使用本機指令碼擴充 Windows 工作站和伺服器資料 (公開預覽)
注意
這項功能處於預覽狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。
除了偵測網路上的 OT 裝置之外,請使用適用於 IoT 的 Defender 來探索 Microsoft Windows 工作站和伺服器,並且針對已偵測到的裝置擴充工作站和伺服器資料。 與其他偵測到的裝置相同,偵測到的 Windows 工作站和伺服器會顯示在裝置清查中。 感應器和內部部署管理主控台上的 [裝置清查] 頁面會顯示有關 Windows 裝置的豐富資料,包括已安裝 Windows 作業系統和應用程式、修補程式層級資料、開啟的連接埠等資料。
本文描述如何使用適用於 IoT 的 Defender 以 Windows 為基礎的 WMI 工具,從 Windows 裝置取得擴充資訊,例如工作站、伺服器等等。 在 Windows 裝置上執行 WMI 指令碼以取得擴充的資訊,增加裝置清查和安全性涵蓋範圍。 雖然您也可以使用排程 WMI 掃描來取得此資料,但如果無法使用 WMI 連線能力,則可以在本機針對具有瀑布和單向元素的受管制網路執行指令碼。
本文所述的指令碼會傳回每個所偵測到裝置的下列詳細資料:
- IP 位址
- MAC 位址
- 作業系統
- Service Pack
- 安裝的程式
- 最新知識庫更新
如果 OT 網路感應器已偵測到裝置,則執行本文中概述的指令碼會擷取裝置的資訊和擴充資料。
必要條件
執行本文中的程序之前,您必須具有:
以管理使用者身分存取 OT 網路感應器的權限。 如需詳細資訊,請參閱使用適用於 IoT 的 Defender 進行 OT 監視的內部部署使用者和角色。
您想要執行指令碼所在任何裝置上的系統管理員權限。
受支援的作業系統
本文所述的指令碼支援下列 Windows 作業系統:
- Windows XP
- Windows 7
- Windows 10
- Windows Server 2003/2008/2012
下載並執行指令碼
此程序描述如何在適用於 IoT 的 Defender 中想要監視的 Windows 工作站和伺服器上部署和執行指令碼。
指令碼會偵測擴充 Windows 資料,並且以公用程式的形式執行,而非已安裝的程式。 執行指令碼不會影響端點。 您可能想要使用標準自動化部署方法和工具,部署一次指令碼或使用持續自動化。
登入您的 OT 感應器主控台,選取 [系統設定] > [匯入設定] > [Windows 資訊]。
選取 [下載指令碼]。 您的瀏覽器可能會詢問您是否要保留檔案,請選取 [保留 ] 或任何類似的選項。
將檔案複製到本機磁碟驅動器,並將其解壓縮。 下列檔案隨即出現:
Extract_system_info.bat
執行
Extract_system_info.bat檔案。系統會詢問您是否要在畫面上顯示錯誤。 讓自己選擇。
執行腳本來探查登錄之後,會出現一個包含登錄信息的輸出檔。 檔名會以下列語法指出快照集的目前日期和時間: [current date time]_system_info_extractor。
文稿所產生的檔案:
- 保留在本地磁碟機上直到刪除為止。
- 如果您在同一天再次執行腳本,就會遭到覆寫。
- 包含 errorOutput 檔案,如果腳本執行期間沒有發生任何錯誤,則為空白。
匯入裝置詳細資料
如先前所述執行指令碼之後,請將產生的資料匯入您的感應器,以檢視裝置清查中的裝置詳細資料。
若要將裝置詳細資料匯入至感應器:
使用標準、自動化方法和工具,將產生的檔案從每個 Windows 端點移至可從 OT 感應器存取的位置。
請勿更新檔案名稱,或將檔案彼此分開。
登入您的 OT 感應器主控台,選取 [系統設定] > [匯入設定] > [Windows 資訊]。
選取 [匯入檔案],然後選取相關的檔案。
檢視裝置應用程式報告
下載並執行指令碼之後,匯入產生的資料到您的感應器,您可以使用自訂資料採礦報告來檢視裝置應用程式。
若要檢視裝置應用程式:
登入您的 OT 感應器主控台,然後選取 [資料採礦]。
選取 [+ 建立報告] 以建立自訂報告。 在 [選擇類別] 欄位中,選取 [裝置應用程式]。 例如:
您的裝置應用程式報告會顯示在 [我的報告] 區域中。
下一步
如需詳細資訊,請參閱使用本機指令碼偵測 Windows 工作站和伺服器和匯入偵測到的 OT 裝置的額外資料。