Tutorial: conectar Microsoft Defender para IoT ao Microsoft Sentinel

O Microsoft Defender para IoT permite que você proteja todo o ambiente de OT e Enterprise IoT, seja para proteger os dispositivos existentes ou incorporar a segurança nas inovações.

O Microsoft Sentinel e o Microsoft Defender para IoT ajudam a superar os desafios de segurança de IT e OT e a capacitar as equipes de SOC com recursos prontos para uso para detectar e responder a ameaças com eficácia e eficiência. A integração entre o Microsoft Defender para IoT e o Microsoft Sentinel ajuda as organizações a detectar rapidamente ataques de várias fases, que geralmente rompem os limites da IT e OT.

Este conector permite transmitir os dados do Microsoft Defender para IoT para o Microsoft Sentinel. Portanto, você poder exibir, analisar e responder aos alertas do Defender para IoT e aos incidentes que eles geram, em um contexto de ameaça organizacional mais amplo.

Neste tutorial, você aprenderá a:

  • Conectar dados do Defender para IoT ao Microsoft Sentinel
  • Usar Log Analytics para consultar dados de alerta do Defender para IoT

Pré-requisitos

Antes de começar, verifique se você tem os seguintes requisitos em seu workspace:

  • Permissões de Leitura e Gravação no workspace do Microsoft Sentinel. Para saber mais, veja Permissões no Microsoft Sentinel.

  • Permissões de Colaborador ou Proprietário na assinatura que você deseja conectar ao Microsoft Sentinel.

  • Um plano do Defender para IoT na sua assinatura do Azure com streaming de dados para o Defender para IoT. Para saber mais, confira Início Rápido: Introdução ao Defender para IoT.

Importante

Atualmente, se os conectores do Microsoft Defender para IoT e do Microsoft Defender para Nuvem estiverem habilitados no mesmo workspace do Microsoft Sentinel, é possível que ocorram alertas duplicados no Microsoft Sentinel. Recomendamos que você desconecte o conector de dados do Microsoft Defender para Nuvem antes de se conectar ao Microsoft Defender para IoT.

Conectar seus dados do Defender para IoT ao Microsoft Sentinel

Comece habilitando o conector de dados do Defender para IoT a fim de transmitir todos os seus eventos do Defender para IoT ao Microsoft Sentinel.

Para habilitar o conector de dados do Defender para IoT:

  1. No Microsoft Sentinel, em Configuração, selecione Conectores de dados e localize o conector de dados do Microsoft Defender para IoT.

  2. Na parte inferior direita, selecione Abrir página do conector.

  3. Na guia Instruções, em Configurações, selecione Conectar para cada assinatura cujos alertas e alertas de dispositivo você deseja transmitir ao Microsoft Sentinel.

    Caso tenha feito algumas alterações na conexão, pode ser que demore 10 segundos ou mais para a lista de Assinaturas atualizar.

Para obter mais informações, confira Conectar o Microsoft Sentinel aos serviços do Azure, Windows, Microsoft e Amazon.

Exibir alertas do Defender para IoT

Depois de conectar uma assinatura ao Microsoft Sentinel, você poderá exibir alertas do Defender para IoT na área Logs do Microsoft Sentinel.

  1. No Microsoft Sentinel, selecione Logs > AzureSecurityOfThings > SecurityAlert ou pesquise SecurityAlert.

  2. Use as consultas de exemplo a seguir para filtrar os logs e exibir os alertas gerados pelo Defender para IoT:

    Para ver todos os alertas gerados pelo Defender para IoT:

    SecurityAlert | where ProductName == "Azure Security Center for IoT"
    

    Para ver os alertas específicos gerados pelo Defender para IoT:

    SecurityAlert
    | where ProductName == "Azure Security Center for IoT"
    | where tostring(parse_json(ExtendedProperties).SensorId) == “<sensor_name>”
    

    Para ver os alertas específicos do mecanismo do OT gerados pelo Defender para IoT:

    SecurityAlert
    | where ProductName == "Azure Security Center for IoT"
    | where ProductComponentName == "MALWARE"
    
    SecurityAlert
    | where ProductName == "Azure Security Center for IoT"
    | where ProductComponentName == "ANOMALY"
    
    SecurityAlert
    | where ProductName == "Azure Security Center for IoT"
    | where ProductComponentName == "PROTOCOL_VIOLATION"
    
    SecurityAlert
    | where ProductName == "Azure Security Center for IoT"
    | where ProductComponentName == "POLICY_VIOLATION"
    
    SecurityAlert
    | where ProductName == "Azure Security Center for IoT"
    | where ProductComponentName == "OPERATIONAL"
    

    Para ver os alertas de alta severidade gerados pelo Defender para IoT:

    SecurityAlert
    | where ProductName == "Azure Security Center for IoT"
    | where AlertSeverity == "High"
    

    Para ver os alertas de protocolo específicos gerados pelo Defender para IoT:

    SecurityAlert
    | where ProductName == "Azure Security Center for IoT"
    | where tostring(parse_json(ExtendedProperties).Protocol) == "<protocol_name>"
    

Observação

A página Logs no Microsoft Sentinel se baseia no Log Analytics do Azure Monitor.

Para obter mais informações, confira Visão geral de consultas de log na documentação do Azure Monitor e o módulo Gravar sua primeira consulta KQL do Learn.

Entender carimbos de data/hora de alerta

Os alertas do Defender para IoT, no portal do Azure e no console do sensor, acompanham a hora em que um alerta foi detectado pela primeira vez, detectado pela última vez e alterado pela última vez.

A tabela a seguir descreve os campos de carimbo de data/hora de alerta do Defender para IoT, com um mapeamento para os campos relevantes do Log Analytics mostrados no Microsoft Sentinel.

Campo do Defender para IoT Descrição Campo Log Analytics
Primeira detecção Define a primeira vez que o alerta foi detectado na rede. StartTime
Última detecção Define a última vez que o alerta foi detectado na rede e substitui a coluna tempo de detecção. EndTime
Última atividade Define a última vez que o alerta foi alterado, incluindo atualizações manuais de severidade ou status, ou alterações automatizadas para atualizações de dispositivo ou duplicação de dispositivo/alerta TimeGenerated

No Defender para IoT no portal do Azure e no console do sensor, a coluna Última detecção é mostrada por padrão. Edite as colunas na página Alertas para mostrar as colunas Primeira detecção e Última atividade, conforme necessário.

Para obter mais informações, consulte Exibir alertas no portal do Defender para IoT e Exibir alertas no sensor.

Noções básicas sobre registros múltiplos por alerta

Os dados de alerta do Defender para IoT são transmitidos para o Microsoft Sentinel e armazenados no workspace do Log Analytics, na tabela SecurityAlert.

Os registros na tabela SecurityAlert são criados e atualizados sempre que um alerta é gerado ou atualizado no Defender para IoT. Às vezes, um só alerta terá vários registros, como quando o alerta foi criado pela primeira vez e depois novamente quando foi atualizado.

No Microsoft Sentinel, use a seguinte consulta para verificar os registros adicionados à tabela SecurityAlert para obter um alerta individual:

SecurityAlert
|  where ProductName == "Azure Security Center for IoT"
|  where VendorOriginalId == "Defender for IoT Alert ID"
| sort by TimeGenerated desc

As atualizações de status ou gravidade do alerta geram novos registros na tabela SecurityAlert imediatamente.

Outros tipos de atualizações são agregados em até 12 horas e novos registros na tabela SecurityAlert refletem apenas a alteração mais recente. Exemplos de atualizações agregadas incluem:

  • Atualizações na hora da última detecção, como quando o mesmo alerta é detectado várias vezes
  • Um novo dispositivo é adicionado a um alerta existente
  • As propriedades do dispositivo para um alerta são atualizadas

Próximas etapas

A solução Microsoft Defender para IoT é um conjunto de conteúdo empacotado e pronto para uso, configurado especificamente para dados do Defender para IoT e inclui regras de análise, pastas de trabalho e guias estratégicos.