Visualiser Microsoft Defender til IoT-data med Azure Overvåg projektmapper

Azure overvåg projektmapper indeholder grafer, diagrammer og dashboards, der visuelt afspejler data, der er gemt i dine Azure Resource Graph-abonnementer, og som er tilgængelige direkte i Microsoft Defender til IoT.

I Azure Portal skal du bruge siden Defender for IoT-projektmapper til at få vist projektmapper, der er oprettet af Microsoft og klar til brug, eller som er oprettet af kunder og delt på tværs af community'et.

Hver projektmappegraf eller hvert diagram er baseret på en arg-forespørgsel (Azure Resource Graph), der kører på dine data. I Defender for IoT kan du bruge ARG-forespørgsler til at:

• Indsaml sensorstatusser
• Identificer nye enheder i dit netværk
• Find beskeder, der er relateret til bestemte IP-adresser
• Forstå, hvilke beskeder der ses af hver sensor

Vis projektmapper

Sådan får du vist de projektmapper, der er oprettet af Microsoft, eller andre projektmapper, der allerede er gemt i dit abonnement:

1. I Azure Portal skal du gå til Defender for IoT og vælge Projektmapper til venstre.

   

2. Rediger dine filtreringsindstillinger, hvis det er nødvendigt, og vælg en projektmappe for at åbne den.

Defender for IoT indeholder følgende projektmapper klar til brug:

• Sensortilstand. Viser data om din sensortilstand, f.eks. de versioner af sensorkonsollen, der er installeret på dine sensorer.
• Beskeder. Viser data om vigtige beskeder, der forekommer på dine sensorer, herunder beskeder efter sensor, beskedtyper, de seneste beskeder, der er genereret m.m.
• Enheder. Viser data om din enheds lager, herunder enheder efter leverandør, undertype og identificerede nye enheder.
• Sikkerhedsrisici. Viser data om de sikkerhedsrisici, der er registreret på OT-enheder på tværs af dit netværk. Vælg et element i tabellerne med sårbarheder i enheden, sårbare enheder eller sårbare komponenter for at få vist relaterede oplysninger i tabellerne til højre.

Opret brugerdefinerede projektmapper

Brug siden Defender for IoT-projektmapper til at oprette brugerdefinerede Azure Overvåg projektmapper direkte i Defender til IoT.

1. På siden Projektmapper skal du vælge Ny eller starte fra en anden skabelon, åbne skabelonprojektmappen og vælge Rediger.

2. Vælg Tilføj i den nye projektmappe, og vælg den indstilling, du vil føje til projektmappen. Hvis du redigerer en eksisterende projektmappe eller skabelon, skal du vælge knappen indstillinger (...) til højre for at få adgang til menuen Tilføj .

   Du kan føje et af følgende elementer til projektmappen:

   Mulighed	Beskrivelse
   Tekst	Tilføj tekst for at beskrive de grafer, der vises i projektmappen, eller eventuelle yderligere handlinger, der kræves.
   Parametre	Definer parametre, der skal bruges i projektmappens tekst og forespørgsler.
   Links/faner	Føj navigationselementer til projektmappen, herunder lister, links til andre mål, ekstra faner eller værktøjslinjer.
   Forespørgsel	Tilføj en forespørgsel, der skal bruges, når du opretter grafer og diagrammer i projektmappen. – Sørg for at vælge Azure Resource Graph som din datakilde, og vælg alle dine relevante abonnementer. – Tilføj en grafisk repræsentation af dine data ved at vælge en type under Visualiseringsindstillinger .
   Metriske	Tilføj målepunkter, der skal bruges, når du opretter projektmappegrafer og diagrammer.
   Gruppe	Tilføj grupper for at organisere dine projektmapper i underområder.

   Når du har defineret alle tilgængelige indstillinger for hver indstilling, skal du vælge knappen Tilføj... eller Kør... for at oprette dette projektmappeelement. Tilføj parameter eller Kør forespørgsel.

   Tip

   Du kan oprette dine forespørgsler i Azure Resource Graph Explorer og kopiere dem til din projektmappeforespørgsel.

3. Vælg Gem eller Gem som på værktøjslinjen for at gemme projektmappen, og vælg derefter Udført redigering.

4. Vælg Projektmapper for at gå tilbage til hovedprojektmappesiden med hele projektmappelisten.

Referenceparametre i dine forespørgsler

Når du har oprettet en parameter, skal du referere til den i forespørgslen ved hjælp af følgende syntaks: {ParameterName}. Det kan f.eks. være:

iotsecurityresources
| where type == "microsoft.iotsecurity/sensors"
| extend Name=name
| extend Status= properties.sensorStatus
| where Name=={SensorName}
| project Name,Status

Eksempelforespørgsler

Dette afsnit indeholder eksempelforespørgsler, der ofte bruges i Defender til IoT-projektmapper.

Beskedforespørgsler

Distribution af beskeder på tværs af sensorer

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| extend Sensor=properties.extendedProperties.SensorId
| where properties.status!='Closed'
| summarize Alerts=count() by tostring(Sensor)
| sort by Alerts desc

Nye beskeder fra de sidste 24 timer

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| where properties.status!='Closed'
| extend AlertTime=properties.startTimeUtc
| extend Type=properties.displayName
| where AlertTime > ago(1d)
| project AlertTime, Type

Beskeder efter kilde-IP-adresse

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| extend Type=properties.displayName
| extend Source_IP=properties.extendedProperties.SourceDeviceAddress
| extend Destination_IP=properties.extendedProperties.DestinationDeviceAddress
| where Source_IP=='192.168.10.1'
| project Source_IP, Destination_IP, Type

Enhedsforespørgsler

Lager over ot-enhed efter leverandør

iotsecurityresources
| extend Vendor= properties.hardware.vendor
| where properties.deviceDataSource=='OtSensor'
| summarize Devices=count() by tostring(Vendor)
| sort by Devices

Lager over OT-enheder efter undertype, f.eks. PLC, integreret enhed, UPS osv.

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| extend SubType=properties.deviceSubTypeDisplayName
| summarize Devices=count() by tostring(SubType)
| sort by Devices

Nye OT-enheder efter sensor, websted og IPv4-adresse

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| extend TimeFirstSeen=properties.firstSeen
| where TimeFirstSeen > ago(1d)
| extend DeviceName=properties.deviceName
| extend Site=properties.sensor.site
| extend Sensor=properties.sensor.name
| extend IPv4=properties.nics.[0].ipv4Address
| where properties.deviceDataSource=='OtSensor'
| project TimeFirstSeen, Site, Sensor, DeviceName, IPv4

Opsummer beskeder efter purdueniveau

iotsecurityresources
    | where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
    | project 
        resourceId = id,
        affectedResource = tostring(properties.extendedProperties.DeviceResourceIds),
        id = properties.systemAlertId
    | join kind=leftouter (
        iotsecurityresources | where type == "microsoft.iotsecurity/locations/devicegroups/devices" 
        | project 
            sensor = properties.sensor.name,
            zone = properties.sensor.zone,
            site = properties.sensor.site,
            deviceProperties=properties,
            affectedResource = tostring(id)
    ) on affectedResource
    | project-away affectedResource1
    | where deviceProperties.deviceDataSource == 'OtSensor'
    | summarize Alerts=count() by tostring(deviceProperties.purdueLevel)

Næste trin

Få mere at vide om visning af dashboards og rapporter i sensorkonsollen:

• Kør forespørgsler til datamining
• Risikovurderingsrapportering
• Opret tendenser og statistikdashboards

Få mere at vide om Azure Overvåg projektmapper og Azure Resource Graph:

• dokumentation til Azure Resource Graph
• dokumentation til Azure overvåg projektmappe
• Dokumentation til Kusto Query Language (KQL)