データ マイニング クエリの作成
データ マイニング クエリを実行して、インターネット接続、ポートとプロトコル、ファームウェア バージョン、プログラミング コマンド、デバイスの状態など、OT センサーによって検出されたネットワーク デバイスに関する詳細を表示します。
Defender for IoT の OT ネットワーク センサーには、すぐに使用できる一連のレポートが用意されています。 既定とカスタムの両方のデータ マイニング レポートには常に、レポートやクエリが作成された日ではなく、レポートを表示している日の正確な情報が表示されます。
データ マイニング クエリ データは、デバイスが削除されるまで継続的に保存され、システムの継続性を確保するために毎日自動的にバックアップされます。
前提条件
データ マイニング レポートを作成するには、データの生成対象となる OT ネットワーク センサーに管理者またはセキュリティ アナリストのユーザーとしてアクセスできる必要があります。
詳細については、Defender for IoT を使用した OT 監視のためのオンプレミスのユーザーとロールに関するページを参照してください。
OT センサーの定義済みデータ マイニング レポートを表示する
定義済みの既定のデータ マイニング レポートで現在のデータを表示するには、OT センサーにサインインし、左側の [データ マイニング] を選択します。
すぐに使用できる次の既定のレポートが [推奨] 領域に一覧表示されます。
| レポート | 説明 |
|---|---|
| Programming Commands (プログラミング コマンド) | 産業用プログラミング コマンドを送信する、検出されたすべてのデバイスを一覧表示します。 |
| Internet activity (インターネット アクティビティ) | インターネットに接続されている、検出されたすべてのデバイスを一覧表示します。 |
| Excluded CVEs (除外された CVE) | CVE レポートから手動で除外された CVE を含む、検出されたすべてのデバイスを一覧表示します。 |
| Active Devices (Last 24 Hours) (アクティブ デバイス (過去 24 時間)) | 過去 24 時間アクティブになっているトラフィックを持つ、検出されたすべてのデバイスを一覧表示します。 |
| リモート アクセス | リモート セッション プロトコルを介して通信する、検出されたすべてのデバイスを一覧表示します。 |
| CVEs (CVE) | 既知の脆弱性と CVSS のリスク スコアを含む、検出されたすべてのデバイスを一覧表示します。 [編集] を選択して、レポートから特定の CVE を削除して除外します。 ヒント: CVE を削除して一覧から除外し、攻撃ベクトル レポートがネットワークをより正確に反映するようにします。 |
| Nonactive Devices (Last 7 Days) (非アクティブ デバイス (過去 7 日間)) | 過去 7 日間通信していない、検出されたすべてのデバイスを一覧表示します。 |
今日のデータを表示するレポートを選択します。
[更新]、
[すべて展開]、
[すべて折りたたむ] のオプションを使用して、レポート ビューを更新および変更します。
OT センサーのカスタム データ マイニング レポートを作成する
すぐに利用できるレポートで対応できないレポートのニーズがある場合は、独自のカスタム データ マイニング レポートを作成します。 カスタム データ マイニング レポートは、作成されるとすべてのユーザーに表示されます。
カスタム データ マイニング レポートを作成するには:
OT センサーにサインインし、[データ マイニング]>[レポートの作成] を選択します。
右側の [新しいレポートの作成] ペインで、次の値を入力します。
名前 説明 名前 / 説明 レポートのわかりやすい名前と説明 (省略可能) を入力します。 CM に送信 オンプレミスの管理コンソールにレポートを送信する場合に選択します。 カテゴリの選択 レポートに含めるカテゴリを選択します。
たとえば、[DNS] の [Internet Domain Allowlist] (インターネット ドメイン許可リスト) を選択して、許可されているインターネット ドメインとそれらの解決済み IP アドレスのレポートを作成します。並べ替え順 データをカテゴリ別、またはアクティビティ別に並べ替える場合に選択します。 以下でフィルター処理 次のいずれかのパラメーターを使用して、レポートのフィルターを定義します。
- 前回の結果: 数値を入力してから、[Minutes] (分)、[時]、または [Days] (日) を選択します。
- IP address / MAC address / Port (IP アドレス/MAC アドレス/ポート): レポートにフィルター処理する 1 つ以上の IP アドレス、MAC アドレス、ポートを入力します。 値を入力し、[+] を選択してリストに追加します。
- Device group (デバイス グループ): レポートにフィルター処理する 1 つ以上のデバイス グループを選択します。フィルターの種類を追加 次のいずれかのフィルターの種類をレポートに追加する場合に選択します。
- トランスポート (ジェネリック)
- プロトコル (ジェネリック)
- タグ (ジェネリック)
- 最大値 (ジェネリック)
- 状態 (ジェネリック)
- 最小値 (ジェネリック)
関連するフィールドに値を入力し、[+] を選択してリストに追加します。[保存] を選択します。 作成したデータ マイニング レポートが [個人用レポート] 領域に表示されます。 次に例を示します。
OT センサーのデータ マイニング レポート データを管理する
OT センサーの各データ マイニング レポートには、データを管理するための次のオプションがあります。
| オプション | 説明 |
|---|---|
CSV にエクスポート |
現在のレポート データを CSV ファイルにエクスポートします。 |
|
PDF にエクスポートする |
現在のレポート データを PDF ファイルにエクスポートします。 |
スナップショット |
現在のレポート データをスナップショットとして保存し、後で参照できるようにします。 |
レポートの管理 |
既存のカスタム データ マイニング レポートの値を更新します。 このオプションは、[推奨] レポートでは無効になっています。 |
Edit mode (編集モード) |
保存済みのレポートから特定の結果を削除する場合に選択します。 |
たとえば、次に示すように、[レポートの管理] を選択して、最初にレポートを作成したときと同じフィールドを使用して、レポートに含まれるデータを更新します。
![[レポートの管理] ペインのスクリーンショット。](media/how-to-generate-reports/manage-report-pane.png#lightbox)
複数のセンサーのデータ マイニング レポートを表示する
オンプレミスの管理コンソールにサインインして、接続されている任意のセンサーのすぐに利用できるデータ マイニング レポートと、CM に送信されたすべてのカスタム データ マイニング レポートを表示します。
オンプレミス管理コンソールからデータ マイニング レポートを表示するには:
オンプレミス管理コンソールにサインインし、左側にある [通知] を選択します。
[Sensors](センサー) ドロップダウン リストから、レポートを生成するセンサーを選択します。
[レポートの選択] ドロップダウン リストから、生成するレポートを選択します。
このページには、現在のレポート データが一覧表示されます。 データを PDF ファイルにエクスポートするには、
を選択します。
次の手順
Azure portal のクラウド接続センサーに基づいて追加のレポートを表示します。 詳細については、「Azure Monitor ブックを使用して Microsoft Defender for IoT データを視覚化する」を参照してください。
OT センサーからより多くのセキュリティ データを得るために他のレポートを引き続き作成します。 詳細については、次を参照してください。