Compartir a través de


Creación de consultas de minería de datos

Ejecute consultas de minería de datos para ver detalles sobre los dispositivos de red detectados por el sensor de OT, como la conectividad a Internet, los puertos y los protocolos, las versiones de firmware, los comandos de programación y el estado del dispositivo.

Los sensores de red de OT de Defender para IoT ponen a su disposición una serie de informes predefinidos. Los informes de minería de datos personalizados y predefinidos siempre muestran información correcta para el día en que está viendo el informe, en lugar del día en que se creó el informe o la consulta.

Los datos de consulta de minería de datos se guardan continuamente hasta que se elimina un dispositivo, y se hace una copia de seguridad de ellos de forma automática y diaria para garantizar la continuidad del sistema.

Requisitos previos

Para crear informes de minería de datos, debe poder acceder al sensor de red de OT para el que quiere generar datos, como un usuario Administrador o Analista de seguridad.

Para obtener más información, consulte Usuarios y roles locales para la supervisión de OT con Defender para IoT.

Visualización de un informe de minería de datos predefinido del sensor OT

Para ver los datos actuales en un informe predefinido e integrado de minería de datos, inicie sesión en el sensor OT y seleccione Minería de datos a la izquierda.

Los siguientes informes predefinidos se muestran en el área Recomendado, listos para su uso:

Informe Descripción
Comandos de programación Enumera todos los dispositivos detectados que envían comandos de programación industrial.
Actividad de Internet Enumera todos los dispositivos detectados que están conectados a Internet.
CVE excluidas Enumera todos los dispositivos detectados que tienen CVE que se han excluido manualmente del informe de CSV.
Dispositivos activos (últimas 24 horas) Enumera todos los dispositivos de detección que han tenido tráfico activo en las últimas 24 horas.
Acceso remoto Enumera todos los dispositivos detectados que se comunican a través de protocolos de sesión remotos.
CVE Enumera todos los dispositivos detectados con vulnerabilidades conocidas, junto con las puntuaciones de riesgo de CVSS.

Seleccione Editar para eliminar y excluir CVE específicos del informe.

Sugerencia: Elimine las CVE para excluirlas de la lista y conseguir que los informes de vectores de ataque reflejen su red con mayor precisión.
Dispositivos no activos (últimos 7 días) Enumera todos los dispositivos detectados que no se han comunicado durante los últimos siete días.

Seleccione un informe para ver los datos de hoy. Use las opciones Actualizar, Expandir todo y Contraer todo para actualizar y cambiar las vistas de informe.

Creación de un informe de minería de datos personalizado del sensor de OT

Cree su propio informe de minería de datos personalizado si tiene necesidades de generación de informes no cubiertas por los informes predefinidos. Una vez creados, los informes de minería de datos personalizados son visibles para todos los usuarios.

Para crear un informe de minería de datos personalizado:

  1. Inicie sesión en el sensor de OT y seleccione Minería de datos>Crear informe.

  2. En el panel Crear nuevo informe de la derecha, escriba los valores siguientes:

    Nombre Descripción
    Nombre / Descripción Escriba un nombre descriptivo y una descripción opcional para el informe.
    Enviar a CM Seleccione esta opción para enviar su informe a la consola de administración local.
    Elegir categoría Seleccione las categorías que se incluirán en el informe.

    Por ejemplo, seleccione Internet Domain Allowlist (Lista de dominios de Internet permitidos) en DNS para crear un informe de los dominios de Internet permitidos y sus direcciones IP resueltas.
    Ordenar por Seleccione esta opción para ordenar los datos por categoría o por actividad.
    Filtrar por Defina un filtro para el informe mediante cualquiera de los parámetros siguientes:

    - Resultados en los últimos: escriba un número y seleccione Minutos, Horas o Días.
    - Dirección IP/Dirección MAC/Puerto: escriba una o varias direcciones IP, direcciones MAC y puertos para filtrar en el informe. Escriba un valor y, a continuación, seleccione + para agregarlo a la lista.
    - Grupo de dispositivos: seleccione un grupo de dispositivos (o varios) para filtrar el informe.
    Agregar tipo de filtro Seleccione esta opción para agregar cualquiera de los siguientes tipos de filtro al informe.

    - Transporte (GENÉRICO)
    - Protocolo (GENÉRICO)
    - TAG (GENERIC)
    - Valor máximo (GENERIC)
    - Estado (GENÉRICO)
    - Valor mínimo (GENERIC)

    Escriba un valor en el campo correspondiente y, a continuación, seleccione + para agregarlo a la lista.
  3. Seleccione Guardar. El informe de minería de datos se muestra en el área Mis informes. Por ejemplo:

    Captura de pantalla de una lista de informes de minería de datos personalizados.

Administración de los datos del informe de minería de datos del sensor de OT

Cada informe de minería de datos de un sensor de OT tiene las siguientes opciones para administrar los datos:

Opción Descripción
Exportar a CSV Exporte los datos del informe actual a un archivo CSV.
Exportar a PDF Exporte los datos del informe actual a un archivo PDF.
Instantáneas Guarde los datos del informe actual como una instantánea a la que puede volver más adelante.
Administrar informe Actualice los valores de un informe de minería de datos personalizado existente. Esta opción está deshabilitada para los informes recomendados.
Modo de edición Seleccione esta opción para quitar resultados específicos del informe guardado.

Por ejemplo, seleccione Administrar informe para actualizar los datos que incluye el informe con los mismos campos que utilizó para crear originalmente el informe:

Captura de pantalla del panel Administrar informe.

Visualización de informes de minería de datos para varios sensores

Inicie sesión en una consola de administración local para ver los informes de minería de datos integrados de cualquier sensor conectado y los informes de minería de datos personalizados que se enviaron a la instancia de CM.

Para ver un informe de minería de datos desde una consola de administración local:

  1. Inicie sesión en la consola de administración local y seleccione Informes a la izquierda.

  2. En la lista desplegable Sensores, seleccione el sensor para el que quiere generar el informe.

  3. En la lista desplegable Informe seleccionado, seleccione el informe que quiere generar.

En la página se enumeran los datos del informe actual. Seleccione para exportar los datos a un archivo PDF.

Pasos siguientes