Güvenlik verilerinize erişin

IoT için Defender, Log Analytics çalışma alanınıza güvenlik uyarılarını, önerileri ve ham güvenlik verilerini (kaydetmeyi seçerseniz) depolar.

Log Analytics

Hangi Log Analytics çalışma alanının kullanıldığını yapılandırmak için:

  1. IoT Hub 'ınızı açın.
  2. güvenlik bölümünün altındaki Ayarlar dikey penceresine tıklayın.
  3. Veri toplama' yı tıklatın ve Log Analytics çalışma alanı yapılandırmanızı değiştirin.

Yapılandırma sonrasında Log Analytics çalışma alanınızdaki uyarılarınıza ve önerilerinizi erişmek için:

  1. IoT için Defender 'da bir uyarı veya öneri seçin.
  2. Daha fazla araştırma' ya tıklayın, ardından Bu uyarıya hangi cihazların olduğunu görmek için tıklayın ve ardından DeviceID sütununu görüntüleyin.

Log Analytics verileri sorgulama hakkında ayrıntılar için bkz. Azure izleyici 'de günlük sorgularını kullanmaya başlama.

Güvenlik uyarıları

Güvenlik uyarıları,, IoT için Defender çözümü için yapılandırılmış Log Analytics çalışma alanındaki AzureSecurityOfThings. SecurityAlert tablosunda depolanır.

Güvenlik uyarılarını keşfetmeye başlamanıza yardımcı olacak birkaç faydalı sorgu sunuyoruz.

Örnek kayıtlar

Birkaç rastgele kayıt seçin

// Select a few random records
//
SecurityAlert
| project
    TimeGenerated,
    IoTHubId=ResourceId,
    DeviceId=tostring(parse_json(ExtendedProperties)["DeviceId"]),
    AlertSeverity,
    DisplayName,
    Description,
    ExtendedProperties
| take 3
TimeGenerated Iothubıd DeviceId AlertSeverity DisplayName Açıklama ExtendedProperties
2018-11-18T18:10:29 /Subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Yüksek Deneme yanılma saldırısı başarılı Cihaza yönelik bir deneme yanılma saldırısı başarılı oldu {"Tam kaynak adresi": "[ " 10.165.12.18: " ]", "Kullanıcı adları": "[ " " ]", "DeviceID": "IoT-Device-Linux"}
2018-11-19T12:40:31 /Subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Yüksek Cihazda başarılı yerel oturum açma Cihazda başarılı bir yerel oturum açma algılandı {"Uzak adres": "?", "uzak bağlantı noktası": "", "yerel bağlantı noktası": "", "oturum açma kabuğu": "/bin/su", "oturum açma Işlemi kimliği": "28207", "Kullanıcı adı": "saldırgan", "DeviceID": "IoT-Device-Linux"}
2018-11-19T12:40:31 /Subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Yüksek Cihazda yerel oturum açma denemesi başarısız Cihaza başarısız bir yerel oturum açma denemesi algılandı {"Uzak adres": "?", "uzak bağlantı noktası": "", "yerel bağlantı noktası": "", "oturum açma kabuğu": "/bin/su", "oturum açma Işlemi kimliği": "22644", "Kullanıcı adı": "saldırgan", "DeviceID": "IoT-Device-Linux"}

Cihaz Özeti

Son haftada algılanan ve IoT Hub, cihaz, uyarı önem derecesi, uyarı türüne göre gruplandırılan ayrı güvenlik uyarılarının sayısını alın.

// Get the number of distinct security alerts detected in the last week, grouped by
//   IoT hub, device, alert severity, alert type
//
SecurityAlert
| where TimeGenerated > ago(7d)
| summarize Cnt=dcount(SystemAlertId) by
    IoTHubId=ResourceId,
    DeviceId=tostring(parse_json(ExtendedProperties)["DeviceId"]),
    AlertSeverity,
    DisplayName
Iothubıd DeviceId AlertSeverity DisplayName Count
/Subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Yüksek Deneme yanılma saldırısı başarılı 9
/Subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Orta Cihazda yerel oturum açma denemesi başarısız 242
/Subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Yüksek Cihazda başarılı yerel oturum açma 31
/Subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Orta Şifreleme para Miner 4

IoT Hub Özeti

Son hafta içinde, IoT Hub, uyarı önem derecesine ve uyarı türüne göre uyarı olan ayrı sayıda farklı cihaz seçin

// Select number of distinct devices which had alerts in the last week, by
//   IoT hub, alert severity, alert type
//
SecurityAlert
| where TimeGenerated > ago(7d)
| extend DeviceId=tostring(parse_json(ExtendedProperties)["DeviceId"])
| summarize CntDevices=dcount(DeviceId) by
    IoTHubId=ResourceId,
    AlertSeverity,
    DisplayName
Iothubıd AlertSeverity DisplayName CntDevices
/Subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> Yüksek Deneme yanılma saldırısı başarılı 1
/Subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> Orta Cihazda yerel oturum açma denemesi başarısız 1
/Subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> Yüksek Cihazda başarılı yerel oturum açma 1
/Subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> Orta Şifreleme para Miner 1

Güvenlik önerileri

Güvenlik önerileri,, IoT için Defender çözümü için yapılandırılmış Log Analytics çalışma alanındaki AzureSecurityOfThings. Securityöneriyi tablosunda depolanır.

Güvenlik önerilerini keşfetmeye başlamanıza yardımcı olacak birkaç faydalı sorgu sağladık.

Örnek kayıtlar

Birkaç rastgele kayıt seçin

// Select a few random records
//
SecurityRecommendation
| project
    TimeGenerated,
    IoTHubId=AssessedResourceId,
    DeviceId,
    RecommendationSeverity,
    RecommendationState,
    RecommendationDisplayName,
    Description,
    RecommendationAdditionalData
| take 2
TimeGenerated IoTHubId DeviceId RecommendationSeverity RecommendationState RecommendationDisplayName Açıklama RecommendationAdditionalData
2019-03-22T10:21:06.06 /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Orta Etkin Giriş zincirinde izin verilen güvenlik duvarı kuralı bulundu Güvenlik duvarında çok çeşitli IP adresleri veya Bağlantı Noktaları için izin verilen bir desen içeren bir kural bulundu {"Rules":"[{ " SourceAddress " : , " " " SourcePort : , " " " " DestinationAddress " : , " " " DestinationPort : " " 1337 " }]"}
2019-03-22T10:50:27.237 /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Orta Etkin Giriş zincirinde izin verilen güvenlik duvarı kuralı bulundu Güvenlik duvarında çok çeşitli IP adresleri veya Bağlantı Noktaları için izin verilen bir desen içeren bir kural bulundu {"Rules":"[{ " SourceAddress " : , " " " SourcePort : , " " " " DestinationAddress " : , " " " DestinationPort : " " 1337 " }]"}

Cihaz özeti

Cihaz, öneri önem derecesi ve türe göre grup IoT Hub ayrı etkin güvenlik önerilerinin sayısını elde edin.

// Get the number of distinct active security recommendations, grouped by by
//   IoT hub, device, recommendation severity and type
//
SecurityRecommendation
| extend IoTHubId=AssessedResourceId
| summarize CurrentState=arg_max(RecommendationState, DiscoveredTimeUTC) by IoTHubId, DeviceId, RecommendationSeverity, RecommendationDisplayName
| where CurrentState == "Active"
| summarize Cnt=count() by IoTHubId, DeviceId, RecommendationSeverity
IoTHubId DeviceId RecommendationSeverity Count
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Yüksek 2
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Orta 1
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Yüksek 1
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Orta 4

Sonraki adımlar