Обогащение данных рабочей станции и сервера Windows с помощью локального скрипта (общедоступная предварительная версия)

Примечание

Эта функция доступна в предварительной версии. Дополнительные условия использования предварительной версии Azure включают прочие юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не являются общедоступными по другим причинам.

Помимо обнаружения устройств OT в сети, используйте Defender для Интернета вещей, чтобы обнаруживать рабочие станции и серверы Microsoft Windows и обогащать данные рабочих станций и серверов для уже обнаруженных устройств. Как и другие обнаруженные устройства, обнаруженные рабочие станции и серверы Windows отображаются в инвентарном списке устройств. На страницах инвентаризации устройств на датчике и в локальной консоли управления отображаются обогащенные данные по устройствам Windows, включая сведения об установленной операционной системе Windows и приложениях, исправлениях, открытых портах и многом другом.

В этой статье описывается, как использовать средство WMI Windows на основе Defender для Интернета вещей для получения расширенных сведений с устройств Windows, таких как рабочие станции, серверы и многое другое. Запустите скрипт WMI на устройствах с Windows, чтобы получить расширенную информацию, увеличив объем инвентаризации устройств и охват безопасности. Хотя вы также можете использовать запланированные проверки WMI для получения этих данных, скрипты можно запускать локально для регулируемых сетей с каскадами и односторонними элементами, если подключение WMI невозможно.

Сценарий, описанный в этой статье, возвращает следующие сведения о каждом обнаруженном устройстве:

• IP-адрес
• MAC-адрес.
• Операционная система
• Пакет обновления
• Установленные программы
• Последнее обновление база знаний

Если сетевой датчик OT уже обнаружил устройство, выполнение скрипта, описанного в этой статье, извлекает сведения об устройстве и данные обогащения.

Предварительные требования

Перед выполнением процедур, описанных в этой статье, необходимо:

• Установленный, настроенный и активированный сетевой датчик OT.

• Доступ к сетевому датчику OT от имени пользователя Администратор. Дополнительные сведения см. в статье Локальные пользователи и роли для мониторинга OT с помощью Defender для Интернета вещей.

• Разрешения администратора на всех устройствах, на которых вы планируете запускать скрипт.

Поддерживаемые операционные системы

Скрипт, описанный в этой статье, поддерживается для следующих операционных систем Windows:

• Windows XP
• Windows 2000
• Windows NT
• Windows 7
• Windows 10
• Windows Server 2003/2008/2012/2016/2019

Скачивание и запуск скрипта

В этой процедуре описывается развертывание и запуск скрипта на рабочей станции и серверах Windows, которые необходимо отслеживать в Defender для Интернета вещей.

Скрипт обнаруживает обогащенные данные Windows и запускается как служебная программа, а не установленная программа. Выполнение скрипта не влияет на конечную точку. Может потребоваться развернуть скрипт один раз или использовать текущую автоматизацию, используя стандартные методы и средства автоматического развертывания.

1. Войдите в консоль датчика OT и выберите Параметры> системыИмпорт параметров>Сведения о Windows.

2. Выберите Скачать скрипт. Пример:

   

3. Скопируйте скрипт на локальный диск и распакуйте его. Появляются следующие файлы:

   • start.bat
   • settings.json
   • data.bin
   • run.bat

4. Запустите файл run.bat.

   После того как скрипт проверит реестр, появится файл моментального снимка CX со сведениями о реестре. Имя файла указывает имя компьютера, а также текущую дату и время snapshot с помощью следующего синтаксиса: cx_snapshot_[machinename]_[current date time].

Файлы, созданные скриптом, включают:

• остаются на локальном диске, пока вы не удалите их;
• должны оставаться в изначальном расположении; Не разделяйте созданные файлы.
• перезаписываются при повторном запуске скрипта.

Импорт сведений об устройстве

После запуска скрипта, как описано выше, импортируйте созданные данные в датчик, чтобы просмотреть сведения об устройстве в инвентарном списке устройств.

Чтобы импортировать сведения об устройстве в датчик, выполните указанные ниже действия.

1. Используйте стандартные автоматизированные методы и средства для перемещения созданных файлов из каждой конечной точки Windows в расположение, доступное из датчиков OT.

   Не обновляйте имена файлов и не отделяйте файлы друг от друга.

2. Войдите в консоль датчика OT и выберите Параметры> системыИмпорт параметров>Сведения о Windows.

3. Нажмите Импорт файла, а затем выберите все файлы (Ctrl + A).

   

Просмотр отчета о приложениях устройств

После скачивания и запуска скрипта, а затем импорта созданных данных на датчик вы можете просматривать приложения устройств с помощью пользовательского отчета интеллектуального анализа данных.

Чтобы просмотреть приложения устройств, выполните следующие действия.

1. Войдите в консоль датчика OT и выберите Интеллектуальный анализ данных.

2. Выберите + Создать отчет , чтобы создать пользовательский отчет. В поле Выбор категории выберите Устройства Приложения. Пример:

   

3. Отчет о приложениях устройств отображается в области Мои отчеты .

Дальнейшие действия

Дополнительные сведения см. в разделах Обнаружение рабочих станций и серверов Windows с помощью локального скрипта и Импорт дополнительных данных для обнаруженных устройств OT.