Enrichir les données de la station de travail et du serveur Windows avec un script local (préversion publique)

Notes

Cette fonctionnalité est en PRÉVERSION. Les conditions supplémentaires pour les préversions Azure incluent d’autres conditions juridiques qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou qui ne sont pas encore en disponibilité générale.

Outre la détection des appareils OT sur votre réseau, utilisez Defender pour IoT pour découvrir les serveurs et les stations de travail Microsoft Windows, mais également pour enrichir les données des stations de travail et des serveurs pour les appareils déjà détectés. Identique à d’autres appareils détectés, les stations de travail et les serveurs Windows détectés sont affichés dans l’inventaire des appareils. Les pages d’inventaire des appareils du capteur et de la console de gestion locale affichent des données enrichies sur les appareils Windows, notamment les données sur le système d’exploitation et les applications Windows installées, les données au niveau des correctifs, les ports ouverts, etc.

Cet article explique comment utiliser un outil WMI Windows Defender pour IoT pour obtenir des informations étendues à partir d’appareils Windows, tels que des stations de travail, des serveurs, etc. Exécutez le script WMI sur vos appareils Windows pour obtenir des informations étendues, ce qui augmente l’inventaire de vos appareils et la couverture de sécurité. Bien que vous puissiez également utiliser des analyses WMI planifiées pour obtenir ces données, les scripts peuvent être exécutés localement pour des réseaux réglementés avec des cascades et des éléments unidirectionnels si la connectivité WMI n’est pas possible.

Le script décrit dans cet article retourne les détails suivants sur chaque appareil détecté :

• Adresse IP
• Adresse MAC
• Système d’exploitation
• Service Pack
• Programmes installés
• Dernière mise à jour de base de connaissances

Si un capteur de réseau OT a déjà détecté l’appareil, l’exécution du script décrit dans cet article récupère les informations et les données d’enrichissement de l’appareil.

Prérequis

Avant d’effectuer les procédures décrites dans cet article, vous devez disposer des éléments suivants :

• Un capteur réseau OT installé, configuré et activé.

• Un accès à votre capteur réseau OT en tant qu’utilisateur Administrateur. Pour plus d’informations, consultez Utilisateurs et rôles locaux pour le monitoring OT avec Defender pour IoT.

• Autorisations d’administrateur sur tous les appareils sur lesquels vous envisagez d’exécuter le script.

Systèmes d’exploitation pris en charge

Le script décrit dans cet article est pris en charge pour les systèmes d’exploitation Windows suivants :

• Windows XP
• Windows 2000
• Windows NT
• Windows 7
• Windows 10
• Windows Server 2003/2008/2012/2016/2019

Télécharger et exécuter le script

Cette procédure décrit comment déployer et exécuter un script sur la station de travail et les serveurs Windows que vous souhaitez surveiller dans Defender pour IoT.

Le script détecte les données Windows enrichies. Il est exécuté en tant qu’utilitaire et non en tant que programme installé. L’exécution du script n’affecte pas le point de terminaison. Vous pouvez déployer le script une seule fois ou en utilisant l’automatisation continue, à l’aide de méthodes et d’outils de déploiement automatisé standard.

1. Connectez-vous à votre console de capteur OT et sélectionnez Paramètres système>Paramètres d’importation>informations Windows.

2. Sélectionnez Télécharger le script. Par exemple :

   

3. Copiez le script sur un lecteur local et décompressez-le. Les fichiers suivants s’affichent :

   • start.bat
   • settings.json
   • data.bin
   • run.bat

4. Exécutez le fichier run.bat.

   Une fois que le script s’exécute pour sonder le Registre, un fichier d’instantané CX apparaît avec les informations du Registre. Le nom de fichier indique le nom de l’ordinateur, la date et l’heure de l’instantané avec la syntaxe suivante : cx_snapshot_[machinename]_[current date time].

Les fichiers générés par le script sont les suivants :

• Ils restent sur le disque local jusqu’à ce que vous les supprimiez.
• Ils doivent rester au même emplacement. Ne séparez pas les fichiers générés.
• Ils sont remplacés si vous réexécutez le script.

Importer les détails de l’appareil

Après avoir exécuté le script comme décrit précédemment, importez les données générées dans votre capteur pour afficher les détails de l’appareil dans l’inventaire des appareils.

Pour importer les détails de l’appareil dans votre capteur :

1. Utilisez des méthodes et des outils standard, automatisés pour déplacer les fichiers générés de chaque point de terminaison Windows vers un emplacement accessible à partir de vos capteurs OT.

   Ne mettez pas à jour les noms de fichiers et ne séparez pas les fichiers les uns des autres.

2. Connectez-vous à votre console de capteur OT et sélectionnez Paramètres système>Paramètres d’importation>informations Windows.

3. Sélectionnez Importer un fichier, puis sélectionnez tous les fichiers (Ctrl+A).

   

Afficher le rapport des applications d’appareils

Après avoir téléchargé et exécuté le script, puis importé les données générées dans votre capteur, vous pouvez afficher vos applications d’appareils avec un rapport d’exploration de données personnalisé.

Pour afficher les applications d’appareils :

1. Connectez-vous à votre console de capteur OT, puis sélectionnez Exploration de données.

2. Sélectionnez + Créer un rapport pour créer un rapport personnalisé. Dans le champ Choisir une catégorie, sélectionnez Applications d’appareils. Par exemple :

   

3. Votre rapport sur les applications d’appareils s’affiche dans la zone Mes rapports.

Étapes suivantes

Pour plus d’informations, consultez Détecter les stations de travail et les serveurs Windows avec un script local et Importer des données supplémentaires pour les appareils OT détectés.