Güvenlik verilerinize erişme
IoT için Defender güvenlik uyarılarını, önerileri ve ham güvenlik verilerini (kaydetmeyi seçerseniz) Log Analytics çalışma alanınızda depolar.
Log Analytics
Hangi Log Analytics çalışma alanının kullanılacağını yapılandırmak için:
- IoT hub'ınızı açın.
- Güvenlik bölümünün altındaki Ayarlar dikey penceresini seçin.
- Veri Toplama'yı seçin ve Log Analytics çalışma alanı yapılandırmanızı değiştirin.
Yapılandırmadan sonra Log Analytics çalışma alanınızda uyarılarınıza ve önerilerinize erişmek için:
- IoT için Defender'da bir uyarı veya öneri seçin.
- Daha fazla araştırma seçin ve ardından Bu uyarıya sahip cihazları görmek için buraya tıklayın ve DeviceId sütununu görüntüleyin.
Log Analytics'ten veri sorgulama hakkında ayrıntılı bilgi için bkz . Azure İzleyici'de günlük sorgularını kullanmaya başlama.
Güvenlik uyarıları
Güvenlik uyarıları, IoT için Defender çözümü için yapılandırılan Log Analytics çalışma alanında AzureSecurityOfThings.SecurityAlert tablosunda depolanır.
Güvenlik uyarılarını keşfetmeye başlamanıza yardımcı olacak birçok yararlı sorgu sağlıyoruz.
Örnek kayıtlar
Birkaç rastgele kayıt seçin
// Select a few random records
//
SecurityAlert
| project
TimeGenerated,
IoTHubId=ResourceId,
DeviceId=tostring(parse_json(ExtendedProperties)["DeviceId"]),
AlertSeverity,
DisplayName,
Description,
ExtendedProperties
| take 3
TimeGenerated | IoTHubId | DeviceId | Uyarı Azmi | DisplayName | Açıklama | ExtendedProperties |
---|---|---|---|---|---|---|
2018-11-18T18:10:29.000 | /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Yüksek | Deneme yanılma saldırısı başarılı oldu | Cihazda deneme yanılma saldırısı Başarılı oldu | { "Tam Kaynak Adresi": "["10.165.12.18:"]", "Kullanıcı Adları": "[""]", "DeviceId": "IoT-Device-Linux" } |
2018-11-19T12:40:31.000 | /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Yüksek | Cihazda başarılı yerel oturum açma | Cihazda başarılı bir yerel oturum açma algılandı | { "Remote Address": "?", "Remote Port": "", "Local Port": "", "Login Shell": "/bin/su", "Login Process Id": "28207", "User Name": "attacker", "DeviceId": "IoT-Device-Linux" } |
2018-11-19T12:40:31.000 | /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Yüksek | Cihazda başarısız yerel oturum açma girişimi | Cihazda başarısız bir yerel oturum açma girişimi algılandı | { "Remote Address": "?", "Remote Port": "", "Local Port": "", "Login Shell": "/bin/su", "Login Process Id": "22644", "User Name": "attacker", "DeviceId": "IoT-Device-Linux" } |
Cihaz özeti
IoT Hub, cihaz, uyarı önem derecesi, uyarı türüne göre gruplandırılmış olarak geçen hafta algılanan farklı güvenlik uyarılarının sayısını alın.
