Creare query di data mining
Eseguire query di data mining per visualizzare i dettagli sui dispositivi di rete rilevati dal sensore OT, ad esempio connettività Internet, porte e protocolli, versioni del firmware, comandi di programmazione e stato del dispositivo.
I sensori di rete DI Defender per IoT OT forniscono una serie di report predefiniti da usare. I report di data mining personalizzati e predefiniti mostrano sempre informazioni corrette per il giorno in cui si sta visualizzando il report, anziché il giorno in cui è stata creata la query o il report.
I dati delle query di data mining vengono salvati continuamente fino all'eliminazione di un dispositivo e vengono supportati automaticamente su base giornaliera per garantire la continuità del sistema.
Prerequisiti
Per creare report di data mining, è necessario essere in grado di accedere al sensore di rete OT per cui si desidera generare dati come utente amministratore o analista della sicurezza.
Per altre informazioni, vedere Utenti e ruoli locali per il monitoraggio OT con Defender per IoT.
Visualizzare un report di data mining predefinito del sensore OT
Per visualizzare i dati correnti in un report di data mining predefinito predefinito, accedere al sensore OT e selezionare Data mining a sinistra.
Nell'area Consigliata sono elencati i report predefiniti seguenti, pronti per l'uso:
| Report | Descrizione |
|---|---|
| Comandi di programmazione | Elenca tutti i dispositivi rilevati che inviano comandi di programmazione industriale. |
| Attività Internet | Elenca tutti i dispositivi rilevati connessi a Internet. |
| CVE esclusi | Elenca tutti i dispositivi rilevati con CVE esclusi manualmente dal report CVEs . |
| Dispositivi attivi (ultime 24 ore) | Elenca tutti i dispositivi detective che hanno avuto traffico attivo nelle ultime 24 ore. |
| Accesso remoto | Elenca tutti i dispositivi rilevati che comunicano tramite protocolli di sessione remoti. |
| CVE | Elenca tutti i dispositivi rilevati con vulnerabilità note, insieme ai punteggi di rischio CVSS. Selezionare Modifica per eliminare ed escludere cve specifiche dal report. Suggerimento: eliminare i CVE per escluderli dall'elenco per fare in modo che i report del vettore di attacco riflettano la rete in modo più accurato. |
| Dispositivi non attivi (ultimi 7 giorni) | Elenca tutti i dispositivi rilevati che non sono stati comunicati negli ultimi sette giorni. |
Selezionare un report per visualizzare i dati odierni. Usare le 
opzioni Aggiorna,
Espandi tutto e
Comprimi tutte le opzioni per aggiornare e modificare le visualizzazioni del report.
Creare un report di data mining personalizzato del sensore OT
Creare un report di data mining personalizzato se sono presenti report non coperti dai report predefiniti. Una volta creati, i report di data mining personalizzati sono visibili a tutti gli utenti.
Per creare un report di data mining personalizzato:
Accedere al sensore OT e selezionare Creazione report di data mining>.
Nel riquadro Crea nuovo report a destra immettere i valori seguenti:
Nome Descrizione Nome / Descrizione Immettere un nome significativo per il report e una descrizione facoltativa. Scegli categoria Selezionare le categorie da includere nel report.
Ad esempio, selezionare Internet Domain Allowlist (Consenti dominio Internet) in DNS per creare un report dei domini Internet consentiti e dei relativi indirizzi IP risolti.Ordina per Selezionare questa opzione per ordinare i dati per categoria o per attività. Filtra per Definire un filtro per il report usando uno dei parametri seguenti:
- Risultati nell'ultimo: immettere un numero e quindi selezionare Minuti, Ore o Giorni
- Indirizzo IP/Indirizzo MAC/Porta: immettere uno o più indirizzi IP, indirizzi MAC e porte da filtrare nel report. Immettere un valore e quindi selezionare + per aggiungerlo all'elenco.
- Gruppo di dispositivi: selezionare uno o i gruppi di dispositivi in modalità da filtrare nel report.Aggiungere un tipo di filtro Selezionare questa opzione per aggiungere uno dei tipi di filtro seguenti nel report.
- Trasporto (GENERICO)
- Protocollo (GENERICO)
- TAG (GENERICO)
- Valore massimo (GENERIC)
- Stato (GENERICO)
- Valore minimo (GENERIC)
Immettere un valore nel campo pertinente e quindi selezionare + per aggiungerlo all'elenco.Seleziona Salva. Il report di data mining viene visualizzato nell'area Report personali . Ad esempio:
Gestire i dati del report di data mining dei sensori OT
Ogni report di data mining su un sensore OT offre le opzioni seguenti per la gestione dei dati:
| Opzione | Descrizione |
|---|---|
 Esporta in CSV |
Esportare i dati correnti del report in un file CSV. |
| Esporta in PDF |
Esportare i dati correnti del report in un file PDF. |
 Snapshot |
Salvare i dati correnti del report come snapshot a cui tornare in un secondo momento. |
 Gestire il report |
Aggiornare i valori di un report di data mining personalizzato esistente. Questa opzione è disabilitata per i report consigliati. |
 Modalità di modifica |
Selezionare questa opzione per rimuovere risultati specifici dal report salvato. |
Ad esempio, selezionare Gestisci report per aggiornare i dati inclusi nel report usando gli stessi campi.
Passaggi successivi
Visualizzare report aggiuntivi basati su sensori connessi al cloud nel portale di Azure. Per altre informazioni, vedere Visualizzare i dati di Microsoft Defender per IoT con cartelle di lavoro di Monitoraggio di Azure
Continuare a creare altri report per altri dati di sicurezza dal sensore OT. Per altre informazioni, vedi: