Självstudie: Anslut Microsoft Defender för IoT med Microsoft Sentinel
Med Microsoft Defender för IoT kan du skydda hela din OT- och Enterprise IoT-miljö, oavsett om du behöver skydda befintliga enheter eller skapa säkerhet i nya innovationer.
Microsoft Sentinel och Microsoft Defender för IoT hjälper till att överbrygga klyftan mellan IT- och OT-säkerhetsutmaningar och att ge SOC-team med färdiga funktioner möjlighet att effektivt och effektivt identifiera och svara på säkerhetshot. Integreringen mellan Microsoft Defender för IoT och Microsoft Sentinel hjälper organisationer att snabbt identifiera flerstegsattacker, som ofta korsar IT- och OT-gränser.
Med den här anslutningsappen kan du strömma Microsoft Defender för IoT-data till Microsoft Sentinel, så att du kan visa, analysera och svara på Defender for IoT-aviseringar och de incidenter som de genererar i en bredare kontext för organisationshot.
I den här självstudien får du lära dig hur man:
- Anslut Defender för IoT-data till Microsoft Sentinel
- Använda Log Analytics för att fråga Defender efter IoT-aviseringsdata
Förutsättningar
Kontrollera att du har följande krav på din arbetsyta innan du börjar:
Läs - och skrivbehörigheter på din Microsoft Sentinel-arbetsyta. Mer information finns i Behörigheter i Microsoft Sentinel.
Deltagar- eller ägarbehörigheter för den prenumeration som du vill ansluta till Microsoft Sentinel.
En Defender for IoT-plan för din Azure-prenumeration med dataströmning till Defender for IoT. Mer information finns i Snabbstart: Kom igång med Defender för IoT.
Viktigt!
För närvarande kan både Microsoft Defender för IoT och Microsoft Defender för molnet dataanslutningar aktiverade på samma Microsoft Sentinel-arbetsyta samtidigt resultera i dubbletter av aviseringar i Microsoft Sentinel. Vi rekommenderar att du kopplar från Microsoft Defender för molnet dataanslutningen innan du ansluter till Microsoft Defender för IoT.
Anslut dina data från Defender för IoT till Microsoft Sentinel
Börja med att aktivera Defender for IoT-dataanslutningen för att strömma alla dina Defender for IoT-händelser till Microsoft Sentinel.
Så här aktiverar du Defender for IoT-dataanslutningen:
I Microsoft Sentinel går du till Konfiguration, väljer Dataanslutningar och letar sedan upp Microsoft Defender för IoT-dataanslutningen.
Längst ned till höger väljer du Sidan Öppna anslutningsapp.
På fliken Instruktioner under Konfiguration väljer du Anslut för varje prenumeration vars aviseringar och enhetsaviseringar du vill strömma till Microsoft Sentinel.
Om du har gjort några anslutningsändringar kan det ta 10 sekunder eller mer att uppdatera prenumerationslistan.
Mer information finns i Anslut Microsoft Sentinel till Azure-, Windows-, Microsoft- och Amazon-tjänster.
Visa Defender för IoT-aviseringar
När du har anslutit en prenumeration till Microsoft Sentinel kan du visa Defender for IoT-aviseringar i området Microsoft Sentinel-loggar.
I Microsoft Sentinel väljer du Loggar > AzureSecurityOfThings > SecurityAlert eller söker efter SecurityAlert.
Använd följande exempelfrågor för att filtrera loggarna och visa aviseringar som genererats av Defender för IoT:
Så här ser du alla aviseringar som genereras av Defender för IoT:
SecurityAlert | where ProductName == "Azure Security Center for IoT"Så här ser du specifika sensoraviseringar som genereras av Defender för IoT:
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where tostring(parse_json(ExtendedProperties).SensorId) == “<sensor_name>”Så här ser du specifika OT-motoraviseringar som genereras av Defender för IoT:
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "MALWARE" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "ANOMALY" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "PROTOCOL_VIOLATION" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "POLICY_VIOLATION" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "OPERATIONAL"Så här ser du aviseringar med hög allvarlighetsgrad som genereras av Defender för IoT:
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where AlertSeverity == "High"Så här ser du specifika protokollaviseringar som genereras av Defender för IoT:
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where tostring(parse_json(ExtendedProperties).Protocol) == "<protocol_name>"
Kommentar
Sidan Loggar i Microsoft Sentinel baseras på Azure Monitors Log Analytics.
Mer information finns i Översikt över loggfrågor i Azure Monitor-dokumentationen och i learn-modulen Write your first KQL query Learn (Skriv din första KQL-fråga ).
Förstå tidsstämplar för aviseringar
Defender för IoT-aviseringar spårar i både Azure-portalen och sensorkonsolen den tid då en avisering först upptäcktes, senast identifierades och senast ändrades.
I följande tabell beskrivs tidsstämpelfälten för Defender för IoT-aviseringar med en mappning till relevanta fält från Log Analytics som visas i Microsoft Sentinel.
| Defender för IoT-fält | beskrivning | Log Analytics-fält |
|---|---|---|
| Första identifieringen | Definierar första gången aviseringen identifierades i nätverket. | StartTime |
| Senaste identifiering | Definierar den senaste gången aviseringen identifierades i nätverket och ersätter kolumnen Identifieringstid . | EndTime |
| Senaste aktivitet | Definierar den senaste gången aviseringen ändrades, inklusive manuella uppdateringar för allvarlighetsgrad eller status, eller automatiska ändringar för enhetsuppdateringar eller deduplicering av enhet/avisering | TimeGenerated |
I Defender för IoT på Azure-portalen och sensorkonsolen visas kolumnen Senaste identifiering som standard. Redigera kolumnerna på sidan Aviseringar för att visa kolumnerna Första identifiering och Senaste aktivitet efter behov.
Mer information finns i Visa aviseringar på Defender för IoT-portalen och Visa aviseringar på sensorn.
Förstå flera poster per avisering
Defender for IoT-aviseringsdata strömmas till Microsoft Sentinel och lagras på din Log Analytics-arbetsyta i tabellen SecurityAlert .
Poster i tabellen SecurityAlert skapas varje gång en avisering genereras eller uppdateras i Defender för IoT. Ibland har en enda avisering flera poster, till exempel när aviseringen först skapades och sedan igen när den uppdaterades.
I Microsoft Sentinel använder du följande fråga för att kontrollera de poster som lagts till i tabellen SecurityAlert för en enda avisering:
SecurityAlert
| where ProductName == "Azure Security Center for IoT"
| where VendorOriginalId == "Defender for IoT Alert ID"
| sort by TimeGenerated desc
Uppdateringar för aviseringsstatus eller allvarlighetsgrad genererar nya poster i SecurityAlert-tabell omedelbart.
Andra typer av uppdateringar aggregeras i upp till 12 timmar, och nya poster i tabellen SecurityAlert återspeglar endast den senaste ändringen. Exempel på aggregerade uppdateringar är:
- Uppdateringar under den senaste identifieringstiden, till exempel när samma avisering identifieras flera gånger
- En ny enhet läggs till i en befintlig avisering
- Enhetsegenskaperna för en avisering uppdateras
Nästa steg
Microsoft Defender för IoT-lösningen är en uppsättning paketerat innehåll som är specifikt konfigurerat för Defender för IoT-data och som innehåller analysregler, arbetsböcker och spelböcker.