// Get the number of distinct security alerts detected in the last week, grouped by
// IoT hub, device, alert severity, alert type
//
SecurityAlert
| where TimeGenerated > ago(7d)
| summarize Cnt=dcount(SystemAlertId) by
IoTHubId=ResourceId,
DeviceId=tostring(parse_json(ExtendedProperties)["DeviceId"]),
AlertSeverity,
DisplayName
IoTHubId | DeviceId | Uyarı Azmi | DisplayName | Sayı |
---|---|---|---|---|
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Yüksek | Deneme yanılma saldırısı başarılı oldu | 9 |
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Orta | Cihazda başarısız yerel oturum açma girişimi | 242 |
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Yüksek | Cihazda başarılı yerel oturum açma | 31 |
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Orta | Crypto Coin Madenci | 4 |
IoT hub özeti
IoT Hub' a, uyarı önem derecesine, uyarı türüne göre, geçen hafta uyarıları olan bir dizi farklı cihaz seçin
// Select number of distinct devices which had alerts in the last week, by
// IoT hub, alert severity, alert type
//
SecurityAlert
| where TimeGenerated > ago(7d)
| extend DeviceId=tostring(parse_json(ExtendedProperties)["DeviceId"])
| summarize CntDevices=dcount(DeviceId) by
IoTHubId=ResourceId,
AlertSeverity,
DisplayName
IoTHubId | Uyarı Azmi | DisplayName | CntDevices |
---|---|---|---|
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | Yüksek | Deneme yanılma saldırısı başarılı oldu | 1 |
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | Orta | Cihazda başarısız yerel oturum açma girişimi | 1 |
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | Yüksek | Cihazda başarılı yerel oturum açma | 1 |
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | Orta | Crypto Coin Madenci | 1 |
Güvenlik önerileri
Güvenlik önerileri, IoT için Defender çözümü için yapılandırılan Log Analytics çalışma alanında AzureSecurityOfThings.SecurityRecommendation tablosunda depolanır.
Güvenlik önerilerini keşfetmeye başlamanıza yardımcı olacak birçok yararlı sorgu sağlıyoruz.
Örnek kayıtlar
Birkaç rastgele kayıt seçin
// Select a few random records
//
SecurityRecommendation
| project
TimeGenerated,
IoTHubId=AssessedResourceId,
DeviceId,
RecommendationSeverity,
RecommendationState,
RecommendationDisplayName,
Description,
RecommendationAdditionalData
| take 2
TimeGenerated | IoTHubId | DeviceId | ÖneriSeverliği | RecommendationState | RecommendationDisplayName | Açıklama | RecommendationAdditionalData |
---|---|---|---|---|---|---|---|
2019-03-22T10:21:06.060 | /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Orta | Etkin | Giriş zincirinde izinli güvenlik duvarı kuralı bulundu | Güvenlik duvarında çok çeşitli IP adresleri veya Bağlantı Noktaları için izin veren bir desen içeren bir kural bulundu | {"Rules":"[{"SourceAddress":","SourcePort":"","DestinationAddress":"","DestinationPort":"1337"}]"} |
2019-03-22T10:50:27.237 | /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Orta | Etkin | Giriş zincirinde izinli güvenlik duvarı kuralı bulundu | Güvenlik duvarında çok çeşitli IP adresleri veya Bağlantı Noktaları için izin veren bir desen içeren bir kural bulundu | {"Rules":"[{"SourceAddress":","SourcePort":"","DestinationAddress":"","DestinationPort":"1337"}]"} |
Cihaz özeti
IoT Hub, cihaz, öneri önem derecesi ve türüne göre gruplandırılmış farklı etkin güvenlik önerilerinin sayısını alın.
// Get the number of distinct active security recommendations, grouped by
// IoT hub, device, recommendation severity and type
//
SecurityRecommendation
| extend IoTHubId=AssessedResourceId
| summarize CurrentState=arg_max(RecommendationState, DiscoveredTimeUTC) by IoTHubId, DeviceId, RecommendationSeverity, RecommendationDisplayName
| where CurrentState == "Active"
| summarize Cnt=count() by IoTHubId, DeviceId, RecommendationSeverity
IoTHubId | DeviceId | ÖneriSeverliği | Sayı |
---|---|---|---|
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Yüksek | 2 |
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Orta | 1 |
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Yüksek | 1 |
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> | <device_name> | Orta | 4 |
Sonraki adımlar
- IoT için Defender'a Genel Bakış'a bakın
- IoT için Defender hakkında bilgi edinin Cihaz oluşturucuları için aracı tabanlı çözüm nedir?
- IoT için Defender uyarılarını anlama ve keşfetme
- IoT için Defender önerilerini anlama ve keşfetme