你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

创建数据挖掘查询

运行数据挖掘查询，查看有关 OT 传感器检测到的网络设备的详细信息，例如 Internet 连接、端口和协议、固件版本、编程命令和设备状态。

Defender for IoT OT 网络传感器提供了一系列现成的报表供你使用。现成的和自定义数据挖掘报表始终显示你查看报表的当天（而不是报表或查询的创建日期）的正确信息。

数据挖掘查询数据会持续保存，直到设备被删除，并每天自动备份以确保系统连续性。

先决条件

若要创建数据挖掘报表，必须能够以管理员或安全分析师用户的身份访问要为其生成数据的 OT 网络传感器。

若要查看预定义的现成数据挖掘报表上的当前数据，请登录到 OT 传感器，然后选择左侧的“数据挖掘”。

以下现成的报表均列在“建议”区域中，可供你使用：

报表	说明
编程命令	列出发送工业编程命令的所有检测到的设备。
Internet 活动	列出连接到 Internet 的所有检测到的设备。
排除的 CVE	列出所有检测到的具有已手动从 CVE 报表中排除的 CVE 的设备。
活动设备（过去 24 小时）	列出在过去 24 小时内有活动流量的所有检测设备。
远程访问	列出通过远程会话协议进行通信的所有检测到的设备。
CVE	列出所有检测到的具有已知漏洞的设备，以及 CVSS 风险评分。选择“编辑”可以从报表中删除并排除特定的 CVE。提示：删除 CVE 可以将其从列表中排除，使攻击途径报告更准确地反映网络。
非活动设备（过去 7 天）	列出过去 7 天未通信的所有检测到的设备。

选择报表以查看当前数据。使用 “刷新”、“全部展开”和 “全部折叠”选项更新和更改报表视图。

如果有现成的报表未涵盖的报表需求，可以创建自己的自定义数据挖掘报表。创建后，所有用户都可以看到自定义数据挖掘报表。

要创建数据挖掘报表，请执行以下操作：

在右侧的“创建新报表”窗格中，输入以下值：

名称	说明
名称 / 说明	为报表输入一个有意义的名称和可选说明。
发送到 CM	选择此选项可将报表发送到本地管理控制台。
选择类别	选择要包含在报表中的类别。例如，在“DNS”下选择“Internet 域允许列表”，创建允许的 Internet 域及其已解析 IP 地址的报表。
排序依据	选择此选项可以按类别或按活动对数据进行排序。
筛选依据	使用以下任一参数为报表定义筛选器： - 最后一个范围内的结果：输入一个数字，然后选择“分钟”、“小时”或“天” - IP 地址/MAC 地址/端口：输入一个或多个要筛选到报表中的 IP 地址、MAC 地址和端口。输入一个值，然后选择“+”将其添加到列表中。 - 设备组：选择一个设备组或模式设备组以筛选到报表中。
添加筛选器类型	选择此选项可向报表中添加以下任何筛选器类型。 - 传输（通用） - 协议（通用） - 标记（通用） - 最大值（通用） - 状态（通用） - 最小值（通用）在相关字段中输入一个值，然后选择“+”将其添加到列表中。

OT 传感器上的每个数据挖掘报表都具有以下用于管理数据的选项：

选项	说明
导出为 CSV	将当前报表数据导出到 CSV 文件。
导出为 PDF	将当前报表数据导出到 PDF 文件。
快照	将当前报表数据保存为稍后可返回到的快照。
管理报表	更新现有自定义数据挖掘报表的值。对于建议的报表，此选项处于禁用状态。
编辑模式	选择此选项可从保存的报表中删除特定结果。