將數(shù)據(jù)從用于 IoT 的 Defender 連接到 Azure Sentinel

使用用于IoT連接器的Defender將所有的Defender for IoT事件流式傳輸?shù)紸zure Sentinel。

這種集成使組織能夠快速檢測(cè)到經(jīng)?？缭絀T和邊界的多階段攻擊。此外，使用適用于Azure Sentinel的安全業(yè)務(wù)流程、自動(dòng)化和響應(yīng)(之忠誠(chéng)度)功能的Defender可以通過(guò)內(nèi)置的"

先決條件

·對(duì)部署了Azure Sentinel的工作區(qū)的讀取和寫(xiě)入權(quán)限

·必須在相關(guān)IoT中心(s啟用****用于iot的Defender)

·您必須對(duì)要連接的訂閱具有參與者權(quán)限

連接到Defender for IoT

1.在Azure Sentinel中，選擇"數(shù)據(jù)連接器"，然后選擇"用于iot的Defender"(可能仍被從庫(kù)中稱(chēng)為"Iot)的Azure安全中心"。

2.在右窗格底部，單擊“打開(kāi)連接器頁(yè)”。

3.在要將其警報(bào)和設(shè)備警報(bào)流式傳輸?shù)紸zure Sentinel的每個(gè)IoT中心訂閱旁，單擊“連接”。

·如果在訂閱中的至少一個(gè)IoT中心未啟用Defender for IoT，你將收到一條錯(cuò)誤消息。在IoT中心內(nèi)為IoT啟用Defender以刪除錯(cuò)誤。

4.可以決定是否希望Defender for IoT中的警報(bào)在Azure Sentinel中自動(dòng)生成事件。在"創(chuàng)建事件"下，選擇"啟用"以啟用默認(rèn)分析規(guī)則，以便根據(jù)生成的警報(bào)自動(dòng)創(chuàng)建事件?？梢栽?quot;分析>活動(dòng)規(guī)則"下更改或編輯此規(guī)則。

備注

更改連接后，訂閱列表可能需要10秒鐘或更長(zhǎng)時(shí)間才能刷新。

Log Analytics警報(bào)視圖

1.若要在Log Analytics中使用相關(guān)架構(gòu)顯示Defender for IoT警報(bào)，請(qǐng)執(zhí)行以下操作：

2.打開(kāi)“日志”>“SecurityInsights”>“SecurityAlert”，或搜索“SecurityAlert”。

使用以下kql篩選器進(jìn)行篩選，以便僅查看Defender for IoT生成的警報(bào)：

Kusto

SecurityAlert|where ProductName=="Azure Security Center for IoT"

服務(wù)說(shuō)明

連接訂閱后，可以在Azure Sentinel中大約15分鐘提供集線(xiàn)器數(shù)據(jù)。