你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
运行数据挖掘查询,查看有关 OT 传感器检测到的网络设备的详细信息,例如 Internet 连接、端口和协议、固件版本、编程命令和设备状态。
Defender for IoT OT 网络传感器提供了一系列现成的报表供你使用。 现成的和自定义数据挖掘报表始终显示你查看报表的当天(而不是报表或查询的创建日期)的正确信息。
数据挖掘查询数据会持续保存,直到设备被删除,并每天自动备份以确保系统连续性。
先决条件
若要创建数据挖掘报表,必须能够以管理员或安全分析师用户的身份访问要为其生成数据的 OT 网络传感器。
有关详细信息,请参阅使用 Defender for IoT 进行 OT 监视的本地用户和角色。
查看 OT 传感器预定义的数据挖掘报表
若要查看预定义的现成数据挖掘报表上的当前数据,请登录到 OT 传感器,然后选择左侧的“数据挖掘”。
以下现成的报表均列在“建议”区域中,可供你使用:
| 报表 | 说明 |
|---|---|
| 编程命令 | 列出发送工业编程命令的所有检测到的设备。 |
| Internet 活动 | 列出连接到 Internet 的所有检测到的设备。 |
| 排除的 CVE | 列出所有检测到的具有已手动从 CVE 报表中排除的 CVE 的设备。 |
| 活动设备(过去 24 小时) | 列出在过去 24 小时内有活动流量的所有检测设备。 |
| 远程访问 | 列出通过远程会话协议进行通信的所有检测到的设备。 |
| CVE | 列出所有检测到的具有已知漏洞的设备,以及 CVSS 风险评分。 选择“编辑”可以从报表中删除并排除特定的 CVE。 提示:删除 CVE 可以将其从列表中排除,使攻击途径报告更准确地反映网络。 |
| 非活动设备(过去 7 天) | 列出过去 7 天未通信的所有检测到的设备。 |
选择报表以查看当前数据。 使用 
“刷新”、
“全部展开”和 
“全部折叠”选项更新和更改报表视图。
创建 OT 传感器自定义数据挖掘报表
如果有现成的报表未涵盖的报表需求,可以创建自己的自定义数据挖掘报表。 创建后,所有用户都可以看到自定义数据挖掘报表。
要创建数据挖掘报表,请执行以下操作:
登录到 OT 传感器,然后选择“数据挖掘”>“创建报表”。
在右侧的“创建新报表”窗格中,输入以下值:
名称 说明 名称 / 说明 为报表输入一个有意义的名称和可选说明。 选择类别 选择要包含在报表中的类别。
例如,在“DNS”下选择“Internet 域允许列表”,创建允许的 Internet 域及其已解析 IP 地址的报表。排序依据 选择此选项可以按类别或按活动对数据进行排序。 筛选依据 使用以下任一参数为报表定义筛选器:
- 最后一个范围内的结果:输入一个数字,然后选择“分钟”、“小时”或“天”
- IP 地址/MAC 地址/端口:输入一个或多个要筛选到报表中的 IP 地址、MAC 地址和端口。 输入一个值,然后选择“+”将其添加到列表中。
- 设备组:选择一个设备组或模式设备组以筛选到报表中。添加筛选器类型 选择此选项可向报表中添加以下任何筛选器类型。
- 传输(通用)
- 协议(通用)
- 标记(通用)
- 最大值(通用)
- 状态(通用)
- 最小值(通用)
在相关字段中输入一个值,然后选择“+”将其添加到列表中。选择“保存”。 数据挖掘报表将显示在“我的报表”区域中。 例如:
管理 OT 传感器数据挖掘报表数据
OT 传感器上的每个数据挖掘报表都具有以下用于管理数据的选项:
| 选项 | 说明 |
|---|---|
导出为 CSV |
将当前报表数据导出到 CSV 文件。 |
|
导出为 PDF |
将当前报表数据导出到 PDF 文件。 |
快照 |
将当前报表数据保存为稍后可返回到的快照。 |
管理报表 |
更新现有自定义数据挖掘报表的值。 对于建议的报表,此选项处于禁用状态。 |
编辑模式 |
选择此选项可从保存的报表中删除特定结果。 |
例如,选择“管理报表”以使用相同的字段更新报表包含的数据。
后续步骤
在 Azure 门户中查看基于连接到云的传感器的其他报告。 有关详细信息,请参阅使用 Azure Monitor 工作簿可视化 Microsoft Defender for IoT 数据
继续创建其他报告,以便从 OT 传感器获取更多安全数据。 有关详细信息,请参阅: