes e partilhados em toda a comunidade.
Cada gráfico ou gráfico de livro baseia-se numa consulta do Azure Resource Graph (ARG) em execução nos seus dados. No Defender para IoT, pode utilizar consultas ARG para:
- Recolher estados do sensor
- Identificar novos dispositivos na sua rede
- Localizar alertas relacionados com endereços IP específicos
- Compreender que alertas são vistos por cada sensor
Ver livros
Para ver livros fora da caixa criados pela Microsoft ou outros livros já guardados na sua subscrição:
No portal do Azure, aceda a Defender para IoT e selecione Livros à esquerda.
Modifique as opções de filtragem, se necessário, e selecione um livro para o abrir.
O Defender para IoT fornece os seguintes livros fora da caixa:
- Estado de funcionamento do sensor. Apresenta dados sobre o estado de funcionamento do sensor, como as versões de software da consola do sensor instaladas nos sensores.
- Alertas. Apresenta dados sobre alertas que ocorrem nos sensores, incluindo alertas por sensor, tipos de alerta, alertas recentes gerados e muito mais.
- Dispositivos. Apresenta dados sobre o inventário de dispositivos, incluindo dispositivos por fornecedor, subtipo e novos dispositivos identificados.
- Vulnerabilidades. Apresenta dados sobre as Vulnerabilidades detetadas em dispositivos OT na sua rede. Selecione um item nas tabelas Vulnerabilidades do dispositivo, Dispositivos vulneráveis ou Componentes vulneráveis para ver informações relacionadas nas tabelas à direita.
Criar livros personalizados
Utilize a página Livros do Defender para IoT para criar livros personalizados do Azure Monitor diretamente no Defender para IoT.
Na página Livros , selecione Novo ou, para começar a partir de outro modelo, abra o livro de modelos e selecione Editar.
No seu novo livro, selecione Adicionar e selecione a opção que pretende adicionar ao seu livro. Se estiver a editar um livro ou modelo existente, selecione o botão de opções (...) à direita para aceder ao menu Adicionar .
Pode adicionar qualquer um dos seguintes elementos ao seu livro:
Opção Descrição Texto Adicione texto para descrever os gráficos apresentados no seu livro ou qualquer ação adicional necessária. Parâmetros Defina os parâmetros a utilizar no texto e nas consultas do livro. Ligações/separadores Adicione elementos de navegação ao seu livro, incluindo listas, ligações para outros destinos, separadores adicionais ou barras de ferramentas. Query Adicione uma consulta a utilizar ao criar gráficos e gráficos de livros.
- Certifique-se de que seleciona Azure Resource Graph como a sua Origem de dados e selecione todas as suas subscrições relevantes.
- Adicione uma representação gráfica aos seus dados ao selecionar um tipo nas opções de Visualização .Métrica Adicione métricas a utilizar ao criar gráficos e gráficos de livros. Grupo Adicione grupos para organizar os seus livros em sub-áreas. Para cada opção, depois de definir todas as definições disponíveis, selecione o botão Adicionar... ou Executar... para criar esse elemento de livro. Por exemplo, Adicionar parâmetro ou Executar Consulta.
Dica
Pode criar as suas consultas no Explorador de Resource Graph do Azure e copiá-las para a consulta do livro.
Na barra de ferramentas, selecione Guardar ou Guardar como para guardar o seu livro e, em seguida, selecione Edição concluída.
Selecione Livros para voltar à página do livro principal com a listagem completa do livro.
Parâmetros de referência nas suas consultas
Depois de criar um parâmetro, veja-o na consulta com a seguinte sintaxe: {ParameterName}
. Por exemplo:
iotsecurityresources
| where type == "microsoft.iotsecurity/sensors"
| extend Name=name
| extend Status= properties.sensorStatus
| where Name=={SensorName}
| project Name,Status
Consultas de exemplo
Esta secção fornece consultas de exemplo que são frequentemente utilizadas em livros do Defender para IoT.
Consultas de alerta
Distribuição de alertas entre sensores
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| extend Sensor=properties.extendedProperties.SensorId
| where properties.status!='Closed'
| summarize Alerts=count() by tostring(Sensor)
| sort by Alerts desc
Novos alertas das últimas 24 horas
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| where properties.status!='Closed'
| extend AlertTime=properties.startTimeUtc
| extend Type=properties.displayName
| where AlertTime > ago(1d)
| project AlertTime, Type
Alertas por endereço IP de origem
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| extend Type=properties.displayName
| extend Source_IP=properties.extendedProperties.SourceDeviceAddress
| extend Destination_IP=properties.extendedProperties.DestinationDeviceAddress
| where Source_IP=='192.168.10.1'
| project Source_IP, Destination_IP, Type
Consultas de dispositivos
Inventário de dispositivos OT por fornecedor
iotsecurityresources
| extend Vendor= properties.hardware.vendor
| where properties.deviceDataSource=='OtSensor'
| summarize Devices=count() by tostring(Vendor)
| sort by Devices
Inventário de dispositivos OT por sub-tipo, como PLC, dispositivo incorporado, UPS, etc.
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| extend SubType=properties.deviceSubTypeDisplayName
| summarize Devices=count() by tostring(SubType)
| sort by Devices
Novos dispositivos OT por sensor, site e endereço IPv4
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| extend TimeFirstSeen=properties.firstSeen
| where TimeFirstSeen > ago(1d)
| extend DeviceName=properties.deviceName
| extend Site=properties.sensor.site
| extend Sensor=properties.sensor.name
| extend IPv4=properties.nics.[0].ipv4Address
| where properties.deviceDataSource=='OtSensor'
| project TimeFirstSeen, Site, Sensor, DeviceName, IPv4
Resumir alertas por nível Purdue
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| project
resourceId = id,
affectedResource = tostring(properties.extendedProperties.DeviceResourceIds),
id = properties.systemAlertId
| join kind=leftouter (
iotsecurityresources | where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| project
sensor = properties.sensor.name,
zone = properties.sensor.zone,
site = properties.sensor.site,
deviceProperties=properties,
affectedResource = tostring(id)
) on affectedResource
| project-away affectedResource1
| where deviceProperties.deviceDataSource == 'OtSensor'
| summarize Alerts=count() by tostring(deviceProperties.purdueLevel)
Passos seguintes
Saiba mais sobre a visualização de dashboards e relatórios na consola do sensor:
- Executar consultas de extração de dados
- Relatórios de avaliação de riscos
- Criar dashboards de tendências e estatísticas
Saiba mais sobre livros do Azure Monitor e Resource Graph do Azure: