Tutorial: Conectar o Microsoft Defender para IoT com o Microsoft Sentinel
O Microsoft Defender para IoT permite que você proteja todo o seu ambiente de OT e Enterprise IoT, quer você precise proteger dispositivos existentes ou criar segurança em novas inovações.
O Microsoft Sentinel e o Microsoft Defender for IoT ajudam a preencher a lacuna entre os desafios de segurança de TI e OT e a capacitar as equipes de SOC com recursos prontos para detetar e responder de forma eficiente e eficaz a ameaças à segurança. A integração entre o Microsoft Defender for IoT e o Microsoft Sentinel ajuda as organizações a detetar rapidamente ataques em vários estágios, que muitas vezes cruzam os limites de TI e OT.
Esse conector permite que você transmita dados do Microsoft Defender for IoT para o Microsoft Sentinel, para que você possa exibir, analisar e responder aos alertas do Defender for IoT e aos incidentes que eles geram, em um contexto de ameaça organizacional mais amplo.
Neste tutorial, vai aprender a:
- Conectar dados do Defender for IoT ao Microsoft Sentinel
- Usar o Log Analytics para consultar dados de alerta do Defender for IoT
Pré-requisitos
Antes de começar, certifique-se de que tem os seguintes requisitos na sua área de trabalho:
Permissões de Leitura e Escrita na sua área de trabalho do Microsoft Sentinel. Para obter mais informações, consulte Permissões no Microsoft Sentinel.
Permissões de Colaborador ou Proprietário na subscrição que pretende ligar ao Microsoft Sentinel.
Um plano do Defender for IoT em sua assinatura do Azure com streaming de dados para o Defender for IoT. Para obter mais informações, consulte Guia de início rápido: introdução ao Defender para IoT.
Importante
Atualmente, ter os conectores de dados do Microsoft Defender para IoT e do Microsoft Defender for Cloud habilitados no mesmo espaço de trabalho do Microsoft Sentinel simultaneamente pode resultar em alertas duplicados no Microsoft Sentinel. Recomendamos que você desconecte o conector de dados do Microsoft Defender for Cloud antes de se conectar ao Microsoft Defender for IoT.
Conecte seus dados do Defender for IoT ao Microsoft Sentinel
Comece habilitando o conector de dados do Defender for IoT para transmitir todos os eventos do Defender for IoT para o Microsoft Sentinel.
Para habilitar o conector de dados do Defender for IoT:
No Microsoft Sentinel, em Configuração, selecione Conectores de dados e localize o conector de dados do Microsoft Defender para IoT.
No canto inferior direito, selecione Abrir página do conector.
Na guia Instruções, em Configuração, selecione Conectar para cada assinatura cujos alertas e alertas de dispositivo você deseja transmitir para o Microsoft Sentinel.
Se você tiver feito alguma alteração na conexão, a atualização da lista de Assinaturas pode levar 10 segundos ou mais.
Para obter mais informações, consulte Conectar o Microsoft Sentinel aos serviços do Azure, Windows, Microsoft e Amazon.
Ver alertas do Defender for IoT
Depois de conectar uma assinatura ao Microsoft Sentinel, você poderá exibir alertas do Defender para IoT na área Logs do Microsoft Sentinel.
No Microsoft Sentinel, selecione Logs > AzureSecurityOfThings > SecurityAlert ou procure SecurityAlert.
Use as seguintes consultas de exemplo para filtrar os logs e exibir alertas gerados pelo Defender for IoT:
Para ver todos os alertas gerados pelo Defender for IoT:
SecurityAlert | where ProductName == "Azure Security Center for IoT"Para ver alertas de sensores específicos gerados pelo Defender for IoT:
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where tostring(parse_json(ExtendedProperties).SensorId) == “<sensor_name>”Para ver alertas específicos do mecanismo de OT gerados pelo Defender for IoT:
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "MALWARE" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "ANOMALY" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "PROTOCOL_VIOLATION" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "POLICY_VIOLATION" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "OPERATIONAL"Para ver alertas de alta gravidade gerados pelo Defender for IoT:
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where AlertSeverity == "High"Para ver alertas de protocolo específicos gerados pelo Defender for IoT:
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where tostring(parse_json(ExtendedProperties).Protocol) == "<protocol_name>"
Nota
A página Logs no Microsoft Sentinel é baseada no Log Analytics do Azure Monitor.
Para obter mais informações, consulte Visão geral de consultas de log na documentação do Azure Monitor e o módulo Write your first KQL query Learn.
Compreender os carimbos de data/hora de alerta
Os alertas do Defender for IoT, no portal do Azure e no console do sensor, controlam a hora em que um alerta foi detetado pela primeira vez, detetado pela última vez e alterado pela última vez.
A tabela a seguir descreve os campos de carimbo de data/hora de alerta do Defender for IoT, com um mapeamento para os campos relevantes do Log Analytics mostrados no Microsoft Sentinel.
| Campo Defender for IoT | Description | Campo Log Analytics |
|---|---|---|
| Primeira deteção | Define a primeira vez que o alerta foi detetado na rede. | StartTime |
| Última deteção | Define a última vez que o alerta foi detetado na rede e substitui a coluna Hora de deteção. | EndTime |
| Última atividade | Define a última vez que o alerta foi alterado, incluindo atualizações manuais para gravidade ou status, ou alterações automatizadas para atualizações de dispositivo ou eliminação de duplicação de dispositivo/alerta | TimeGenerated |
No Defender for IoT no portal do Azure e no console do sensor, a coluna Última deteção é mostrada por padrão. Edite as colunas na página Alertas para mostrar as colunas Primeira deteção e Última atividade, conforme necessário.
Para obter mais informações, consulte Exibir alertas no portal do Defender for IoT e Exibir alertas no sensor.
Compreender vários registos por alerta
Os dados de alerta do Defender for IoT são transmitidos para o Microsoft Sentinel e armazenados no espaço de trabalho do Log Analytics, na tabela SecurityAlert .
Os registros na tabela SecurityAlert são criados sempre que um alerta é gerado ou atualizado no Defender for IoT. Às vezes, um único alerta terá vários registros, como quando o alerta foi criado pela primeira vez e depois novamente quando foi atualizado.
No Microsoft Sentinel, use a seguinte consulta para verificar os registros adicionados à tabela SecurityAlert para um único alerta:
SecurityAlert
| where ProductName == "Azure Security Center for IoT"
| where VendorOriginalId == "Defender for IoT Alert ID"
| sort by TimeGenerated desc
As atualizações do estado ou gravidade do alerta geram imediatamente novos registos na tabela SecurityAlert .
Outros tipos de atualizações são agregados em até 12 horas e os novos registros na tabela SecurityAlert refletem apenas a alteração mais recente. Exemplos de atualizações agregadas incluem:
- Atualizações na última hora de deteção, como quando o mesmo alerta é detetado várias vezes
- Um novo dispositivo é adicionado a um alerta existente
- As propriedades do dispositivo para um alerta são atualizadas
Próximos passos
A solução Microsoft Defender for IoT é um conjunto de conteúdo agregado e pronto para uso que é configurado especificamente para dados do Defender for IoT e inclui regras de análise, pastas de trabalho e playbooks.