Руководство. Подключение Microsoft Defender для Интернета вещей с помощью Microsoft Sentinel
Microsoft Defender для Интернета вещей позволяет защитить всю среду OT и Enterprise IoT, необходимо ли защитить существующие устройства или создать безопасность в новых инновациях.
Microsoft Sentinel и Microsoft Defender для Интернета вещей помогают преодолеть разрыв между проблемами безопасности ИТ и OT, а также предоставить командам SOC возможность эффективного и эффективного обнаружения угроз безопасности и реагирования на них. Интеграция Microsoft Defender для Интернета вещей и Microsoft Sentinel помогает организациям быстро обнаруживать многоступенчатые атаки, которые часто пересекают границы ИТ и ОТ.
Этот соединитель позволяет передавать данные Microsoft Defender для Интернета вещей в Microsoft Sentinel, чтобы просматривать, анализировать и реагировать на оповещения Defender для Интернета вещей, а также инциденты, которые они создают, в более широком контексте угроз организации.
В этом учебнике рассматривается следующее.
- Подключение данных Defender для Интернета вещей к Microsoft Sentinel
- Использование Log Analytics для запроса данных оповещений Defender для Интернета вещей
Необходимые компоненты
Прежде чем начать, убедитесь в том, что вы выполнили следующие требования к рабочей области:
Разрешения на чтение и запись в рабочей области Microsoft Sentinel. Дополнительные сведения см. в статье Разрешения в Microsoft Sentinel.
Разрешения участника или владельца подписки, которую вы хотите подключить к Microsoft Sentinel.
План Defender для Интернета вещей в подписке Azure с потоковой передачей данных в Defender для Интернета вещей. Дополнительные сведения см . в кратком руководстве. Начало работы с Defender для Интернета вещей.
Внимание
В настоящее время одновременное включение коннекторов данных Microsoft Defender для Интернета вещей и Microsoft Defender для облака в одной рабочей области Microsoft Sentinel может привести к появлению дублирующихся предупреждений в Microsoft Sentinel. Поэтому мы рекомендуем отключить соединитель данных Microsoft Defender для облака перед подключением к Microsoft Defender для Интернета вещей.
Подключение данных из Defender для Интернета вещей к Microsoft Sentinel
Начните с включения соединителя данных Defender для Интернета вещей для потоковой передачи всех событий Defender для Интернета вещей в Microsoft Sentinel.
Чтобы включить соединитель данных Defender для Интернета вещей, выполните следующие действия.
В разделе Конфигурация Microsoft Sentinel выберите пункт Соединители данных, а затем найдите соединитель данных Microsoft Defender для Интернета вещей.
В правом нижнем углу выберите страницу Открыть соединитель.
На вкладке Инструкции в разделе Конфигурация нажмите Подключить для каждой подписки, чьи оповещения и предупреждения устройств вы хотите передавать в Microsoft Sentinel.
Если вы внесли изменения в подключение, обновление списка Подписка может занять 10 секунд или больше.
Дополнительные сведения см. в статье Подключение Microsoft Sentinel к службам Azure, Windows, Майкрософт и Amazon.
Просмотр оповещений Defender для Интернета вещей
После подключения подписки к Microsoft Sentinel вы сможете просматривать оповещения Defender для Интернета вещей в области журналов Microsoft Sentinel.
В Microsoft Sentinel выберите Журналы > AzureSecurityOfThings > SecurityAlert или выполните поиск по запросу SecurityAlert.
Используйте следующие примеры запросов для фильтрации журналов и просмотра оповещений, созданных Defender для Интернета вещей:
Чтобы просмотреть все оповещения, созданные Defender для Интернета вещей:
SecurityAlert | where ProductName == "Azure Security Center for IoT"Чтобы просмотреть оповещения определенного датчика, созданные Defender для Интернета вещей:
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where tostring(parse_json(ExtendedProperties).SensorId) == “<sensor_name>”Чтобы просмотреть оповещения определенной подсистемы OT, созданные Defender для Интернета вещей:
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "MALWARE" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "ANOMALY" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "PROTOCOL_VIOLATION" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "POLICY_VIOLATION" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "OPERATIONAL"Чтобы увидеть предупреждения высокого уровня серьезности, созданные Defender для Интернета вещей:
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where AlertSeverity == "High"Чтобы просмотреть определенные оповещения протокола, созданные Defender для Интернета вещей:
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where tostring(parse_json(ExtendedProperties).Protocol) == "<protocol_name>"
Примечание.
Страница Журналы в Microsoft Sentinel основана на Log Analytics Azure Monitor.
Дополнительные сведения см. в обзоре запросов к журналам в документации по Azure Monitor и в модуле Learn Создание первого запроса на языке запросов Kusto.
Общие сведения о метках времени оповещений
С помощью оповещений Defender для Интернета вещей на портале Azure и в консоли датчика можно отследить время первого обнаружения, последнего обнаружения и последнего изменения оповещения.
В следующей таблице описаны поля метки времени оповещения Defender для Интернета вещей с сопоставлением соответствующих полей из Log Analytics, отображаемых в Microsoft Sentinel.
| Поле Defender для Интернета вещей | Description | Поле Log Analytics |
|---|---|---|
| Первое обнаружение | Определяет, когда оповещение было обнаружено в сети в первый раз. | StartTime |
| Последнее обнаружение | Определяет время последнего обнаружения оповещения в сети и заменяет столбец Время обнаружения. | EndTime |
| Последнее действие | Определяет время последнего изменения оповещения, включая обновления вручную данных о серьезности или состояния, а также автоматические изменения для обновлений устройств либо дедупликации устройств или оповещений. | TimeGenerated |
В Defender для Интернета вещей на портале Azure и консоли датчика столбец Последнее обнаружение отображается по умолчанию. Измените столбцы на странице Оповещения, чтобы при необходимости отображались столбцы Первое обнаружение и Последнее действие.
Дополнительные сведения см. в разделе Просмотр оповещений на портале Defender для Интернета вещей и Просмотр оповещений на датчике.
Общие сведения о нескольких записях на оповещение
Данные оповещений Defender для Интернета вещей передаются в Microsoft Sentinel и хранятся в рабочей области Log Analytics в таблице SecurityAlert .
Записи в таблице SecurityAlert создаются при каждом создании или обновлении оповещений в Defender для Интернета вещей. Иногда одно оповещение будет содержать несколько записей, например, когда оповещение было создано, а затем снова при обновлении.
В Microsoft Sentinel используйте следующий запрос, чтобы проверить записи, добавленные в таблицу SecurityAlert , для одного оповещения:
SecurityAlert
| where ProductName == "Azure Security Center for IoT"
| where VendorOriginalId == "Defender for IoT Alert ID"
| sort by TimeGenerated desc
Обновления состояния оповещения или серьезности создают новые записи в таблице SecurityAlert немедленно.
Другие типы обновлений агрегируются до 12 часов, а новые записи в таблице SecurityAlert отражают только последние изменения. Примеры агрегированных обновлений:
- Обновления в последнее время обнаружения, например при обнаружении одного оповещения несколько раз
- Новое устройство добавляется в существующее оповещение
- Свойства устройства для оповещения обновляются
Следующие шаги
Решение Microsoft Defender для Интернета вещей — это набор упакованного, встроенного содержимого, настроенного специально для данных Defender для Интернета вещей, и включает правила аналитики, книги и сборники схем.