Обогащение данных рабочей станции и сервера Windows с помощью локального скрипта (общедоступная предварительная версия)
Примечание
Эта функция доступна в предварительной версии. Дополнительные условия использования предварительной версии Azure включают прочие юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не являются общедоступными по другим причинам.
Помимо обнаружения устройств OT в сети, используйте Defender для Интернета вещей, чтобы обнаруживать рабочие станции и серверы Microsoft Windows и обогащать данные рабочих станций и серверов для уже обнаруженных устройств. Как и другие обнаруженные устройства, обнаруженные рабочие станции и серверы Windows отображаются в инвентарном списке устройств. На страницах инвентаризации устройств на датчике и в локальной консоли управления отображаются обогащенные данные по устройствам Windows, включая сведения об установленной операционной системе Windows и приложениях, исправлениях, открытых портах и многом другом.
В этой статье описывается, как использовать средство WMI Windows на основе Defender для Интернета вещей для получения расширенных сведений с устройств Windows, таких как рабочие станции, серверы и многое другое. Запустите скрипт WMI на устройствах с Windows, чтобы получить расширенную информацию, увеличив объем инвентаризации устройств и охват безопасности. Хотя вы также можете использовать запланированные проверки WMI для получения этих данных, скрипты можно запускать локально для регулируемых сетей с каскадами и односторонними элементами, если подключение WMI невозможно.
Сценарий, описанный в этой статье, возвращает следующие сведения о каждом обнаруженном устройстве:
- IP-адрес
- MAC-адрес.
- Операционная система
- Пакет обновления
- Установленные программы
- Последнее обновление база знаний
Если сетевой датчик OT уже обнаружил устройство, выполнение скрипта, описанного в этой статье, извлекает сведения об устройстве и данные обогащения.
Предварительные требования
Перед выполнением процедур, описанных в этой статье, необходимо:
Установленный, настроенный и активированный сетевой датчик OT.
Доступ к сетевому датчику OT от имени пользователя Администратор. Дополнительные сведения см. в статье Локальные пользователи и роли для мониторинга OT с помощью Defender для Интернета вещей.
Разрешения администратора на всех устройствах, на которых вы планируете запускать скрипт.
Поддерживаемые операционные системы
Скрипт, описанный в этой статье, поддерживается для следующих операционных систем Windows:
- Windows XP
- Windows 2000
- Windows NT
- Windows 7
- Windows 10
- Windows Server 2003/2008/2012/2016/2019
Скачивание и запуск скрипта
В этой процедуре описывается развертывание и запуск скрипта на рабочей станции и серверах Windows, которые необходимо отслеживать в Defender для Интернета вещей.
Скрипт обнаруживает обогащенные данные Windows и запускается как служебная программа, а не установленная программа. Выполнение скрипта не влияет на конечную точку. Может потребоваться развернуть скрипт один раз или использовать текущую автоматизацию, используя стандартные методы и средства автоматического развертывания.
Войдите в консоль датчика OT и выберите Параметры> системыИмпорт параметров>Сведения о Windows.
Выберите Скачать скрипт. Пример:
Скопируйте скрипт на локальный диск и распакуйте его. Появляются следующие файлы:
start.bat
settings.json
data.bin
run.bat
Запустите файл
run.bat
.После того как скрипт проверит реестр, появится файл моментального снимка CX со сведениями о реестре. Имя файла указывает имя компьютера, а также текущую дату и время snapshot с помощью следующего синтаксиса:
cx_snapshot_[machinename]_[current date time]
.
Файлы, созданные скриптом, включают:
- остаются на локальном диске, пока вы не удалите их;
- должны оставаться в изначальном расположении; Не разделяйте созданные файлы.
- перезаписываются при повторном запуске скрипта.
Импорт сведений об устройстве
После запуска скрипта, как описано выше, импортируйте созданные данные в датчик, чтобы просмотреть сведения об устройстве в инвентарном списке устройств.
Чтобы импортировать сведения об устройстве в датчик, выполните указанные ниже действия.
Используйте стандартные автоматизированные методы и средства для перемещения созданных файлов из каждой конечной точки Windows в расположение, доступное из датчиков OT.
Не обновляйте имена файлов и не отделяйте файлы друг от друга.
Войдите в консоль датчика OT и выберите Параметры> системыИмпорт параметров>Сведения о Windows.
Нажмите Импорт файла, а затем выберите все файлы (Ctrl + A).
Просмотр отчета о приложениях устройств
После скачивания и запуска скрипта, а затем импорта созданных данных на датчик вы можете просматривать приложения устройств с помощью пользовательского отчета интеллектуального анализа данных.
Чтобы просмотреть приложения устройств, выполните следующие действия.
Войдите в консоль датчика OT и выберите Интеллектуальный анализ данных.
Выберите + Создать отчет , чтобы создать пользовательский отчет. В поле Выбор категории выберите Устройства Приложения. Пример:
Отчет о приложениях устройств отображается в области Мои отчеты .
Дальнейшие действия
Дополнительные сведения см. в разделах Обнаружение рабочих станций и серверов Windows с помощью локального скрипта и Импорт дополнительных данных для обнаруженных устройств OT.