Visualizar Microsoft Defender para dados IoT com livros do Azure Monitor

Os livros do Azure Monitor fornecem gráficos, gráficos e dashboards que refletem visualmente os dados armazenados nas subscrições do Azure Resource Graph e estão disponíveis diretamente no Microsoft Defender para IoT.

No portal do Azure, utilize a página Livros do Defender para IoT para ver livros criados pela Microsoft e fornecidos fora da caixa, ou criados por clientes e partilhados em toda a comunidade.

Cada gráfico ou gráfico de livro baseia-se numa consulta do Azure Resource Graph (ARG) em execução nos seus dados. No Defender para IoT, pode utilizar consultas ARG para:

• Recolher estados do sensor
• Identificar novos dispositivos na sua rede
• Localizar alertas relacionados com endereços IP específicos
• Compreender que alertas são vistos por cada sensor

Ver livros

Para ver livros fora da caixa criados pela Microsoft ou outros livros já guardados na sua subscrição:

1. No portal do Azure, aceda a Defender para IoT e selecione Livros à esquerda.

   

2. Modifique as opções de filtragem, se necessário, e selecione um livro para o abrir.

O Defender para IoT fornece os seguintes livros fora da caixa:

• Estado de funcionamento do sensor. Apresenta dados sobre o estado de funcionamento do sensor, como as versões de software da consola do sensor instaladas nos sensores.
• Alertas. Apresenta dados sobre alertas que ocorrem nos sensores, incluindo alertas por sensor, tipos de alerta, alertas recentes gerados e muito mais.
• Dispositivos. Apresenta dados sobre o inventário de dispositivos, incluindo dispositivos por fornecedor, subtipo e novos dispositivos identificados.
• Vulnerabilidades. Apresenta dados sobre as Vulnerabilidades detetadas em dispositivos OT na sua rede. Selecione um item nas tabelas Vulnerabilidades do dispositivo, Dispositivos vulneráveis ou Componentes vulneráveis para ver informações relacionadas nas tabelas à direita.

Criar livros personalizados

Utilize a página Livros do Defender para IoT para criar livros personalizados do Azure Monitor diretamente no Defender para IoT.

1. Na página Livros , selecione Novo ou, para começar a partir de outro modelo, abra o livro de modelos e selecione Editar.

2. No seu novo livro, selecione Adicionar e selecione a opção que pretende adicionar ao seu livro. Se estiver a editar um livro ou modelo existente, selecione o botão de opções (...) à direita para aceder ao menu Adicionar .

   Pode adicionar qualquer um dos seguintes elementos ao seu livro:

   Opção	Descrição
   Texto	Adicione texto para descrever os gráficos apresentados no seu livro ou qualquer ação adicional necessária.
   Parâmetros	Defina os parâmetros a utilizar no texto e nas consultas do livro.
   Ligações/separadores	Adicione elementos de navegação ao seu livro, incluindo listas, ligações para outros destinos, separadores adicionais ou barras de ferramentas.
   Query	Adicione uma consulta a utilizar ao criar gráficos e gráficos de livros. - Certifique-se de que seleciona Azure Resource Graph como a sua Origem de dados e selecione todas as suas subscrições relevantes. - Adicione uma representação gráfica aos seus dados ao selecionar um tipo nas opções de Visualização .
   Métrica	Adicione métricas a utilizar ao criar gráficos e gráficos de livros.
   Grupo	Adicione grupos para organizar os seus livros em sub-áreas.

   Para cada opção, depois de definir todas as definições disponíveis, selecione o botão Adicionar... ou Executar... para criar esse elemento de livro. Por exemplo, Adicionar parâmetro ou Executar Consulta.

   Dica

   Pode criar as suas consultas no Explorador de Resource Graph do Azure e copiá-las para a consulta do livro.

3. Na barra de ferramentas, selecione Guardar ou Guardar como para guardar o seu livro e, em seguida, selecione Edição concluída.

4. Selecione Livros para voltar à página do livro principal com a listagem completa do livro.

Parâmetros de referência nas suas consultas

Depois de criar um parâmetro, veja-o na consulta com a seguinte sintaxe: {ParameterName}. Por exemplo:

iotsecurityresources
| where type == "microsoft.iotsecurity/sensors"
| extend Name=name
| extend Status= properties.sensorStatus
| where Name=={SensorName}
| project Name,Status

Consultas de exemplo

Esta secção fornece consultas de exemplo que são frequentemente utilizadas em livros do Defender para IoT.

Consultas de alerta

Distribuição de alertas entre sensores

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| extend Sensor=properties.extendedProperties.SensorId
| where properties.status!='Closed'
| summarize Alerts=count() by tostring(Sensor)
| sort by Alerts desc

Novos alertas das últimas 24 horas

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| where properties.status!='Closed'
| extend AlertTime=properties.startTimeUtc
| extend Type=properties.displayName
| where AlertTime > ago(1d)
| project AlertTime, Type

Alertas por endereço IP de origem

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| extend Type=properties.displayName
| extend Source_IP=properties.extendedProperties.SourceDeviceAddress
| extend Destination_IP=properties.extendedProperties.DestinationDeviceAddress
| where Source_IP=='192.168.10.1'
| project Source_IP, Destination_IP, Type

Consultas de dispositivos

Inventário de dispositivos OT por fornecedor

iotsecurityresources
| extend Vendor= properties.hardware.vendor
| where properties.deviceDataSource=='OtSensor'
| summarize Devices=count() by tostring(Vendor)
| sort by Devices

Inventário de dispositivos OT por sub-tipo, como PLC, dispositivo incorporado, UPS, etc.

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| extend SubType=properties.deviceSubTypeDisplayName
| summarize Devices=count() by tostring(SubType)
| sort by Devices

Novos dispositivos OT por sensor, site e endereço IPv4

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| extend TimeFirstSeen=properties.firstSeen
| where TimeFirstSeen > ago(1d)
| extend DeviceName=properties.deviceName
| extend Site=properties.sensor.site
| extend Sensor=properties.sensor.name
| extend IPv4=properties.nics.[0].ipv4Address
| where properties.deviceDataSource=='OtSensor'
| project TimeFirstSeen, Site, Sensor, DeviceName, IPv4

Resumir alertas por nível Purdue

iotsecurityresources
    | where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
    | project 
        resourceId = id,
        affectedResource = tostring(properties.extendedProperties.DeviceResourceIds),
        id = properties.systemAlertId
    | join kind=leftouter (
        iotsecurityresources | where type == "microsoft.iotsecurity/locations/devicegroups/devices" 
        | project 
            sensor = properties.sensor.name,
            zone = properties.sensor.zone,
            site = properties.sensor.site,
            deviceProperties=properties,
            affectedResource = tostring(id)
    ) on affectedResource
    | project-away affectedResource1
    | where deviceProperties.deviceDataSource == 'OtSensor'
    | summarize Alerts=count() by tostring(deviceProperties.purdueLevel)

Passos seguintes

Saiba mais sobre a visualização de dashboards e relatórios na consola do sensor:

• Executar consultas de extração de dados
• Relatórios de avaliação de riscos
• Criar dashboards de tendências e estatísticas

Saiba mais sobre livros do Azure Monitor e Resource Graph do Azure:

• Documentação do Azure Resource Graph
• Documentação do livro do Azure Monitor
• documentação do Linguagem de Pesquisa Kusto (KQL)