Azure İzleyici çalışma kitaplarıyla IoT verilerinin Microsoft Defender görselleştirme

  • Makale

Azure İzleyici çalışma kitapları, Azure Kaynak Grafı aboneliklerinizde depolanan verileri görsel olarak yansıtan ve doğrudan IoT için Microsoft Defender'de kullanılabilen grafikler, grafikler ve panolar sağlar.

Azure portal, Microsoft tarafından oluşturulan ve kullanıma hazır olarak sağlanan veya müşteriler tarafından oluşturulan ve topluluk genelinde paylaşılan çalışma kitaplarını görüntülemek için IoT için Defender Çalışma Kitapları sayfasını kullanın.

Her çalışma kitabı grafiği veya grafiği, verileriniz üzerinde çalışan bir Azure Kaynak Grafı (ARG) sorgusunu temel alır. IoT için Defender'da aşağıdakiler için ARG sorgularını kullanabilirsiniz:

  • Algılayıcı durumlarını toplama
  • Ağınızdaki yeni cihazları tanımlama
  • Belirli IP adresleriyle ilgili uyarıları bulma
  • Her algılayıcı tarafından hangi uyarıların görüldüğünü anlama

Çalışma kitaplarını görüntüleme

Microsoft tarafından oluşturulan kullanıma açık çalışma kitaplarını veya aboneliğinize kaydedilmiş diğer çalışma kitaplarını görüntülemek için:

  1. Azure portal IoT için Defender'a gidin ve sol tarafta Çalışma Kitapları'nı seçin.

    Çalışma Kitapları sayfasının ekran görüntüsü.

  2. Gerekirse filtreleme seçeneklerinizi değiştirin ve açmak için bir çalışma kitabı seçin.

IoT için Defender, kullanıma hazır olarak aşağıdaki çalışma kitaplarını sağlar:

  • Algılayıcının sistem durumu. Algılayıcılarınızın sistem durumuyla ilgili, algılayıcılarınıza yüklenen algılayıcı konsolu yazılım sürümleri gibi verileri görüntüler.
  • Uyarılar. Algılayıcıya göre uyarılar, uyarı türleri, oluşturulan son uyarılar ve daha fazlası dahil olmak üzere algılayıcılarınızda gerçekleşen uyarılar hakkındaki verileri görüntüler.
  • Cihazlar'a gidin. Satıcıya, alt türe ve tanımlanan yeni cihazlara göre cihazlar dahil olmak üzere cihaz envanteriniz hakkındaki verileri görüntüler.
  • Güvenlik açıkları. Ağınızdaki OT cihazlarında algılanan Güvenlik Açıkları hakkındaki verileri görüntüler. Sağdaki tablolarda ilgili bilgileri görüntülemek için Cihaz güvenlik açıkları, Güvenlik açığı bulunan cihazlar veya Güvenlik açığı bulunan bileşenler tablolarında bir öğe seçin.

Özel çalışma kitapları oluşturma

Doğrudan IoT için Defender'da özel Azure İzleyici çalışma kitapları oluşturmak için IoT için Defender Çalışma Kitapları sayfasını kullanın.

  1. Çalışma Kitapları sayfasında Yeni'yi seçin veya başka bir şablondan başlamak için şablon çalışma kitabını açın ve Düzenle'yi seçin.

  2. Yeni çalışma kitabınızda Ekle'yi seçin ve çalışma kitabınıza eklemek istediğiniz seçeneği belirleyin. Var olan bir çalışma kitabını veya şablonu düzenliyorsanız, Sağ taraftaki seçenekler (...) düğmesini seçerek Ekle menüsüne erişin.

    Çalışma kitabınıza aşağıdaki öğelerden herhangi birini ekleyebilirsiniz:

    Seçenek Açıklama
    Metin Çalışma kitabınızda gösterilen grafikleri veya gerekli ek eylemleri açıklamak için metin ekleyin.
    Parametreler Çalışma kitabı metninizde ve sorgularınızda kullanılacak parametreleri tanımlayın.
    Bağlantılar / sekmeler Çalışma kitabınıza listeler, diğer hedeflere bağlantılar, ek sekmeler veya araç çubukları gibi gezinti öğeleri ekleyin.
    Sorgu Çalışma kitabı graflarınızı ve grafiklerinizi oluştururken kullanmak üzere bir sorgu ekleyin.

