ローカル スクリプトを使用して Windows ワークステーションとサーバー データをエンリッチする (パブリック プレビュー)

Note

この機能はプレビュー段階にあります。 Microsoft Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはその他のまだ一般提供されていない Azure 機能に適用される他の法律条項が含まれています。

ネットワーク上の OT デバイスを検出するだけでなく、Defender for IoT を使用して Microsoft Windows ワークステーションとサーバーを検出し、既に検出されたデバイスのワークステーションとサーバー データを強化します。 他の検出されたデバイスと同様に、検出された Windows ワークステーションとサーバーは [デバイス インベントリ] に表示されます。 センサーとオンプレミス管理コンソールの [デバイス インベントリ] ページには、Windows オペレーティング システムとインストールされているアプリケーションに関するデータ、パッチレベルのデータ、開いているポートなど、Windows デバイスに関するエンリッチ データが表示されます。

この記事では、Defender for IoT Windows ベースの WMI ツールを使って、ワークステーション、サーバーなどの Windows デバイスから拡張情報を取得する方法について説明します。 Windows デバイスで WMI スクリプトを実行して拡張情報を取得し、デバイスのインベントリとセキュリティの範囲を広げてください。 スケジュールされた WMI スキャンを使ってこのデータを取得することもできますが、WMI 接続を使用できない場合は、ウォーターフォールや一方向の要素を持つ規制されたネットワークに対してスクリプトをローカルで実行することができます。

この記事で説明するスクリプトを実行すると、検出された各デバイスについて以下の詳細を返します。

• IP アドレス
• MAC アドレス
• オペレーティング システム
• サービス パック
• Installed programs (インストールされたプログラム)
• ナレッジ ベースの最終更新日

OT ネットワーク センサーが既にデバイスを検出している場合は、この記事で説明されているスクリプトを実行すると、デバイスの情報とエンリッチメント データが取得されます。

前提条件

この記事の手順を実行する前に、以下が必要となります。

• OT ネットワーク センサーがインストールされ、構成され、アクティブ化されています。

• OT ネットワーク センサーへの管理者ユーザー アクセス。 詳細については、Defender for IoT を使用した OT 監視のためのオンプレミスのユーザーとロールに関するページを参照してください。

• スクリプトを実行するデバイスの管理者アクセス許可。

サポートされるオペレーティング システム

この記事で説明するスクリプトは、次の Windows オペレーティング システムでサポートされています。

• Windows XP
• Windows 2000
• Windows NT
• Windows 7
• Windows 10
• Windows Server 2003/2008/2012/2016/2019

スクリプトのダウンロードと実行

この手順では、Defender for IoT で監視する Windows ワークステーションとサーバー上でスクリプトをデプロイおよび実行する方法について説明します。

スクリプトでエンリッチされた Windows データが検出され、インストールされたプログラムとしてではなく、ユーティリティとして実行されます。 スクリプトを実行しても、エンドポイントには影響しません。 標準の自動デプロイのメソッドとツールを使って、1 回、または継続的なオートメーションを使ってスクリプトをデプロイする必要がある場合があります。

1. OT センサー コンソールにサインインし、[システム設定]>[インポートの設定]>[Windows 情報] を選びます。

2. [スクリプトをダウンロード] を選択します。 次に例を示します。

   

3. スクリプトをローカル ドライブにコピーして解凍します。 次のファイルが表示されます。

   • start.bat
   • settings.json
   • data.bin
   • run.bat

4. run.bat ファイルを実行します。

   レジストリを調査するスクリプトを実行すると、レジストリ情報を含む CX スナップショット ファイルが表示されます。 ファイル名は、cx_snapshot_[machinename]_[current date time] という構文のスナップショットのマシン名、現在の日付、時刻を示します。

スクリプトによって生成されるファイルには次が含まれます。

• これらは、削除するまでローカル ドライブに残ります。
• 同じ場所のままにする必要があります。 生成されたファイルを分離しないでください。
• スクリプトを再実行すると上書きされます。

デバイスの詳細をインポートする

先ほど説明したとおりにスクリプトを実行した後、生成されたデータをセンサーにインポートして、[デバイス インベントリ] でデバイスの詳細を確認します。

デバイスの詳細をセンサーにインポートするには:

1. 標準の自動化された方法とツールを使って、各 Windows エンドポイントの生成されたファイルを OT センサーからアクセス可能な場所に移動します。

   ファイル名の更新や、ファイル同士の分離をしないでください。

2. OT センサー コンソールにサインインし、[システム設定]>[インポートの設定]>[Windows 情報] を選びます。

3. [ファイルのインポート] を選択し、すべてのファイルを選択します (Ctrl+A)。

   

デバイス アプリケーション レポートを表示する

スクリプトをダウンロードして実行した後、生成されたデータをセンサーにインポートすると、カスタム データ マイニング レポートを使用してデバイス アプリケーションを表示できます。

デバイス アプリケーションを表示するには、次を行います。

1. OT センサー コンソールにサインインし、[データ マイニング] を選択します。

2. [+ レポートの作成] を選択して、カスタム レポートを作成します。 [カテゴリの選択] フィールドで、[デバイス アプリケーション] を選択します。 次に例を示します。

   

3. デバイス アプリケーション レポートが [個人用レポート] 領域に表示されます。

次のステップ

詳しくは、「ローカル スクリプトを使用して Windows ワークステーションとサーバーを検出する」と「検出された OT デバイスの追加データをインポートする」をご覧ください。