Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Monitor-Arbeitsmappen stellen Diagramme, Diagramme und Dashboards bereit, die in Ihren Azure Resource Graph-Abonnements gespeicherte Daten visuell widerspiegeln und direkt in Microsoft Defender für IoT verfügbar sind.
Verwenden Sie im Azure-Portal die Seite Defender für IoT-Arbeitsmappen, um Arbeitsmappen anzuzeigen, die von Microsoft erstellt und standardmäßig bereitgestellt oder von Kunden erstellt und in der Community freigegeben wurden.
Jedes Arbeitsmappendiagramm oder Diagramm basiert auf einer Azure Resource Graph (ARG)-Abfrage, die für Ihre Daten ausgeführt wird. In Defender für IoT können Sie ARG-Abfragen für Folgendes verwenden:
- Erfassen von Sensorstatus
- Identifizieren neuer Geräte in Ihrem Netzwerk
- Suchen von Warnungen im Zusammenhang mit bestimmten IP-Adressen
- Verstehen, welche Warnungen von den einzelnen Sensoren angezeigt werden
Anzeigen von Arbeitsmappen
So zeigen Sie sofort einsatzbereite Arbeitsmappen an, die von Microsoft erstellt wurden, oder andere Arbeitsmappen, die bereits in Ihrem Abonnement gespeichert sind:
Wechseln Sie im Azure-Portal zu Defender für IoT, und wählen Sie links Arbeitsmappen aus.
Ändern Sie bei Bedarf Ihre Filteroptionen, und wählen Sie eine Arbeitsmappe aus, um sie zu öffnen.
Defender für IoT stellt die folgenden Arbeitsmappen sofort bereit:
- Sensorintegrität. Zeigt Daten zur Sensorintegrität an, z. B. die auf Ihren Sensoren installierten Softwareversionen der Sensorkonsole.
- Warnungen. Zeigt Daten zu Warnungen an, die auf Ihren Sensoren auftreten, einschließlich Warnungen nach Sensor, Warnungstypen, zuletzt generierten Warnungen und mehr.
- Geräte. Zeigt Daten zu Ihrem Gerätebestand an, einschließlich Geräten nach Anbieter, Untertyp und neuen identifizierten Geräten.
- Sicherheitsrisiken. Zeigt Daten zu den Sicherheitsrisiken an, die auf OT-Geräten in Ihrem Netzwerk erkannt wurden. Wählen Sie ein Element in den Tabellen Gerätesicherheitsrisiken, Anfällige Geräte oder Anfällige Komponenten aus, um verwandte Informationen in den Tabellen auf der rechten Seite anzuzeigen.
Erstellen benutzerdefinierter Arbeitsmappen
Verwenden Sie die Seite Defender für IoT-Arbeitsmappen, um benutzerdefinierte Azure Monitor-Arbeitsmappen direkt in Defender für IoT zu erstellen.
Wählen Sie auf der Seite Arbeitsmappen die Option Neu aus, oder öffnen Sie die Vorlagenarbeitsmappe, und wählen Sie Bearbeiten aus, um mit einer anderen Vorlage zu beginnen.
Wählen Sie in Ihrer neuen Arbeitsmappe Hinzufügen und dann die Option aus, die Sie Ihrer Arbeitsmappe hinzufügen möchten. Wenn Sie eine vorhandene Arbeitsmappe oder Vorlage bearbeiten, wählen Sie die Schaltfläche optionen (...) auf der rechten Seite aus, um auf das Menü Hinzufügen zuzugreifen.
Sie können ihrer Arbeitsmappe eines der folgenden Elemente hinzufügen:
Option Beschreibung Text Fügen Sie Text hinzu, um die Diagramme zu beschreiben, die in Ihrer Arbeitsmappe angezeigt werden, oder um eine zusätzliche Aktion zu beschreiben, die erforderlich ist. Parameter Definieren Sie Parameter, die in Ihrem Arbeitsmappentext und in Abfragen verwendet werden sollen. Links/Registerkarten Fügen Sie Ihrer Arbeitsmappe Navigationselemente hinzu, einschließlich Listen, Links zu anderen Zielen, zusätzlichen Registerkarten oder Symbolleisten. Query Fügen Sie eine Abfrage hinzu, die beim Erstellen von Arbeitsmappendiagrammen und -diagrammen verwendet werden soll.
– Stellen Sie sicher, dass Sie Azure Resource Graph als Datenquelle und alle relevanten Abonnements auswählen.
– Fügen Sie eine grafische Darstellung für Ihre Daten hinzu, indem Sie einen Typ aus den Visualisierungsoptionen auswählen.Metrik Fügen Sie Metriken hinzu, die beim Erstellen von Arbeitsmappendiagrammen und -diagrammen verwendet werden sollen. Group Fügen Sie Gruppen hinzu, um Ihre Arbeitsmappen in Unterbereichen zu organisieren. Nachdem Sie alle verfügbaren Einstellungen definiert haben, wählen Sie für jede Option die Schaltfläche Hinzufügen... oder Ausführen... aus, um dieses Arbeitsmappenelement zu erstellen. Beispiel: Parameter hinzufügen oder Abfrage ausführen.
Tipp
Sie können Ihre Abfragen im Azure Resource Graph Explorer erstellen und in Ihre Arbeitsmappenabfrage kopieren.
Wählen Sie auf der Symbolleiste Speichern
oder Speichern unter
aus, um die Arbeitsmappe zu speichern, und wählen Sie dann Bearbeitung abgeschlossen aus.Wählen Sie Arbeitsmappen aus, um zur Hauptarbeitsmappenseite mit der vollständigen Arbeitsmappenauflistung zurückzukehren.
Referenzparameter in Ihren Abfragen
Nachdem Sie einen Parameter erstellt haben, verweisen Sie in Ihrer Abfrage mit der folgenden Syntax darauf: {ParameterName}. Zum Beispiel:
iotsecurityresources
| where type == "microsoft.iotsecurity/sensors"
| extend Name=name
| extend Status= properties.sensorStatus
| where Name=={SensorName}
| project Name,Status
Beispiele für Abfragen
Dieser Abschnitt enthält Beispielabfragen, die häufig in Defender für IoT-Arbeitsmappen verwendet werden.
Warnungsabfragen
Verteilung von Warnungen auf Sensoren
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| extend Sensor=properties.extendedProperties.SensorId
| where properties.status!='Closed'
| summarize Alerts=count() by tostring(Sensor)
| sort by Alerts desc
Neue Warnungen aus den letzten 24 Stunden
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| where properties.status!='Closed'
| extend AlertTime=properties.startTimeUtc
| extend Type=properties.displayName
| where AlertTime > ago(1d)
| project AlertTime, Type
Warnungen nach Quell-IP-Adresse
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| extend Type=properties.displayName
| extend Source_IP=properties.extendedProperties.SourceDeviceAddress
| extend Destination_IP=properties.extendedProperties.DestinationDeviceAddress
| where Source_IP=='192.168.10.1'
| project Source_IP, Destination_IP, Type
Geräteabfragen
OT-Gerätebestand nach Anbieter
iotsecurityresources
| extend Vendor= properties.hardware.vendor
| where properties.deviceDataSource=='OtSensor'
| summarize Devices=count() by tostring(Vendor)
| sort by Devices
OT-Gerätebestand nach Untertyp, z. B. SPS, eingebettetes Gerät, USV usw.
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| extend SubType=properties.deviceSubTypeDisplayName
| summarize Devices=count() by tostring(SubType)
| sort by Devices
Neue OT-Geräte nach Sensor, Standort und IPv4-Adresse
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| extend TimeFirstSeen=properties.firstSeen
| where TimeFirstSeen > ago(1d)
| extend DeviceName=properties.deviceName
| extend Site=properties.sensor.site
| extend Sensor=properties.sensor.name
| extend IPv4=properties.nics.[0].ipv4Address
| where properties.deviceDataSource=='OtSensor'
| project TimeFirstSeen, Site, Sensor, DeviceName, IPv4
Zusammenfassen von Warnungen nach Purdue-Ebene
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| project
resourceId = id,
affectedResource = tostring(properties.extendedProperties.DeviceResourceIds),
id = properties.systemAlertId
| join kind=leftouter (
iotsecurityresources | where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| project
sensor = properties.sensor.name,
zone = properties.sensor.zone,
site = properties.sensor.site,
deviceProperties=properties,
affectedResource = tostring(id)
) on affectedResource
| project-away affectedResource1
| where deviceProperties.deviceDataSource == 'OtSensor'
| summarize Alerts=count() by tostring(deviceProperties.purdueLevel)
Nächste Schritte
Erfahren Sie mehr über das Anzeigen von Dashboards und Berichten in der Sensorkonsole:
- Ausführen von Data Mining-Abfragen
- Berichterstellung zur Risikobewertung
- Erstellen von Trends und Statistikdashboards
Erfahren Sie mehr über Azure Überwachen von Arbeitsmappen und Azure Resource Graph: