Güvenlik verilerinize erişme

  • Makale

IoT için Defender güvenlik uyarılarını, önerileri ve ham güvenlik verilerini (kaydetmeyi seçerseniz) Log Analytics çalışma alanınızda depolar.

Log Analytics

Hangi Log Analytics çalışma alanının kullanılacağını yapılandırmak için:

  1. IoT hub'ınızı açın.
  2. Güvenlik bölümünün altındaki Ayarlar dikey penceresini seçin.
  3. Veri Toplama'yı seçin ve Log Analytics çalışma alanı yapılandırmanızı değiştirin.

Yapılandırmadan sonra Log Analytics çalışma alanınızda uyarılarınıza ve önerilerinize erişmek için:

  1. IoT için Defender'da bir uyarı veya öneri seçin.
  2. Daha fazla araştırma seçin ve ardından Bu uyarıya sahip cihazları görmek için buraya tıklayın ve DeviceId sütununu görüntüleyin.

Log Analytics'ten veri sorgulama hakkında ayrıntılı bilgi için bkz . Azure İzleyici'de günlük sorgularını kullanmaya başlama.

Güvenlik uyarıları

Güvenlik uyarıları, IoT için Defender çözümü için yapılandırılan Log Analytics çalışma alanında AzureSecurityOfThings.SecurityAlert tablosunda depolanır.

Güvenlik uyarılarını keşfetmeye başlamanıza yardımcı olacak birçok yararlı sorgu sağlıyoruz.

Örnek kayıtlar

Birkaç rastgele kayıt seçin

// Select a few random records
//
SecurityAlert
| project
    TimeGenerated,
    IoTHubId=ResourceId,
    DeviceId=tostring(parse_json(ExtendedProperties)["DeviceId"]),
    AlertSeverity,
    DisplayName,
    Description,
    ExtendedProperties
| take 3
TimeGenerated IoTHubId DeviceId Uyarı Azmi DisplayName Açıklama ExtendedProperties
2018-11-18T18:10:29.000 /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Yüksek Deneme yanılma saldırısı başarılı oldu Cihazda deneme yanılma saldırısı Başarılı oldu { "Tam Kaynak Adresi": "["10.165.12.18:"]", "Kullanıcı Adları": "[""]", "DeviceId": "IoT-Device-Linux" }
2018-11-19T12:40:31.000 /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Yüksek Cihazda başarılı yerel oturum açma Cihazda başarılı bir yerel oturum açma algılandı { "Remote Address": "?", "Remote Port": "", "Local Port": "", "Login Shell": "/bin/su", "Login Process Id": "28207", "User Name": "attacker", "DeviceId": "IoT-Device-Linux" }
2018-11-19T12:40:31.000 /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Yüksek Cihazda başarısız yerel oturum açma girişimi Cihazda başarısız bir yerel oturum açma girişimi algılandı { "Remote Address": "?", "Remote Port": "", "Local Port": "", "Login Shell": "/bin/su", "Login Process Id": "22644", "User Name": "attacker", "DeviceId": "IoT-Device-Linux" }

Cihaz özeti

IoT Hub, cihaz, uyarı önem derecesi, uyarı türüne göre gruplandırılmış olarak geçen hafta algılanan farklı güvenlik uyarılarının sayısını alın.

// Get the number of distinct security alerts detected in the last week, grouped by
//   IoT hub, device, alert severity, alert type
//
SecurityAlert
| where TimeGenerated > ago(7d)
| summarize Cnt=dcount(SystemAlertId) by
    IoTHubId=ResourceId,
    DeviceId=tostring(parse_json(ExtendedProperties)["DeviceId"]),
    AlertSeverity,
    DisplayName
IoTHubId DeviceId Uyarı Azmi DisplayName Sayı
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Yüksek Deneme yanılma saldırısı başarılı oldu 9
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Orta Cihazda başarısız yerel oturum açma girişimi 242
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Yüksek Cihazda başarılı yerel oturum açma 31
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Orta Crypto Coin Madenci 4

IoT hub özeti

IoT Hub' a, uyarı önem derecesine, uyarı türüne göre, geçen hafta uyarıları olan bir dizi farklı cihaz seçin

// Select number of distinct devices which had alerts in the last week, by
//   IoT hub, alert severity, alert type
//
SecurityAlert
| where TimeGenerated > ago(7d)
| extend DeviceId=tostring(parse_json(ExtendedProperties)["DeviceId"])
| summarize CntDevices=dcount(DeviceId) by
    IoTHubId=ResourceId,
    AlertSeverity,
    DisplayName
IoTHubId Uyarı Azmi DisplayName CntDevices
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> Yüksek Deneme yanılma saldırısı başarılı oldu 1
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> Orta Cihazda başarısız yerel oturum açma girişimi 1
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> Yüksek Cihazda başarılı yerel oturum açma 1
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> Orta Crypto Coin Madenci 1

Güvenlik önerileri

Güvenlik önerileri, IoT için Defender çözümü için yapılandırılan Log Analytics çalışma alanında AzureSecurityOfThings.SecurityRecommendation tablosunda depolanır.

Güvenlik önerilerini keşfetmeye başlamanıza yardımcı olacak birçok yararlı sorgu sağlıyoruz.

Örnek kayıtlar

Birkaç rastgele kayıt seçin

// Select a few random records
//
SecurityRecommendation
| project
    TimeGenerated,
    IoTHubId=AssessedResourceId,
    DeviceId,
    RecommendationSeverity,
    RecommendationState,
    RecommendationDisplayName,
    Description,
    RecommendationAdditionalData
| take 2
TimeGenerated IoTHubId DeviceId ÖneriSeverliği RecommendationState RecommendationDisplayName Açıklama RecommendationAdditionalData
2019-03-22T10:21:06.060 /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Orta Etkin Giriş zincirinde izinli güvenlik duvarı kuralı bulundu Güvenlik duvarında çok çeşitli IP adresleri veya Bağlantı Noktaları için izin veren bir desen içeren bir kural bulundu {"Rules":"[{"SourceAddress":","SourcePort":"","DestinationAddress":"","DestinationPort":"1337"}]"}
2019-03-22T10:50:27.237 /subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Orta Etkin Giriş zincirinde izinli güvenlik duvarı kuralı bulundu Güvenlik duvarında çok çeşitli IP adresleri veya Bağlantı Noktaları için izin veren bir desen içeren bir kural bulundu {"Rules":"[{"SourceAddress":","SourcePort":"","DestinationAddress":"","DestinationPort":"1337"}]"}

Cihaz özeti

IoT Hub, cihaz, öneri önem derecesi ve türüne göre gruplandırılmış farklı etkin güvenlik önerilerinin sayısını alın.

// Get the number of distinct active security recommendations, grouped by
//   IoT hub, device, recommendation severity and type
//
SecurityRecommendation
| extend IoTHubId=AssessedResourceId
| summarize CurrentState=arg_max(RecommendationState, DiscoveredTimeUTC) by IoTHubId, DeviceId, RecommendationSeverity, RecommendationDisplayName
| where CurrentState == "Active"
| summarize Cnt=count() by IoTHubId, DeviceId, RecommendationSeverity
IoTHubId DeviceId ÖneriSeverliği Sayı
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Yüksek 2
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Orta 1
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Yüksek 1
/subscriptions/<subscription_id>/resourceGroups/<resource_group>/providers/Microsoft.Devices/IotHubs/<iot_hub> <device_name> Orta 4

Sonraki adımlar