    - Veri kaynağınız olarak Azure Kaynak Grafı'ı ve tüm ilgili aboneliklerinizi seçtiğinizden emin olun.
    - Görselleştirme seçeneklerinden bir tür seçerek verileriniz için grafik gösterimi ekleyin.
    Ölçüm Çalışma kitabı grafikleri ve grafikleri oluştururken kullanılacak ölçümleri ekleyin.
    Grup Çalışma kitaplarınızı alt alanlarda düzenlemek için gruplar ekleyin.

    Her seçenek için, kullanılabilir tüm ayarları tanımladıktan sonra Ekle ... veya Çalıştır... düğmesini seçerek bu çalışma kitabı öğesini oluşturun. Örneğin, Parametre ekle veya Sorgu Çalıştır.

    İpucu

    Sorgularınızı Azure Kaynak Grafı Gezgini'nde oluşturabilir ve bunları çalışma kitabı sorgunuza kopyalayabilirsiniz.

  3. Çalışma kitabınızı kaydetmek için araç çubuğunda Kaydet veya Farklı kaydet'i ve ardından Düzenleme tamamlandı'yı seçin.

  4. Tam çalışma kitabı listesini içeren ana çalışma kitabı sayfasına dönmek için Çalışma Kitapları'nı seçin.

Sorgularınızdaki başvuru parametreleri

Bir parametre oluşturduktan sonra, aşağıdaki söz dizimini kullanarak sorgunuzda bu parametreye başvurun: {ParameterName}. Örnek:

iotsecurityresources
| where type == "microsoft.iotsecurity/sensors"
| extend Name=name
| extend Status= properties.sensorStatus
| where Name=={SensorName}
| project Name,Status

Örnek sorgular

Bu bölümde, IoT için Defender çalışma kitaplarında yaygın olarak kullanılan örnek sorgular sağlanır.

Uyarı sorguları

Algılayıcılar arasında uyarıların dağıtımı

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| extend Sensor=properties.extendedProperties.SensorId
| where properties.status!='Closed'
| summarize Alerts=count() by tostring(Sensor)
| sort by Alerts desc

Son 24 saate ait yeni uyarılar

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| where properties.status!='Closed'
| extend AlertTime=properties.startTimeUtc
| extend Type=properties.displayName
| where AlertTime > ago(1d)
| project AlertTime, Type

Kaynak IP adresine göre uyarılar

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| extend Type=properties.displayName
| extend Source_IP=properties.extendedProperties.SourceDeviceAddress
| extend Destination_IP=properties.extendedProperties.DestinationDeviceAddress
| where Source_IP=='192.168.10.1'
| project Source_IP, Destination_IP, Type

Cihaz sorguları

Satıcıya göre OT cihaz envanteri

iotsecurityresources
| extend Vendor= properties.hardware.vendor
| where properties.deviceDataSource=='OtSensor'
| summarize Devices=count() by tostring(Vendor)
| sort by Devices

PLC, katıştırılmış cihaz, UPS gibi alt türe göre OT cihaz envanteri

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| extend SubType=properties.deviceSubTypeDisplayName
| summarize Devices=count() by tostring(SubType)
| sort by Devices

Algılayıcı, site ve IPv4 adresine göre yeni OT cihazları

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| extend TimeFirstSeen=properties.firstSeen
| where TimeFirstSeen > ago(1d)
| extend DeviceName=properties.deviceName
| extend Site=properties.sensor.site
| extend Sensor=properties.sensor.name
| extend IPv4=properties.nics.[0].ipv4Address
| where properties.deviceDataSource=='OtSensor'
| project TimeFirstSeen, Site, Sensor, DeviceName, IPv4

Purdue düzeyine göre uyarıları özetleme

iotsecurityresources
    | where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
    | project 
        resourceId = id,
        affectedResource = tostring(properties.extendedProperties.DeviceResourceIds),
        id = properties.systemAlertId
    | join kind=leftouter (
        iotsecurityresources | where type == "microsoft.iotsecurity/locations/devicegroups/devices" 
        | project 
            sensor = properties.sensor.name,
            zone = properties.sensor.zone,
            site = properties.sensor.site,
            deviceProperties=properties,
            affectedResource = tostring(id)
    ) on affectedResource
    | project-away affectedResource1
    | where deviceProperties.deviceDataSource == 'OtSensor'
    | summarize Alerts=count() by tostring(deviceProperties.purdueLevel)

Sonraki adımlar

Algılayıcı konsolunda panoları ve raporları görüntüleme hakkında daha fazla bilgi edinin:

Azure İzleyici çalışma kitapları ve Azure Kaynak Grafı hakkında daha fazla bilgi edinin: