Öğretici: IoT için Microsoft Defender'ı Microsoft Sentinel ile bağlama
IoT için Microsoft Defender, mevcut cihazları korumanız veya yeni yeniliklere güvenlik eklemeniz gerekip gerekmediğine bakılmaksızın tüm OT ve Enterprise IoT ortamınızın güvenliğini sağlamanızı sağlar.
Microsoft Sentinel ve IoT için Microsoft Defender, BT ve OT güvenlik zorlukları arasındaki boşluğu kapatmaya ve SOC ekiplerini kullanıma hazır özelliklerle güçlendirerek güvenlik tehditlerini verimli ve etkili bir şekilde algılamalarına ve yanıtlamalarına yardımcı olur. IoT için Microsoft Defender ile Microsoft Sentinel arasındaki tümleştirme, kuruluşların çoğu zaman BT ve OT sınırlarını aşan çok aşamalı saldırıları hızla algılamasına yardımcı olur.
Bu bağlayıcı, IoT için Microsoft Defender verilerini Microsoft Sentinel'e akışla aktarmanıza olanak tanır; böylece IoT için Defender uyarılarını ve oluşturdukları olayları daha geniş bir kurumsal tehdit bağlamında görüntüleyebilir, analiz edebilir ve yanıtlayabilirsiniz.
Bu öğreticide şunların nasıl yapıldığını öğrenirsiniz:
- IoT için Defender verilerini Microsoft Sentinel'e bağlama
- IoT için Defender uyarı verilerini sorgulamak için Log Analytics'i kullanma
Önkoşullar
Başlamadan önce çalışma alanınızda aşağıdaki gereksinimlere sahip olduğunuzdan emin olun:
Microsoft Sentinel çalışma alanınızda Okuma ve Yazma izinleri. Daha fazla bilgi için bkz . Microsoft Sentinel'de izinler.
Microsoft Sentinel'e bağlanmak istediğiniz abonelikte Katkıda Bulunan veya Sahip izinleri.
Azure aboneliğinizde IoT için Defender planı ve IoT için Defender'a veri akışı. Daha fazla bilgi için bkz . Hızlı Başlangıç: IoT için Defender'ı kullanmaya başlama.
Önemli
Şu anda hem IoT için Microsoft Defender'ın hem de Bulut için Microsoft Defender veri bağlayıcılarının aynı Microsoft Sentinel çalışma alanında aynı anda etkinleştirilmesi, Microsoft Sentinel'de yinelenen uyarılara neden olabilir. IoT için Microsoft Defender'a bağlanmadan önce Bulut için Microsoft Defender veri bağlayıcısının bağlantısını kesmenizi öneririz.
Verilerinizi IoT için Defender'dan Microsoft Sentinel'e bağlama
IoT için Defender veri bağlayıcısının tüm IoT için Defender olaylarınızı Microsoft Sentinel'e akışla aktarmasını sağlayarak başlayın.
IoT için Defender veri bağlayıcısını etkinleştirmek için:
Microsoft Sentinel'de Yapılandırma'nın altında Veri bağlayıcıları'nı seçin ve ioT için Microsoft Defender veri bağlayıcısını bulun.
Sağ alt kısımda Bağlayıcı sayfasını aç'ı seçin.
Yönergeler sekmesindeki Yapılandırma'nın altında, Uyarılarını ve cihaz uyarılarını Microsoft Sentinel'e aktarmak istediğiniz her abonelik için Bağlan'ı seçin.
Bağlantı değişiklikleri yaptıysanız Abonelik listesinin güncelleştirilmiş olması 10 saniye veya daha fazla sürebilir.
Daha fazla bilgi için bkz . Microsoft Sentinel'i Azure, Windows, Microsoft ve Amazon hizmetlerine bağlama.
IoT için Defender uyarılarını görüntüleme
Microsoft Sentinel'e bir abonelik bağladıktan sonra, Microsoft Sentinel Günlükleri alanında IoT için Defender uyarılarını görüntüleyebilirsiniz.
Microsoft Sentinel'de Günlükler > AzureSecurityOfThings > SecurityAlert'ı seçin veya SecurityAlert araması yapın.
