Tworzenie zapytań wyszukiwania danych
Uruchom zapytania wyszukiwania danych, aby wyświetlić szczegółowe informacje o urządzeniach sieciowych wykrytych przez czujnik OT, takich jak łączność z Internetem, porty i protokoły, wersje oprogramowania układowego, polecenia programowania i stan urządzenia.
Czujniki sieciowe usługi Defender for IoT OT udostępniają szereg wbudowanych raportów, z których można korzystać. Zarówno gotowe do użycia, jak i niestandardowe raporty wyszukiwania danych zawsze pokazują informacje, które są poprawne w danym dniu wyświetlania raportu, a nie w dniu utworzenia raportu lub zapytania.
Dane zapytań dotyczących wyszukiwania danych są stale zapisywane do momentu usunięcia urządzenia i są automatycznie wspierane codziennie w celu zapewnienia ciągłości systemu.
Wymagania wstępne
Aby tworzyć raporty wyszukiwania danych, musisz mieć dostęp do czujnika sieciowego OT, dla którego chcesz wygenerować dane jako użytkownik Administracja lub analityk zabezpieczeń.
Aby uzyskać więcej informacji, zobacz Temat Użytkownicy i role lokalne na potrzeby monitorowania ot za pomocą usługi Defender dla IoT.
Wyświetlanie wstępnie zdefiniowanego raportu wyszukiwania danych czujnika OT
Aby wyświetlić bieżące dane w wstępnie zdefiniowanym, gotowym do użycia raporcie wyszukiwania danych, zaloguj się do czujnika OT i wybierz pozycję Wyszukiwanie danych po lewej stronie.
Następujące gotowe raporty są wyświetlane w obszarze Zalecane , które są gotowe do użycia:
| Raport | Opis |
|---|---|
| Polecenia programowania | Wyświetla listę wszystkich wykrytych urządzeń, które wysyłają polecenia programowania przemysłowego. |
| Aktywność internetowa | Wyświetla listę wszystkich wykrytych urządzeń połączonych z Internetem. |
| Wykluczone CVE | Wyświetla listę wszystkich wykrytych urządzeń, które mają CVE, które zostały ręcznie wykluczone z raportu CVE . |
| Aktywne urządzenia (ostatnie 24 godziny) | Wyświetla listę wszystkich urządzeń detektywów, które miały aktywny ruch w ciągu ostatnich 24 godzin. |
| Dostęp zdalny | Wyświetla listę wszystkich wykrytych urządzeń komunikujących się za pośrednictwem protokołów sesji zdalnej. |
| CvEs | Wyświetla listę wszystkich wykrytych urządzeń ze znanymi lukami w zabezpieczeniach oraz ocenami ryzyka CVSS. Wybierz pozycję Edytuj , aby usunąć i wykluczyć określone CVE z raportu. Porada: Usuń cves, aby wykluczyć je z listy, aby raporty wektorów ataków odzwierciedlały sieć dokładniej. |
| Urządzenia nieaktywne (ostatnie 7 dni) | Wyświetla listę wszystkich wykrytych urządzeń, które nie zostały przekazane w ciągu ostatnich siedmiu dni. |
Wybierz raport, aby wyświetlić dzisiejsze dane. Użyj opcji 
Odśwież, 
Rozwiń wszystkie i 
Zwiń wszystkie , aby zaktualizować i zmienić widoki raportu.
Tworzenie niestandardowego raportu wyszukiwania danych czujnika OT
Utwórz własny niestandardowy raport wyszukiwania danych, jeśli masz potrzeby raportowania, które nie są objęte wbudowanymi raportami. Po utworzeniu niestandardowe raporty wyszukiwania danych są widoczne dla wszystkich użytkowników.
Aby utworzyć niestandardowy raport wyszukiwania danych:
Zaloguj się do czujnika OT i wybierz pozycję Wyszukiwanie danych>Utwórz raport.
