你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

教程:将 Connect Microsoft Defender for IoT 与 Microsoft Sentinel 相连接

​Microsoft Defender for IoT 使你能够保护整个 OT 和企业 IoT 环境,无论你是需要保护现有设备还是为新的创新构建安全性。

Microsoft Sentinel 和 Microsoft Defender for IoT 有助于弥合 IT 和 OT 安全挑战之间的差距,并为 SOC 团队提供现成的功能,以高效检测和响应安全威胁。 Microsoft Defender for IoT 与 Microsoft Sentinel 之间的集成可帮助组织快速检测多阶段攻击,这种攻击通常跨越 IT 与 OT 边界。

此连接器允许你将 Microsoft Defender for IoT 数据流式传输到 Microsoft Sentinel,因此你可以在更广泛的组织威胁环境中查看、分析和响应 Defender for IoT 警报及其生成的事件。

在本教程中,您将学习如何执行以下操作:

  • 将 Defender for IoT 数据连接到 Microsoft Sentinel
  • 使用 Log Analytics 查询 Defender for IoT 警报数据

先决条件

在开始之前,请确保你的工作区符合以下要求:

  • 对 Microsoft Sentinel 工作区的“读取”和“写入”权限。 有关详细信息,请参阅 Microsoft Sentinel 中的权限

  • 要连接到 Microsoft Sentinel 的订阅的“参与者”或“所有者”权限。

  • Azure 订阅的 Defender for IoT 计划,其中数据流式传输到 Defender for IoT。 有关详细信息,请参阅快速入门:开始使用 Defender for IoT

重要

目前,在同一个 Microsoft Sentinel 工作区上同时启用 Microsoft Defender for IoT 和 Microsoft Defender for Cloud 数据连接器可能会导致 Microsoft Sentinel 中出现重复警报。 建议在连接到 Microsoft Defender for IoT 之前,首先断开与 Microsoft Defender for Cloud 数据连接器的连接。

将数据从 Defender for IoT 连接到 Microsoft Sentinel

首先启用 Defender for IoT 数据连接器,以将所有 Defender for IoT 事件传流到 Azure Sentinel。

启用 Defender for IoT 数据连接器:

  1. 在 Microsoft Sentinel 中的“配置”下,选择“数据连接器”,然后找到“Microsoft Defender for Iot 数据连接器”。

  2. 在右下方,选择“打开连接器页”。

  3. 在“配置”下的“指令”选项卡上,针对你希望将其警报和设备警报流到 Microsoft Sentinel 的每个订阅,选择“连接”。

    如果你对连接进行了任何更改,那么更新“订阅”列表可能需要 10 秒或更长时间。

有关详细信息,请参阅将 Microsoft Sentinel 连接到 Azure、Windows、Microsoft 和 Amazon 服务

查看 Defender for IoT 警报

将订阅连接到 Microsoft Sentinel 后,你将能够在 Microsoft Sentinel 日志区域中查看 Defender for IoT 警报。

  1. 在 Microsoft Sentinel 中,选择“日志”>“AzureSecurityOfThings”>“SecurityAlert”,或搜索“SecurityAlert”。

  2. 使用以下示例查询来过滤日志并查看 Defender for IoT 生成的警报:

    查看 Defender for IoT 生成的所有警报:

    SecurityAlert | where ProductName == "Azure Security Center for IoT"
    

    查看由 Defender for IoT 生成的特定传感器警报:

    SecurityAlert
    | where ProductName == "Azure Security Center for IoT"
    | where tostring(parse_json(ExtendedProperties).SensorId) == “<sensor_name>”
    

    查看由 Defender for IoT 生成的特定 OT 引擎警报:

    SecurityAlert
    | where ProductName == "Azure Security Center for IoT"
    | where ProductComponentName == "MALWARE"
    
    SecurityAlert
    | where ProductName == "Azure Security Center for IoT"
    | where ProductComponentName == "ANOMALY"
    
    SecurityAlert
    | where ProductName == "Azure Security Center for IoT"
    | where ProductComponentName == "PROTOCOL_VIOLATION"
    
    SecurityAlert
    | where ProductName == "Azure Security Center for IoT"
    | where ProductComponentName == "POLICY_VIOLATION"
    
    SecurityAlert
    | where ProductName == "Azure Security Center for IoT"
    | where ProductComponentName == "OPERATIONAL"
    

    查看 Defender for IoT 生成的高严重度警报:

    SecurityAlert
    | where ProductName == "Azure Security Center for IoT"
    | where AlertSeverity == "High"
    

    查看由 Defender for IoT 生成的特定协议警报:

    SecurityAlert
    | where ProductName == "Azure Security Center for IoT"
    | where tostring(parse_json(ExtendedProperties).Protocol) == "<protocol_name>"
    

注意

Microsoft Sentinel 中的“日志”页面是基于 Azure Monitor 的日志分析。

有关更多信息,请参见 Azure Monitor 文档中的日志查询概述编写第一个 KQL 查询学习模块。

了解警报时间戳

在 Azure 门户和传感器控制台中,Defender for IoT 警报跟踪首次检测到警报、上次检测到警报和上次更改警报的时间。

下表描述了 Defender for IoT 警报时间戳字段,并映射到 Microsoft Sentinel 中显示的 Log Analytics 中的相关字段。

Defender for IoT 字段 描述 Log Analytics 字段
首次检测 定义在网络中首次检测到警报的时间。 StartTime
上次检测 定义上次在网络中检测到警报的时间,并替换“检测时间”列。 EndTime
上次活动 定义上次更改警报的时间,包括针对严重性或状态的手动更新,或针对设备更新或设备/警报重复数据删除的自动更改 TimeGenerated

在 Azure 门户和传感器控制台上的 Defender for IoT 中,默认显示“上次检测”列。 编辑“警报”页上的列,以根据需要显示“首次检测”和“上次活动”列。

有关详细信息,请参阅查看 Defender for IoT 门户上的警报查看传感器上的警报

了解每个警报的多个记录

Defender for IoT 警报数据会流式传输到 Microsoft Sentinel,并存储在 Log Analytics 工作区的 SecurityAlert 表中。

每次在 Defender for IoT 中生成或更新警报时,都会创建 SecurityAlert 表中的记录。 有时,单个警报会有多个记录,例如首次创建警报之后又更新该警报。

在 Microsoft Sentinel 中,使用以下查询可检查添加到 SecurityAlert 表的单个警报的记录:

SecurityAlert
|  where ProductName == "Azure Security Center for IoT"
|  where VendorOriginalId == "Defender for IoT Alert ID"
| sort by TimeGenerated desc

警报状态或严重性汇报会在SecurityAlert 表立即。

其他类型的更新最多聚合 12 小时,SecurityAlert 表中的新记录仅反映最新更改。 聚合更新的示例包括:

  • 上次检测时间更新,例如多次检测同一警报时
  • 新设备已添加到现有警报
  • 更新了警报的设备属性

后续步骤

Microsoft Defender for IoT 解决方案是一组捆绑的、开箱即用的内容,专门为 Defender for IoT 数据配置,包括分析规则、工作簿和 playbook。