Günlükleri filtrelemek ve IoT için Defender tarafından oluşturulan uyarıları görüntülemek için aşağıdaki örnek sorguları kullanın:
IoT için Defender tarafından oluşturulan tüm uyarıları görmek için:
SecurityAlert | where ProductName == "Azure Security Center for IoT"
IoT için Defender tarafından oluşturulan belirli algılayıcı uyarılarını görmek için:
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where tostring(parse_json(ExtendedProperties).SensorId) == “<sensor_name>”
IoT için Defender tarafından oluşturulan belirli OT altyapısı uyarılarını görmek için:
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "MALWARE" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "ANOMALY" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "PROTOCOL_VIOLATION" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "POLICY_VIOLATION" SecurityAlert | where ProductName == "Azure Security Center for IoT" | where ProductComponentName == "OPERATIONAL"
IoT için Defender tarafından oluşturulan yüksek önem derecesi uyarılarını görmek için:
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where AlertSeverity == "High"
IoT için Defender tarafından oluşturulan belirli protokol uyarılarını görmek için:
SecurityAlert | where ProductName == "Azure Security Center for IoT" | where tostring(parse_json(ExtendedProperties).Protocol) == "<protocol_name>"
Not
Microsoft Sentinel'deki Günlükler sayfası, Azure İzleyici'nin Log Analytics'ini temel alır.
Daha fazla bilgi için Bkz . Azure İzleyici belgelerinde günlük sorgularının genel bakışı ve İlk KQL sorgunuzu yazma Learn modülü.
Uyarı zaman damgalarını anlama
IoT için Defender uyarıları, hem Azure portalında hem de algılayıcı konsolunda bir uyarının ilk algılandığı, en son algılandığı ve son değiştirildiği zamanı izler.
Aşağıdaki tabloda, Microsoft Sentinel'de gösterilen Log Analytics'ten ilgili alanlara eşlenerek IoT için Defender uyarı zaman damgası alanları açıklanmaktadır.
IoT için Defender alanı | Açıklama | Log Analytics alanı |
---|---|---|
İlk algılama | Uyarının ağda ilk kez algılandığını tanımlar. | StartTime |
Son algılama | Uyarının ağda en son ne zaman algılandığını tanımlar ve Algılama zamanı sütununun yerini alır. | EndTime |
Son etkinlik | Önem derecesi veya durum için el ile yapılan güncelleştirmeler ya da cihaz güncelleştirmeleri ya da cihaz/uyarı yinelenenleri kaldırma için otomatik değişiklikler de dahil olmak üzere uyarının en son ne zaman değiştirildiğini tanımlar | TimeGenerated |
Azure portalında ve algılayıcı konsolunda IoT için Defender'da Son algılama sütunu varsayılan olarak gösterilir. İlk algılama ve Son etkinlik sütunlarını gerektiği gibi göstermek için Uyarılar sayfasındaki sütunları düzenleyin.
Daha fazla bilgi için bkz . IoT için Defender portalında uyarıları görüntüleme ve Algılayıcınızdaki uyarıları görüntüleme.
Uyarı başına birden çok kaydı anlama
IoT için Defender uyarı verileri Microsoft Sentinel'e akışla gönderilir ve Log Analytics çalışma alanınızda, SecurityAlert tablosunda depolanır.
SecurityAlert tablosundaki kayıtlar, IoT için Defender'da her uyarı oluşturulduğunda veya güncelleştirildiğinde oluşturulur. Bazen tek bir uyarının birden çok kaydı olur. Örneğin, uyarı ilk oluşturulduğunda ve sonra yeniden güncelleştirildiğinde.
Microsoft Sentinel'de, SecurityAlert tablosuna eklenen kayıtları tek bir uyarı için denetlemek için aşağıdaki sorguyu kullanın:
SecurityAlert
| where ProductName == "Azure Security Center for IoT"
| where VendorOriginalId == "Defender for IoT Alert ID"
| sort by TimeGenerated desc
Uyarı durumu veya önem derecesi güncelleştirmeleri, SecurityAlert tablosunda hemen yeni kayıtlar oluşturur.
Diğer güncelleştirme türleri 12 saate kadar toplanır ve SecurityAlert tablosundaki yeni kayıtlar yalnızca en son değişikliği yansıtır. Toplu güncelleştirmelere örnek olarak şunlar verilebilir:
- Aynı uyarının birden çok kez algılanması gibi son algılama zamanındaki güncelleştirmeler
- Mevcut uyarıya yeni bir cihaz eklendi
- Uyarının cihaz özellikleri güncelleştirilir
Sonraki adımlar
IoT için Microsoft Defender çözümü, IoT için Defender verileri için özel olarak yapılandırılmış ve analiz kuralları, çalışma kitapları ve playbook'lar içeren paketlenmiş, kullanıma hazır bir içerik kümesidir.