Создание запросов интеллектуального анализа данных
Запустите запросы интеллектуального анализа данных, чтобы просмотреть сведения о сетевых устройствах, обнаруженных датчиком OT, таких как подключение к Интернету, порты и протоколы, версии встроенного ПО, команды программирования и состояние устройства.
Сетевые датчики Defender для Интернета вещей OT предоставляют ряд встроенных отчетов для использования. Как готовые, так и пользовательские отчеты об интеллектуальном анализе данных всегда отображают правильные сведения за день просмотра отчета, а не за день создания отчета или запроса.
Данные запросов интеллектуального анализа данных постоянно сохраняются до удаления устройства и автоматически ежедневно сохраняются для обеспечения непрерывности работы системы.
Предварительные требования
Для создания отчетов интеллектуального анализа данных необходимо иметь доступ к сетевому датчику OT, для которого требуется создать данные, в качестве пользователя Администратор или аналитика безопасности.
Дополнительные сведения см. в статье Локальные пользователи и роли для мониторинга OT с помощью Defender для Интернета вещей.
Просмотр предопределенного отчета об интеллектуальном анализе данных датчика OT
Чтобы просмотреть текущие данные в предопределенном стандартном отчете об интеллектуальном анализе данных, войдите в датчик OT и выберите Интеллектуальный анализ данных слева.
Следующие готовые отчеты перечислены в области Рекомендуемые и готовы к использованию:
| Отчет | Описание |
|---|---|
| Команды программирования | Список всех обнаруженных устройств, отправляющих команды промышленного программирования. |
| Действия в Интернете | Выводит список всех обнаруженных устройств, подключенных к Интернету. |
| Исключенные CVEs | Список всех обнаруженных устройств с CVEs, которые были исключены вручную из отчета CVEs . |
| Активные устройства (последние 24 часа) | Список всех устройств обнаружения, у которых был активный трафик в течение последних 24 часов. |
| Удаленный доступ | Список всех обнаруженных устройств, которые обмениваются данными через протоколы удаленного сеанса. |
| CvEs | Выводит список всех обнаруженных устройств с известными уязвимостями, а также оценки рисков CVSS. Выберите Изменить , чтобы удалить и исключить определенные cvEs из отчета. Совет. Удалите CVEs, чтобы исключить их из списка, чтобы отчеты о векторах атак отражали вашу сеть более точно. |
| Неактивные устройства (за последние 7 дней) | Список всех обнаруженных устройств, которые не обменились данными за последние семь дней. |
Выберите отчет для просмотра сегодняшних данных.
Используйте параметры Обновить, 
Развернуть все и 
Свернуть все, чтобы обновить и изменить представления отчета.
Создание настраиваемого отчета об интеллектуальном анализе данных датчика OT
Создайте собственный пользовательский отчет об интеллектуальном анализе данных, если у вас есть потребности в отчетах, которые не охватываются встроенными отчетами. После создания пользовательские отчеты интеллектуального анализа данных видны всем пользователям.
Чтобы создать пользовательский отчет интеллектуального анализа данных, выполните приведенные далее действия.
Войдите в датчик OT и выберите Интеллектуальный анализ> данныхСоздать отчет.
В области Создание отчета справа введите следующие значения:
Имя Описание Имя / Описание Введите понятное имя и необязательное описание для отчета. Отправка в CM Выберите , чтобы отправить отчет в локальную консоль управления. Выберите категорию Выберите категории для включения в отчет.
Например, выберите Список разрешенных доменов Интернета в разделе DNS , чтобы создать отчет о разрешенных доменах Интернета и разрешенных IP-адресах.Упорядочить по Выберите, чтобы отсортировать данные по категории или действию. Фильтрация по Определите фильтр для отчета, используя любой из следующих параметров:
- Результаты в течение последнего: введите число, а затем выберите Минуты, Часы или Дни.
- IP-адрес, MAC-адрес или порт. Введите один или несколько IP-адресов, MAC-адресов и портов для фильтрации в отчете. Введите значение и нажмите кнопку +, чтобы добавить его в список.
- Группа устройств. Выберите одну или режимную группу устройств для фильтрации в отчете.Добавление типа фильтра Выберите , чтобы добавить в отчет любой из следующих типов фильтров.
- Транспорт (GENERIC)
— Протокол (GENERIC)
— ТЕГ (УНИВЕРСАЛЬНЫЙ)
— Максимальное значение (GENERIC)
— Состояние (GENERIC)
— Минимальное значение (GENERIC)
Введите значение в соответствующее поле и нажмите кнопку + , чтобы добавить его в список.Щелкните Сохранить. Отчет об интеллектуальном анализе данных отображается в области Мои отчеты . Пример:
Управление данными отчета об интеллектуальном анализе данных датчика OT
Каждый отчет интеллектуального анализа данных на датчике OT имеет следующие параметры для управления данными:
| Параметр | Описание |
|---|---|
Экспорт в CSV-файл |
Экспорт текущих данных отчета в CSV-файл. |
|
Экспорт в PDF-файл |
Экспорт текущих данных отчета в PDF-файл. |
Снимки |
Сохраните текущие данные отчета как snapshot вы сможете вернуться позже. |
Управление отчетом |
Обновление значений существующего пользовательского отчета интеллектуального анализа данных. Этот параметр отключен для рекомендуемых отчетов. |
Режим редактирования |
Выберите , чтобы удалить определенные результаты из сохраненного отчета. |
Например, выберите Управление отчетом , чтобы обновить данные, которые содержатся в отчете, используя те же поля, что и при первоначальном создании отчета:
Просмотр отчетов интеллектуального анализа данных для нескольких датчиков
Войдите в локальную консоль управления, чтобы просмотреть встроенные отчеты об интеллектуальном анализе данных для любого подключенного датчика и пользовательские отчеты интеллектуального анализа данных, отправленные в CM.
Чтобы просмотреть отчет интеллектуального анализа данных из локальной консоль управления:
Войдите в локальную консоль управления и выберите Отчеты слева.
В раскрывающемся списке Датчики выберите датчик, для которого необходимо сформировать отчет.
В раскрывающемся списке Выбор отчета выберите отчет, который нужно создать.
На странице перечислены текущие данные отчета. Выберите 
, чтобы экспортировать данные в PDF-файл.
Дальнейшие действия
Просмотрите дополнительные отчеты на основе датчиков, подключенных к облаку, в портал Azure. Дополнительные сведения см. в статье Визуализация Microsoft Defender для данных Интернета вещей с помощью книг Azure Monitor.
Продолжайте создавать другие отчеты для получения дополнительных данных безопасности с датчика OT. Дополнительные сведения см. в разделе: