Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Azure Cartelle di lavoro di Monitoraggio forniscono grafici, grafici e dashboard che riflettono visivamente i dati archiviati nelle sottoscrizioni Azure Resource Graph e sono disponibili direttamente in Microsoft Defender per IoT.
Nella portale di Azure usare la pagina Cartelle di lavoro di Defender per IoT per visualizzare le cartelle di lavoro create da Microsoft e fornite predefinite o create dai clienti e condivise tra la community.
Ogni grafico o grafico della cartella di lavoro è basato su una query Azure Resource Graph (ARG) in esecuzione sui dati. In Defender per IoT è possibile usare query ARG per:
- Raccogliere gli stati dei sensori
- Identificare i nuovi dispositivi nella rete
- Trovare avvisi correlati a indirizzi IP specifici
- Comprendere quali avvisi vengono visualizzati da ogni sensore
Visualizzare le cartelle di lavoro
Per visualizzare le cartelle di lavoro predefinite create da Microsoft o altre cartelle di lavoro già salvate nella sottoscrizione:
Nella portale di Azure passare a Defender per IoT e selezionare Cartelle di lavoro a sinistra.
Modificare le opzioni di filtro, se necessario, e selezionare una cartella di lavoro per aprirla.
Defender per IoT offre le cartelle di lavoro predefinite seguenti:
- Integrità del sensore. Visualizza i dati sull'integrità del sensore, ad esempio le versioni software della console del sensore installate nei sensori.
- Avvisi. Visualizza i dati sugli avvisi che si verificano nei sensori, inclusi avvisi per sensore, tipi di avviso, avvisi recenti generati e altro ancora.
- Dispositivi. Visualizza i dati relativi all'inventario dei dispositivi, inclusi i dispositivi per fornitore, sottotipo e nuovi dispositivi identificati.
- Vulnerabilità. Visualizza i dati sulle vulnerabilità rilevate nei dispositivi OT nella rete. Selezionare un elemento nelle tabelle Vulnerabilità del dispositivo, Dispositivi vulnerabili o Componenti vulnerabili per visualizzare le informazioni correlate nelle tabelle a destra.
Creare cartelle di lavoro personalizzate
Usare la pagina Cartelle di lavoro di Defender per IoT per creare cartelle di lavoro personalizzate di Monitoraggio Azure direttamente in Defender per IoT.
Nella pagina Cartelle di lavoro selezionare Nuovo o per iniziare da un altro modello, aprire la cartella di lavoro del modello e selezionare Modifica.
Nella nuova cartella di lavoro selezionare Aggiungi e selezionare l'opzione da aggiungere alla cartella di lavoro. Se si modifica una cartella di lavoro o un modello esistente, selezionare il pulsante opzioni (...) a destra per accedere al menu Aggiungi .
È possibile aggiungere uno degli elementi seguenti alla cartella di lavoro:
Opzione Descrizione Testo Aggiungere testo per descrivere i grafici visualizzati nella cartella di lavoro o qualsiasi azione aggiuntiva necessaria. Parametri Definire i parametri da usare nel testo e nelle query della cartella di lavoro. Collegamenti/schede Aggiungere elementi di spostamento alla cartella di lavoro, inclusi elenchi, collegamenti ad altre destinazioni, schede aggiuntive o barre degli strumenti. Query Aggiungere una query da usare durante la creazione di grafici e grafici della cartella di lavoro.
- Assicurarsi di selezionare Azure Resource Graph come origine dati e selezionare tutte le sottoscrizioni pertinenti.
- Aggiungere una rappresentazione grafica per i dati selezionando un tipo dalle opzioni di visualizzazione .Metrica Aggiungere metriche da usare durante la creazione di grafici e grafici della cartella di lavoro. Group Aggiungere gruppi per organizzare le cartelle di lavoro in aree secondarie. Per ogni opzione, dopo aver definito tutte le impostazioni disponibili, selezionare il pulsante Aggiungi... o Esegui... per creare l'elemento della cartella di lavoro. Ad esempio, Aggiungi parametro o Esegui query.
Consiglio
È possibile compilare le query in Esplora Azure Resource Graph e copiarle nella query della cartella di lavoro.
Nella barra degli strumenti selezionare Salva
o Salva con
nome per salvare la cartella di lavoro e quindi selezionare Fine modifica.Selezionare Cartelle di lavoro per tornare alla pagina della cartella di lavoro principale con l'elenco completo della cartella di lavoro.
Parametri di riferimento nelle query
Dopo aver creato un parametro, farvi riferimento nella query usando la sintassi seguente: {ParameterName}. Ad esempio:
iotsecurityresources
| where type == "microsoft.iotsecurity/sensors"
| extend Name=name
| extend Status= properties.sensorStatus
| where Name=={SensorName}
| project Name,Status
Query di esempio
Questa sezione fornisce query di esempio usate comunemente nelle cartelle di lavoro di Defender per IoT.
Query di avviso
Distribuzione degli avvisi tra sensori
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| extend Sensor=properties.extendedProperties.SensorId
| where properties.status!='Closed'
| summarize Alerts=count() by tostring(Sensor)
| sort by Alerts desc
Nuovi avvisi delle ultime 24 ore
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| where properties.status!='Closed'
| extend AlertTime=properties.startTimeUtc
| extend Type=properties.displayName
| where AlertTime > ago(1d)
| project AlertTime, Type
Avvisi in base all'indirizzo IP di origine
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| extend Type=properties.displayName
| extend Source_IP=properties.extendedProperties.SourceDeviceAddress
| extend Destination_IP=properties.extendedProperties.DestinationDeviceAddress
| where Source_IP=='192.168.10.1'
| project Source_IP, Destination_IP, Type
Query del dispositivo
Inventario dei dispositivi OT per fornitore
iotsecurityresources
| extend Vendor= properties.hardware.vendor
| where properties.deviceDataSource=='OtSensor'
| summarize Devices=count() by tostring(Vendor)
| sort by Devices
Inventario dei dispositivi OT per sottotipo, ad esempio PLC, dispositivo incorporato, UPS e così via
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| extend SubType=properties.deviceSubTypeDisplayName
| summarize Devices=count() by tostring(SubType)
| sort by Devices
Nuovi dispositivi OT per sensore, sito e indirizzo IPv4
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| extend TimeFirstSeen=properties.firstSeen
| where TimeFirstSeen > ago(1d)
| extend DeviceName=properties.deviceName
| extend Site=properties.sensor.site
| extend Sensor=properties.sensor.name
| extend IPv4=properties.nics.[0].ipv4Address
| where properties.deviceDataSource=='OtSensor'
| project TimeFirstSeen, Site, Sensor, DeviceName, IPv4
Riepilogare gli avvisi per livello Purdue
iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| project
resourceId = id,
affectedResource = tostring(properties.extendedProperties.DeviceResourceIds),
id = properties.systemAlertId
| join kind=leftouter (
iotsecurityresources | where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| project
sensor = properties.sensor.name,
zone = properties.sensor.zone,
site = properties.sensor.site,
deviceProperties=properties,
affectedResource = tostring(id)
) on affectedResource
| project-away affectedResource1
| where deviceProperties.deviceDataSource == 'OtSensor'
| summarize Alerts=count() by tostring(deviceProperties.purdueLevel)
Passaggi successivi
Altre informazioni sulla visualizzazione di dashboard e report nella console del sensore:
- Eseguire query di data mining
- Segnalazione della valutazione dei rischi
- Creare dashboard di tendenze e statistiche
Altre informazioni su Monitoraggio di Azureare cartelle di lavoro e Azure Resource Graph: