Visualisieren von Microsoft Defender for IoT-Daten mit Azure Monitor-Arbeitsmappen
Azure Monitor-Arbeitsmappen bieten Graphen, Diagramme und Dashboards, die Daten, die in Ihren Azure Resource Graph-Abonnements gespeichert und direkt in Microsoft Defender für IoT verfügbar sind, visuell darstellen.
Verwenden Sie im Azure-Portal die Seite Arbeitsmappen von Defender für IoT, um Arbeitsmappen anzuzeigen, die von Microsoft erstellt und ohne weitere Anpassungen bereitgestellt oder von Kunden erstellt und für die gesamte Community freigegeben wurden.
Jeder Arbeitsmappengraph bzw. jedes Arbeitsmappendiagramm basiert auf einer ARG-Abfrage (Azure Resource Graph), die für Ihre Daten ausgeführt wird. In Defender für IoT können Sie ARG-Abfragen für Folgendes verwenden:
- Erfassen des Sensorstatus
- Identifizieren neuer Geräte in Ihrem Netzwerk
- Suchen von Warnungen im Zusammenhang mit bestimmten IP-Adressen
- Nachvollziehen, welche Warnungen von den einzelnen Sensoren angezeigt werden
Anzeigen von Arbeitsmappen
So zeigen Sie von Microsoft erstellte Arbeitsmappen ohne weitere Anpassungen oder andere Arbeitsmappen an, die bereits in Ihrem Abonnement gespeichert sind
Navigieren Sie im Azure-Portal zu Defender für IoT, und wählen Sie auf der linken Seite Arbeitsmappen aus.
Ändern Sie bei Bedarf die Filteroptionen, und wählen Sie eine Arbeitsmappe aus, um sie zu öffnen.
Defender für IoT stellt die folgenden Arbeitsmappen ohne weitere Anpassungen zur Verfügung:
- Sensorintegrität: Zeigt Daten zur Sensorintegrität an, z. B. die auf Ihren Sensoren installierten Softwareversionen der Sensorkonsole.
- Warnungen: Zeigt Daten zu Warnungen an, die auf Ihren Sensoren auftreten, einschließlich Warnungen nach Sensor und Warnungstypen, kürzlich generierte Warnungen und mehr.
- Geräte: Zeigt Daten zu Ihrem Gerätebestand an, einschließlich Geräten nach Hersteller, Untertyp und neuen identifizierten Geräten.
- Sicherheitsrisiken Zeigt Daten zu den in OT-Geräten erkannten Sicherheitsrisiken in Ihrem Netzwerk an. Wählen Sie ein Element in den Tabellen Gerätesicherheitsrisiken, Anfällige Geräte oder Anfällige Komponenten aus, um zugehörige Informationen in den Tabellen auf der rechten Seite anzuzeigen.
Erstellen benutzerdefinierter Arbeitsmappen
Auf der Seite Arbeitsmappen von Defender für IoT können Sie benutzerdefinierte Azure Monitor-Arbeitsmappen direkt in Defender für IoT erstellen.
Wählen Sie auf der Seite Arbeitsmappen die Option Neu aus, oder öffnen Sie die Vorlagenarbeitsmappe, und wählen Sie Bearbeiten aus, um mit einer anderen Vorlage zu beginnen.
Wählen Sie in der neuen Arbeitsmappe Hinzufügen und dann die Option aus, die Sie ihrer Arbeitsmappe hinzufügen möchten. Wenn Sie eine vorhandene Arbeitsmappe oder Vorlage bearbeiten, wählen Sie auf der rechten Seite die Schaltfläche „Optionen“ (...) aus, um auf das Menü Hinzufügen zuzugreifen.
Sie können Ihrer Arbeitsmappe eins der folgenden Elemente hinzufügen:
Option BESCHREIBUNG Text Fügen Sie Text hinzu, um die in Ihrer Arbeitsmappe angezeigten Graphen oder weitere erforderliche Aktionen zu beschreiben. Parameter Definieren Sie Parameter, die im Arbeitsmappentext und in Abfragen verwendet werden sollen. Links/Registerkarten Fügen Sie Ihrer Arbeitsmappe Navigationselemente hinzu, einschließlich Listen, Links zu anderen Zielen, zusätzlicher Registerkarten oder Symbolleisten. Abfrage Fügen Sie eine Abfrage hinzu, die beim Erstellen Ihrer Arbeitsmappengraphen und -diagramme verwendet werden soll.
- Wählen Sie unter Datenquelle unbedingt Azure Resource Graph und anschließend alle relevanten Abonnements aus.