W okienku Tworzenie nowego raportu po prawej stronie wprowadź następujące wartości:
Nazwa Opis Nazwa / Opis Wprowadź zrozumiałą nazwę raportu i opcjonalny opis. Wyślij do cm Wybierz, aby wysłać raport do lokalnej konsoli zarządzania. Wybierz kategorię Wybierz kategorie do uwzględnienia w raporcie.
Na przykład wybierz pozycję Lista dozwolonych domen internetowych w obszarze DNS , aby utworzyć raport dozwolonych domen internetowych i ich rozpoznanych adresów IP.Order by Wybierz, aby posortować dane według kategorii lub działania. Filtruj według Zdefiniuj filtr dla raportu przy użyciu dowolnego z następujących parametrów:
- Wyniki w ciągu ostatnich: wprowadź liczbę, a następnie wybierz pozycję Minuty, Godziny lub Dni
- Adres IP/adres MAC/port: wprowadź co najmniej jeden adres IP, adresy MAC i porty do filtrowania w raporcie. Wprowadź wartość, a następnie wybierz pozycję + , aby dodać ją do listy.
- Grupa urządzeń: wybierz jedną grupę urządzeń lub w trybie, aby filtrować do raportu.Dodawanie typu filtru Wybierz, aby dodać dowolny z następujących typów filtrów do raportu.
- Transport (GENERIC)
- Protokół (GENERIC)
- TAG (OGÓLNY)
- Wartość maksymalna (GENERIC)
- Stan (GENERIC)
- Wartość minimalna (GENERIC)
Wprowadź wartość w odpowiednim polu, a następnie wybierz pozycję + aby dodać ją do listy.Wybierz pozycję Zapisz. Raport wyszukiwania danych jest wyświetlany w obszarze Moje raporty . Na przykład:
Zarządzanie danymi wyszukiwania danych czujnika OT
Każdy raport wyszukiwania danych w czujniku OT ma następujące opcje zarządzania danymi:
| Opcja | Opis |
|---|---|
Eksportowanie do pliku CSV |
Wyeksportuj bieżące dane raportu do pliku CSV. |
|
Eksportowanie do formatu PDF |
Wyeksportuj bieżące dane raportu do pliku PDF. |
Migawek |
Zapisz bieżące dane raportu jako migawkę, którą możesz wrócić później. |
Zarządzanie raportem |
Zaktualizuj wartości istniejącego niestandardowego raportu wyszukiwania danych. Ta opcja jest wyłączona dla zalecanych raportów. |
Tryb edycji |
Wybierz, aby usunąć określone wyniki z zapisanego raportu. |
Na przykład wybierz pozycję Zarządzaj raportem , aby zaktualizować dane, które raport zawiera przy użyciu tych samych pól, co podczas tworzenia raportu:
Wyświetlanie raportów wyszukiwania danych dla wielu czujników
Zaloguj się do lokalnej konsoli zarządzania, aby wyświetlić gotowe raporty wyszukiwania danych dla dowolnego połączonego czujnika oraz niestandardowe raporty wyszukiwania danych, które zostały wysłane do konsoli zarządzania.
Aby wyświetlić raport wyszukiwania danych z lokalnej konsoli zarządzania:
Zaloguj się do lokalnej konsoli zarządzania i wybierz pozycję Raporty po lewej stronie.
Z listy rozwijanej Czujniki wybierz czujnik, dla którego chcesz wygenerować raport.
Z listy rozwijanej Wybierz raport wybierz raport, który chcesz wygenerować.
Strona zawiera listę bieżących danych raportu. Wybierz 
, aby wyeksportować dane do pliku PDF.
Następne kroki
Wyświetlanie dodatkowych raportów na podstawie czujników połączonych z chmurą w Azure Portal. Aby uzyskać więcej informacji, zobacz Visualize Microsoft Defender for IoT data with Azure Monitor workbooks (Wizualizowanie Microsoft Defender dla danych IoT przy użyciu skoroszytów usługi Azure Monitor)
Kontynuuj tworzenie innych raportów, aby uzyskać więcej danych zabezpieczeń z czujnika OT. Aby uzyskać więcej informacji, zobacz: