Esercitazione: Connettere Microsoft Defender per IoT con Microsoft Sentinel

​Microsoft Defender per IoT consente di proteggere l'intero ambiente OT ed Enterprise IoT, sia per proteggere i dispositivi esistenti che per integrare funzioni di sicurezza in nuove installazioni.

Microsoft Sentinel e Microsoft Defender per IoT consentono di colmare il divario tra le sfide di sicurezza in ambito IT e OT e di consentire ai team SOC di offrire funzionalità predefinite per rilevare e rispondere in modo efficiente e efficace alle minacce alla sicurezza. L'integrazione tra Microsoft Defender per IoT e Microsoft Sentinel consente alle organizzazioni di rilevare rapidamente gli attacchi a più fasi, che spesso superano i limiti IT e OT.

Questo connettore consente di trasmettere i dati di Microsoft Defender per IoT in Microsoft Sentinel, per visualizzare, analizzare e rispondere agli avvisi di Defender per IoT e gli eventi imprevisti generati in un contesto di minaccia aziendale più esteso.

La presente esercitazione include informazioni su come:

  • Connettere a Microsoft Sentinel i dati di Defender per IoT
  • Usare Log Analytics per eseguire le query sui dati degli avvisi di Defender per IoT

Prerequisiti

Prima di iniziare, verificare di avere nell'area di lavoro i seguenti requisiti:

Importante

Attualmente avere sia Microsoft Defender per IoT che i connettori dati di Microsoft Defender per il cloud abilitati nella stessa area di lavoro di Microsoft Sentinel contemporaneamente può comportare avvisi duplicati in Microsoft Sentinel. È consigliabile disconnettere il connettore dati di Microsoft Defender per il cloud, prima di connettersi a Microsoft Defender per IoT.

Connettere a Microsoft Sentinel i dati da Defender per IoT

Per iniziare abilitare il connettore di Defender per IoT per trasmettere tutti gli eventi di Defender per IoT a Microsoft Sentinel.

Per abilitare il connettore dati Defender per IoT:

  1. In Microsoft Sentinel, nella sezione Configurazione, selezionare Connettori dati, quindi individuare il connettore dati Microsoft Defender per IoT.

  2. In basso a destra, selezionare Apri la pagina del connettore.

  3. Nella scheda Istruzioni, in Configurazione, selezionare Connetti per ogni sottoscrizione i cui avvisi e avvisi del dispositivo si vogliono trasmettere a Microsoft Sentinel.

    Se la connessione è stata modificata, l'aggiornamento dell'elenco delle sottoscrizioni può richiedere 10 secondi o più.

Per ulteriori informazioni, consultare la sezione Connettere Microsoft Sentinel ai servizi Azure, Windows, Microsoft e Amazon.

Visualizzare gli avvisi di Defender per IoT

Dopo aver connesso una sottoscrizione a Microsoft Sentinel sarà possibile visualizzare gli avvisi di Defender per IoT nell'area Log di Microsoft Sentinel.

  1. In Microsoft Sentinel selezionare Log > AzureSecurityOfThings > SecurityAlert o cercare la voce SecurityAlert.

  2. Usare le seguenti query di esempio per filtrare i log e visualizzare gli avvisi generati da Defender per IoT:

    Per visualizzare tutti gli avvisi generati da Defender per IoT:

    SecurityAlert | where ProductName == "Azure Security Center for IoT"
    

    Per visualizzare avvisi specifici dei sensori generati da Defender per IoT:

    SecurityAlert
    | where ProductName == "Azure Security Center for IoT"
    | where tostring(parse_json(ExtendedProperties).SensorId) == “<sensor_name>”
    

    Per visualizzare avvisi specifici del motore OT generati da Defender per IoT:

    SecurityAlert
    | where ProductName == "Azure Security Center for IoT"
    | where ProductComponentName == "MALWARE"
    
    SecurityAlert
    | where ProductName == "Azure Security Center for IoT"
    | where ProductComponentName == "ANOMALY"
    
    SecurityAlert
    | where ProductName == "Azure Security Center for IoT"
    | where ProductComponentName == "PROTOCOL_VIOLATION"
    
    SecurityAlert
    | where ProductName == "Azure Security Center for IoT"
    | where ProductComponentName == "POLICY_VIOLATION"
    
    SecurityAlert
    | where ProductName == "Azure Security Center for IoT"
    | where ProductComponentName == "OPERATIONAL"
    

    Per visualizzare gli avvisi con alta gravità generati da Defender per IoT:

    SecurityAlert
    | where ProductName == "Azure Security Center for IoT"
    | where AlertSeverity == "High"
    

    Per visualizzare avvisi specifici del protocollo generati da Defender per IoT:

    SecurityAlert
    | where ProductName == "Azure Security Center for IoT"
    | where tostring(parse_json(ExtendedProperties).Protocol) == "<protocol_name>"
    

Nota

La pagina Log di Microsoft Sentinel si basa su Log Analytics di Monitoraggio di Azure.

Per ulteriori informazioni, consultare la sezione Panoramica delle query di log nella documentazione di Monitoraggio di Azure e il modulo didattico Scrivere la prima query di KQL.

Informazioni sui timestamp degli avvisi

Gli avvisi di Defender per IoT, sia nel portale di Azure che nella console del sensore, consentono di tenere traccia dell'ora in cui è stato rilevato un avviso, dell'ultimo rilevamento e dell'ultima modifica.

La seguente tabella riporta i campi dei timestamp degli avvisi di Defender per IoT, con il mapping ai campi pertinenti di Log Analytics visualizzati in Microsoft Sentinel.

Campo Defender per IoT Descrizione Campo Log Analytics
Primo rilevamento Definisce la prima volta che l'avviso è stato rilevato nella rete. StartTime
Ultimo rilevamento Definisce l'ultima volta che l'avviso è stato rilevato nella rete e sostituisce la colonna Tempo di rilevamento. EndTime
Ultima attività Definisce l'ultima volta che l'avviso è stato modificato, inclusi gli aggiornamenti manuali per la gravità o lo stato o le modifiche automatiche per gli aggiornamenti dei dispositivi o la deduplicazione di dispositivi/avvisi TimeGenerated

Per impostazione predefinita, in Defender per IoT nel portale di Azure e nella console del sensore viene visualizzata la colonna Ultimo rilevamento. Modificare le colonne nella pagina Avvisi per visualizzare le colonne Primo rilevamento e Ultima attività, in base alle esigenze.

Per ulteriori informazioni, consultare la sezione Visualizzare gli avvisi nel portale di Defender per IoT e Visualizzare gli avvisi nel sensore.

Informazioni su record multipli per un avviso

I dati degli avvisi di Defender per IoT vengono trasmessi a Microsoft Sentinel e archiviati nell'area di lavoro Log Analytics nella tabella SecurityAlert.

I record nella tabella SecurityAlert vengono creati ogni volta che in Defender per IoT viene generato o aggiornato un avviso. A volte un singolo avviso ha più record, ad esempio quando l'avviso viene inizialmente creato, quindi atri quando viene aggiornato.

In Microsoft Sentinel, usare la query seguente per controllare i record aggiunti alla tabella SecurityAlert per un singolo avviso:

SecurityAlert
|  where ProductName == "Azure Security Center for IoT"
|  where VendorOriginalId == "Defender for IoT Alert ID"
| sort by TimeGenerated desc

Gli aggiornamenti dello stato dell'avviso o della gravità generano immediatamente nuovi record nella tabella SecurityAlert.

Altri tipi di aggiornamenti vengono aggregati in un massimo di 12 ore e i nuovi record nella tabella SecurityAlert riflettono solo la modifica più recente. Alcuni esempi di aggiornamenti aggregati includono:

  • Aggiornamenti del momento dell'ultimo rilevamento, ad esempio quando lo stesso avviso viene rilevato più volte
  • Viene aggiunto un nuovo dispositivo a un avviso esistente
  • Le proprietà del dispositivo vengono aggiornate per un avviso

Passaggi successivi

La soluzione Microsoft Defender per IoT è un set di contenuti predefiniti in bundle configurati in modo specifico per i dati di Defender per IoT; include regole di analisi, cartelle di lavoro e playbook.