- Fügen Sie eine grafische Darstellung für Ihre Daten hinzu, indem Sie in den Optionen zur Visualisierung einen Typ auswählen.Metrik Fügen Sie Metriken hinzu, die beim Erstellen von Arbeitsmappengraphen und -diagrammen verwendet werden sollen. Gruppe Fügen Sie Gruppen hinzu, um Ihre Arbeitsmappen in Unterbereiche zu organisieren. Wenn Sie alle verfügbaren Einstellungen festgelegt haben, wählen Sie für jede Option die Schaltfläche ... hinzufügen oder ... ausführen aus, um das jeweilige Arbeitsmappenelement zu erstellen. Beispiel: Parameter hinzufügen oder Abfrage ausführen
Tipp
Sie können Ihre Abfragen im Azure Resource Graph-Explorer erstellen und in Ihre Arbeitsmappenabfrage kopieren.
Wählen Sie auf der Symbolleiste Speichern
oder Speichern unter 
aus, um Ihre Arbeitsmappe zu speichern. Wählen Sie anschließend Bearbeitung abgeschlossen aus.Wählen Sie Arbeitsmappen aus, um zur Hauptseite der Arbeitsmappe mit der vollständigen Arbeitsmappenauflistung zurückzukehren.
Verweisparameter in Ihren Abfragen
Nachdem Sie einen Parameter erstellt haben, verweisen Sie in Ihrer Abfrage mit der folgenden Syntax darauf: {ParameterName}. Beispiel:
iotsecurityresources
| where type == "microsoft.iotsecurity/sensors"
| extend Name=name
| extend Status= properties.sensorStatus
| where Name=={SensorName}
| project Name,Status
Beispielabfragen
Dieser Abschnitt enthält Beispielabfragen, die häufig in Defender für IoT-Arbeitsmappen verwendet werden.
Warnungsabfragen
Sensorübergreifende Verteilung von Warnungen
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| extend Sensor=properties.extendedProperties.SensorId
| where properties.status!='Closed'
| summarize Alerts=count() by tostring(Sensor)
| sort by Alerts desc
Neue Warnungen der letzten 24 Stunden
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| where properties.status!='Closed'
| extend AlertTime=properties.startTimeUtc
| extend Type=properties.displayName
| where AlertTime > ago(1d)
| project AlertTime, Type
Warnungen nach Quell-IP-Adresse
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| extend Type=properties.displayName
| extend Source_IP=properties.extendedProperties.SourceDeviceAddress
| extend Destination_IP=properties.extendedProperties.DestinationDeviceAddress
| where Source_IP=='192.168.10.1'
| project Source_IP, Destination_IP, Type
Geräteabfragen
OT-Gerätebestand nach Hersteller
iotsecurityresources
| extend Vendor= properties.hardware.vendor
| where properties.deviceDataSource=='OtSensor'
| summarize Devices=count() by tostring(Vendor)
| sort by Devices
OT-Gerätebestand nach Untertyp, etwa PLC, eingebettetes Gerät, USV usw.
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| extend SubType=properties.deviceSubTypeDisplayName
| summarize Devices=count() by tostring(SubType)
| sort by Devices
Neue OT-Geräte nach Sensor, Standort und IPv4-Adresse
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| extend TimeFirstSeen=properties.firstSeen
| where TimeFirstSeen > ago(1d)
| extend DeviceName=properties.deviceName
| extend Site=properties.sensor.site
| extend Sensor=properties.sensor.name
| extend IPv4=properties.nics.[0].ipv4Address
| where properties.deviceDataSource=='OtSensor'
| project TimeFirstSeen, Site, Sensor, DeviceName, IPv4
Zusammenfassen von Warnungen nach Purdue-Ebene
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| project
resourceId = id,
affectedResource = tostring(properties.extendedProperties.DeviceResourceIds),
id = properties.systemAlertId
| join kind=leftouter (
iotsecurityresources | where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| project
sensor = properties.sensor.name,
zone = properties.sensor.zone,
site = properties.sensor.site,
deviceProperties=properties,
affectedResource = tostring(id)
) on affectedResource
| project-away affectedResource1
| where deviceProperties.deviceDataSource == 'OtSensor'
| summarize Alerts=count() by tostring(deviceProperties.purdueLevel)
Nächste Schritte
Erfahren Sie mehr über das Anzeigen von Dashboards und Berichten in der Sensorkonsole:
- Ausführen von Data Mining-Abfragen
- Berichterstellung zur Risikobewertung
- Erstellen von Trends und Statistikdashboards
Erfahren Sie mehr über Azure Monitor-Arbeitsmappen und Azure Resource Graph: