Tworzenie zapytań wyszukiwania danych
Uruchom zapytania wyszukiwania danych, aby wyświetlić szczegółowe informacje o urządzeniach sieciowych wykrytych przez czujnik OT, takich jak łączność z Internetem, porty i protokoły, wersje oprogramowania układowego, polecenia programowania i stan urządzenia.
Czujniki sieciowe usługi Defender for IoT OT udostępniają szereg wbudowanych raportów, z których można korzystać. Zarówno gotowe do użycia, jak i niestandardowe raporty wyszukiwania danych zawsze wyświetlają informacje poprawne dla dnia wyświetlania raportu, a nie dnia utworzenia raportu lub zapytania.
Przeszukiwanie danych zapytań dotyczących danych jest stale zapisywane do momentu usunięcia urządzenia i jest automatycznie wspierane codziennie w celu zapewnienia ciągłości systemu.
Wymagania wstępne
Aby utworzyć raporty wyszukiwania danych, musisz mieć możliwość uzyskania dostępu do czujnika sieci OT, dla którego chcesz wygenerować dane jako użytkownik administratora lub analityka zabezpieczeń.
Aby uzyskać więcej informacji, zobacz Temat Użytkownicy i role lokalne na potrzeby monitorowania ot za pomocą usługi Defender dla IoT.
Wyświetlanie wstępnie zdefiniowanego raportu wyszukiwania danych czujnika OT
Aby wyświetlić bieżące dane wstępnie zdefiniowanym, gotowym do użycia raporcie wyszukiwania danych, zaloguj się do czujnika OT i wybierz pozycję Wyszukiwania danych po lewej stronie.
Następujące gotowe raporty są wyświetlane w obszarze Zalecane , które są gotowe do użycia:
| Zgłoś | opis |
|---|---|
| Polecenia programowania | Wyświetla listę wszystkich wykrytych urządzeń, które wysyłają polecenia programowania przemysłowego. |
| Aktywność internetowa | Wyświetla listę wszystkich wykrytych urządzeń połączonych z Internetem. |
| Wykluczone cves | Wyświetla listę wszystkich wykrytych urządzeń, które mają CVEs, które zostały ręcznie wykluczone z raportu CVEs . |
| Aktywne urządzenia (ostatnie 24 godziny) | Wyświetla listę wszystkich urządzeń detektywi, które miały aktywny ruch w ciągu ostatnich 24 godzin. |
| Dostęp zdalny | Wyświetla listę wszystkich wykrytych urządzeń komunikujących się za pośrednictwem protokołów sesji zdalnej. |
| CvEs | Wyświetla listę wszystkich wykrytych urządzeń ze znanymi lukami w zabezpieczeniach wraz z ocenami ryzyka CVSS. Wybierz pozycję Edytuj , aby usunąć i wykluczyć określone CVE z raportu. Porada: Usuń cves, aby wykluczyć je z listy, aby raporty wektorów ataków odzwierciedlały sieć dokładniej. |
| Urządzenia nieaktywne (ostatnie 7 dni) | Wyświetla listę wszystkich wykrytych urządzeń, które nie zostały przekazane w ciągu ostatnich siedmiu dni. |
Wybierz raport, aby wyświetlić dzisiejsze dane. Użyj opcji 
Odśwież, 
Rozwiń wszystko i
Zwiń wszystkie, aby zaktualizować i zmienić widoki raportu.
Tworzenie niestandardowego raportu wyszukiwania danych czujnika OT
Utwórz własny niestandardowy raport wyszukiwania danych, jeśli masz potrzeby raportowania, które nie są objęte wbudowanymi raportami. Po utworzeniu niestandardowe raporty wyszukiwania danych są widoczne dla wszystkich użytkowników.
Aby utworzyć niestandardowy raport wyszukiwania danych:
Zaloguj się do czujnika OT i wybierz pozycję Wyszukiwania>danych Utwórz raport.
W okienku Tworzenie nowego raportu po prawej stronie wprowadź następujące wartości:
Nazwa/nazwisko opis Opis nazwy / Wprowadź zrozumiałą nazwę raportu i opcjonalny opis. Wybierz kategorię Wybierz kategorie do uwzględnienia w raporcie.
Na przykład wybierz pozycję Lista dozwolonych domen internetowych w obszarze DNS , aby utworzyć raport dozwolonych domen internetowych i ich rozpoznanych adresów IP.Zamów według Wybierz, aby posortować dane według kategorii lub działań. Filtruj według Zdefiniuj filtr dla raportu przy użyciu dowolnego z następujących parametrów:
- Wyniki w ciągu ostatnich: wprowadź liczbę, a następnie wybierz pozycję Minuty, Godziny lub Dni
- Adres IP/adres MAC/port: wprowadź co najmniej jeden adres IP, adresy MAC i porty do filtrowania w raporcie. Wprowadź wartość, a następnie wybierz pozycję + , aby dodać ją do listy.
- Grupa urządzeń: wybierz jedną grupę urządzeń lub tryb, aby filtrować do raportu.Dodaj typ filtru Wybierz, aby dodać dowolny z następujących typów filtrów do raportu.
- Transport (OGÓLNY)
- Protokół (GENERIC)
- TAG (OGÓLNY)
- Wartość maksymalna (GENERIC)
- Stan (OGÓLNY)
- Wartość minimalna (GENERIC)
Wprowadź wartość w odpowiednim polu, a następnie wybierz pozycję + , aby dodać ją do listy.Wybierz pozycję Zapisz. Raport wyszukiwania danych jest wyświetlany w obszarze Moje raporty . Na przykład:
Zarządzanie danymi wyszukiwania danych czujnika OT
Każdy raport wyszukiwania danych na czujniku OT ma następujące opcje zarządzania danymi:
| Opcja | Opis |
|---|---|
 Eksportowanie do pliku CSV |
Wyeksportuj bieżące dane raportu do pliku CSV. |
| Eksportowanie do formatu PDF |
Wyeksportuj bieżące dane raportu do pliku PDF. |
 Migawek |
Zapisz bieżące dane raportu jako migawkę, do której możesz wrócić później. |
 Zarządzanie raportem |
Zaktualizuj wartości istniejącego niestandardowego raportu wyszukiwania danych. Ta opcja jest wyłączona dla zalecanych raportów. |
 Tryb edycji |
Wybierz, aby usunąć określone wyniki z zapisanego raportu. |
Na przykład wybierz pozycję Zarządzaj raportem , aby zaktualizować dane, które zawiera raport przy użyciu tych samych pól.
Następne kroki
Wyświetlanie dodatkowych raportów na podstawie czujników połączonych z chmurą w witrynie Azure Portal. Aby uzyskać więcej informacji, zobacz Visualize Microsoft Defender for IoT data with Azure Monitor workbooks (Wizualizowanie danych usługi Microsoft Defender dla IoT przy użyciu skoroszytów usługi Azure Monitor)
Kontynuuj tworzenie innych raportów, aby uzyskać więcej danych zabezpieczeń z czujnika OT. Aby uzyskać więcej informacji, zobacz: