Visualizzare i dati di Microsoft Defender per IoT con le cartelle di lavoro di Monitoraggio di Azure
Le cartelle di lavoro di Monitoraggio di Azure forniscono grafi, grafici e dashboard che rispecchiano visivamente i dati archiviati nelle sottoscrizioni di Azure Resource Graph e sono ora disponibili direttamente in Microsoft Defender per IoT.
Nel portale di Azure, usare la pagina Cartelle di lavoro di Defender per IoT per visualizzare le cartelle di lavoro predefinite e create da Microsoft o dai clienti e condivise nella community.
Ogni grafo o grafico della cartella di lavoro si basa su una query di Azure Resource Graph (ARG) in esecuzione sui dati. In Defender per IoT è possibile usare query ARG per:
- Raccogliere gli stati dei sensori
- Identificare i nuovi dispositivi nella rete
- Trovare avvisi correlati a indirizzi IP specifici
- Comprendere quali avvisi vengono visualizzati da ogni sensore
Visualizza le cartelle di lavoro
Per visualizzare le cartelle di lavoro predefinite create da Microsoft o altre cartelle di lavoro già salvate nella sottoscrizione:
Nel portale di Azure passare a Defender per IoT e selezionare Cartelle di lavoro a sinistra.
Modificare le opzioni di filtro, se necessario, e selezionare una cartella di lavoro per aprirla.
Defender per IoT offre le cartelle di lavoro predefinite seguenti:
- Integrità sensore. Visualizza i dati sull'integrità del sensore, ad esempio le versioni software della console del sensore installate nei sensori.
- Avvisi. Visualizza i dati sugli avvisi che si verificano nei sensori, inclusi avvisi per sensore, tipi di avviso, avvisi generati di recente e altro ancora.
- Dispositivi. Visualizza i dati sull'inventario dei dispositivi, inclusi i dispositivi per fornitore, sottotipo e nuovi dispositivi identificati.
- Vulnerabilità. Visualizza i dati sulle vulnerabilità rilevate nei dispositivi OT nella rete. Selezionare un elemento nelle tabelle Vulnerabilità dispositivo, Dispositivi vulnerabili o Componenti vulnerabili per visualizzare le informazioni correlate nelle tabelle a destra.
Creare cartelle di lavoro personalizzate
Usare la pagina Cartelle di lavoro di Defender per IoT per creare cartelle di lavoro personalizzate di Monitoraggio di Azure direttamente in Defender per IoT.
Nella pagina Cartelle di lavoro selezionare Nuovo oppure per iniziare da un altro modello, aprire la cartella di lavoro del modello e selezionare Modifica.
Nella nuova cartella di lavoro selezionare Aggiungie selezionare l'opzione da aggiungere alla cartella di lavoro. Se si sta modificando una cartella di lavoro o un modello esistente, selezionare il pulsante opzioni (...) a destra per accedere al menu Aggiungi.
È possibile aggiungere uno degli elementi seguenti alla cartella di lavoro:
Opzione Descrizione Text Aggiungere testo per descrivere i grafi visualizzati nella cartella di lavoro o qualsiasi altra azione necessaria. Parametri Definire i parametri da usare nel testo e nelle query della cartella di lavoro. Collegamenti/schede Aggiungere elementi di spostamento alla cartella di lavoro, inclusi elenchi, collegamenti ad altre destinazioni, schede aggiuntive o barre degli strumenti. Query Aggiungere una query da usare durante la creazione di grafi e grafici della cartella di lavoro.
- Assicurarsi di selezionare Azure Resource Graph come Origine dati e selezionare tutte le sottoscrizioni pertinenti.
- Aggiungere una rappresentazione grafica per i dati selezionando un tipo nelle opzioni Visualizzazione.Metrica Aggiungere metriche da usare durante la creazione di grafi e grafici della cartella di lavoro. Raggruppa Aggiungere gruppi per organizzare le cartelle di lavoro in sottoaree. Per ogni opzione, dopo aver definito tutte le impostazioni disponibili, selezionare il pulsante Aggiungi... o Esegui... per creare l'elemento della cartella di lavoro. Ad esempio Aggiungi parametro o Esegui query.
Suggerimento
È possibile compilare le query nella Azure Resource Graph Explorer e copiarle nella query della cartella di lavoro.
Nella barra degli strumenti selezionare Salva
o Salva con nome 
per salvare la cartella di lavoro e quindi selezionare Modifica completata.Selezionare Cartelle di lavoro per tornare alla pagina principale della cartella di lavoro con l'elenco completo delle cartelle di lavoro.
Parametri di riferimento nelle query
Dopo aver creato un parametro, farvi riferimento nella query usando la sintassi seguente: {ParameterName}. Ad esempio:
iotsecurityresources
| where type == "microsoft.iotsecurity/sensors"
| extend Name=name
| extend Status= properties.sensorStatus
| where Name=={SensorName}
| project Name,Status
Query di esempio
In questa sezione vengono fornite query di esempio comunemente usate nelle cartelle di lavoro di Defender per IoT.
Query sugli avvisi
Distribuzione degli avvisi tra i sensori
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| extend Sensor=properties.extendedProperties.SensorId
| where properties.status!='Closed'
| summarize Alerts=count() by tostring(Sensor)
| sort by Alerts desc
Nuovi avvisi delle ultime 24 ore
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| where properties.status!='Closed'
| extend AlertTime=properties.startTimeUtc
| extend Type=properties.displayName
| where AlertTime > ago(1d)
| project AlertTime, Type
Avvisi per indirizzo IP di origine
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| extend Type=properties.displayName
| extend Source_IP=properties.extendedProperties.SourceDeviceAddress
| extend Destination_IP=properties.extendedProperties.DestinationDeviceAddress
| where Source_IP=='192.168.10.1'
| project Source_IP, Destination_IP, Type
Query su dispositivi
Inventario dei dispositivi OT per fornitore
iotsecurityresources
| extend Vendor= properties.hardware.vendor
| where properties.deviceDataSource=='OtSensor'
| summarize Devices=count() by tostring(Vendor)
| sort by Devices
Inventario dei dispositivi OT per sottotipo, ad esempio PLC, dispositivo incorporato, UPS e così via
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| extend SubType=properties.deviceSubTypeDisplayName
| summarize Devices=count() by tostring(SubType)
| sort by Devices
Nuovi dispositivi OT per sensore, sito e indirizzo IPv4
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| extend TimeFirstSeen=properties.firstSeen
| where TimeFirstSeen > ago(1d)
| extend DeviceName=properties.deviceName
| extend Site=properties.sensor.site
| extend Sensor=properties.sensor.name
| extend IPv4=properties.nics.[0].ipv4Address
| where properties.deviceDataSource=='OtSensor'
| project TimeFirstSeen, Site, Sensor, DeviceName, IPv4
Riepilogare gli avvisi per livello di Purdue
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| project
resourceId = id,
affectedResource = tostring(properties.extendedProperties.DeviceResourceIds),
id = properties.systemAlertId
| join kind=leftouter (
iotsecurityresources | where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| project
sensor = properties.sensor.name,
zone = properties.sensor.zone,
site = properties.sensor.site,
deviceProperties=properties,
affectedResource = tostring(id)
) on affectedResource
| project-away affectedResource1
| where deviceProperties.deviceDataSource == 'OtSensor'
| summarize Alerts=count() by tostring(deviceProperties.purdueLevel)
Passaggi successivi
Altre informazioni sulla visualizzazione di dashboard e report nella console del sensore:
- Eseguire query di data mining
- Report di valutazione del rischio
- Creare dashboard di tendenze e statistiche
Altre informazioni sulle cartelle di lavoro di Monitoraggio di Azure e Azure Resource Graph: