Wzbogacanie danych stacji roboczej z systemem Windows i serwera za pomocą skryptu lokalnego (publiczna wersja zapoznawcza)

Uwaga

Ta funkcja jest dostępna w wersji zapoznawczej. Postanowienia uzupełniające dotyczące wersji zapoznawczej platformy Azure obejmują inne postanowienia prawne dotyczące funkcji platformy Azure, które są w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Oprócz wykrywania urządzeń OT w sieci usługa Defender for IoT umożliwia odnajdywanie stacji roboczych i serwerów z systemem Microsoft Windows oraz wzbogacanie danych stacji roboczych i serwerów dla już wykrytych urządzeń. Podobnie jak w przypadku innych wykrytych urządzeń wykryte stacje robocze i serwery z systemem Windows są wyświetlane w spisie urządzeń. Strony spisu urządzeń w czujniku i lokalnej konsoli zarządzania zawierają wzbogacone dane dotyczące urządzeń z systemem Windows, w tym dane dotyczące zainstalowanego systemu operacyjnego Windows i aplikacji, dane na poziomie poprawki, otwarte porty i inne.

W tym artykule opisano sposób używania narzędzia WMI opartego na usłudze Defender dla systemu Windows w celu uzyskania rozszerzonych informacji z urządzeń z systemem Windows, takich jak stacje robocze, serwery i nie tylko. Uruchom skrypt usługi WMI na urządzeniach z systemem Windows, aby uzyskać rozszerzone informacje, zwiększając spis urządzeń i pokrycie zabezpieczeń. Chociaż można również użyć zaplanowanych skanów usługi WMI w celu uzyskania tych danych, skrypty mogą być uruchamiane lokalnie dla sieci regulowanych z kaskadowymi i jednokierunkowymi elementami, jeśli łączność usługi WMI nie jest możliwa.

Skrypt opisany w tym artykule zwraca następujące szczegóły dotyczące każdego wykrytego urządzenia:

• Adres IP
• Adres MAC
• System operacyjny
• Dodatek Service Pack
• Zainstalowane programy
• Ostatnia aktualizacja baza wiedzy

Jeśli czujnik sieciowy OT wykrył już urządzenie, uruchomienie skryptu opisanego w tym artykule pobiera informacje o urządzeniu i dane wzbogacania.

Wymagania wstępne

Przed wykonaniem procedur opisanych w tym artykule należy dysponować następującymi elementami:

• Czujnik sieciowy OT został zainstalowany, skonfigurowany i aktywowany.

• Dostęp do czujnika sieciowego OT jako użytkownik Administracja. Aby uzyskać więcej informacji, zobacz Temat Użytkownicy i role lokalne na potrzeby monitorowania ot za pomocą usługi Defender dla IoT.

• Uprawnienia administratora na wszystkich urządzeniach, na których zamierzasz uruchomić skrypt.

Obsługiwane systemy operacyjne

Skrypt opisany w tym artykule jest obsługiwany w następujących systemach operacyjnych Windows:

• Windows XP
• Windows 2000
• Windows NT
• Windows 7
• Windows 10
• Windows Server 2003/2008/2012/2016/2019

Pobieranie i uruchamianie skryptu

W tej procedurze opisano sposób wdrażania i uruchamiania skryptu na stacjach roboczych i serwerach z systemem Windows, które mają być monitorowane w usłudze Defender dla IoT.

Skrypt wykrywa wzbogacone dane systemu Windows i jest uruchamiany jako narzędzie, a nie zainstalowany program. Uruchomienie skryptu nie wpływa na punkt końcowy. Możesz chcieć wdrożyć skrypt raz lub przy użyciu ciągłej automatyzacji przy użyciu standardowych zautomatyzowanych metod wdrażania i narzędzi.

1. Zaloguj się do konsoli czujnika OT i wybierz pozycję Ustawienia> systemoweImportuj informacje>o systemie Windows.

2. Wybierz pozycję Pobierz skrypt. Przykład:

   

3. Skopiuj skrypt na dysk lokalny i rozpakuj go. Pojawią się następujące pliki:

   • start.bat
   • settings.json
   • data.bin
   • run.bat

4. run.bat Uruchom plik.

   Po uruchomieniu skryptu w celu sondowania rejestru zostanie wyświetlony plik CX-snapshot z informacjami rejestru. Nazwa pliku wskazuje nazwę maszyny oraz bieżącą datę i godzinę migawki z następującą składnią: cx_snapshot_[machinename]_[current date time].

Pliki generowane przez skrypt obejmują:

• Pozostaną na dysku lokalnym, dopóki nie zostaną usunięte.
• Musi pozostać w tej samej lokalizacji. Nie oddzielaj wygenerowanych plików.
• Jeśli skrypt zostanie ponownie uruchomiony, zostanie zastąpiony.

Importowanie szczegółów urządzenia

Po uruchomieniu skryptu zgodnie z wcześniejszym opisem zaimportuj wygenerowane dane do czujnika , aby wyświetlić szczegóły urządzenia w spisie urządzeń.

Aby zaimportować szczegóły urządzenia do czujnika:

1. Użyj standardowych, zautomatyzowanych metod i narzędzi, aby przenieść wygenerowane pliki z każdego punktu końcowego systemu Windows do lokalizacji dostępnej z czujników OT.

   Nie aktualizuj nazw plików ani nie oddzielaj plików od siebie.

2. Zaloguj się do konsoli czujnika OT i wybierz pozycję Ustawienia> systemoweImportuj informacje>o systemie Windows.

3. Wybierz pozycję Importuj plik, a następnie wybierz wszystkie pliki (Ctrl+A).

   

Wyświetlanie raportu aplikacji urządzeń

Po pobraniu i uruchomieniu skryptu zaimportuj wygenerowane dane do czujnika, możesz wyświetlić aplikacje urządzeń z niestandardowym raportem wyszukiwania danych.

Aby wyświetlić aplikacje urządzeń:

1. Zaloguj się do konsoli czujnika OT i wybierz pozycję Wyszukiwanie danych.

2. Wybierz pozycję + Utwórz raport , aby utworzyć raport niestandardowy. W polu Wybierz kategorię wybierz pozycję Urządzenia Aplikacje. Przykład:

   

3. Raport aplikacji urządzeń jest wyświetlany w obszarze Moje raporty .

Następne kroki

Aby uzyskać więcej informacji, zobacz Detect Windows workstations and servers with a local script (Wykrywanie stacji roboczych i serwerów z systemem Windows za pomocą skryptu lokalnego) i Import extra data for detected OT devices (Importowanie dodatkowych danych dla wykrytych urządzeń OT).