Arricchire i dati della workstation e del server Windows con uno script locale (anteprima pubblica)
Nota
Questa funzionalità è disponibile in ANTEPRIMA. Le condizioni supplementari di anteprima di Azure includono altre condizioni legali applicabili alle funzionalità di Azure in versione beta, in anteprima o altrimenti non ancora rilasciate in disponibilità generale.
Oltre a rilevare i dispositivi OT nella rete, usare Defender per IoT per individuare workstation e server Microsoft Windows e arricchire i dati della workstation e del server per i dispositivi già rilevati. Analogamente ad altri dispositivi rilevati, le workstation e i server Windows rilevati vengono visualizzati nell'inventario dei dispositivi. Le pagine Inventario dispositivi nel sensore e nella console di gestione locale mostrano dati arricchiti sui dispositivi Windows, inclusi i dati relativi al sistema operativo Windows e alle applicazioni installate, i dati a livello di patch, le porte aperte e altro ancora.
Questo articolo descrive come usare uno strumento WMI basato su Defender per IoT per ottenere informazioni estese dai dispositivi Windows, ad esempio workstation, server e altro ancora. Eseguire lo script WMI nei dispositivi Windows per ottenere informazioni estese, aumentando l'inventario del dispositivo e la copertura della sicurezza. Anche se è anche possibile usare le analisi WMI pianificate per ottenere questi dati, gli script possono essere eseguiti in locale per reti regolamentate con cascata e elementi unidirezionali se la connettività WMI non è possibile.
Lo script descritto in questo articolo restituisce i dettagli seguenti su ogni dispositivo rilevato:
- Indirizzo IP
- Indirizzo MAC
- Sistema operativo
- Service Pack
- Programmi installati
- Ultimo aggiornamento knowledge base
Se un sensore di rete OT ha già rilevato il dispositivo, eseguendo lo script descritto in questo articolo recupera le informazioni e i dati di arricchimento del dispositivo.
Prerequisiti
Prima di eseguire le procedure in questo articolo, è necessario disporre di:
Sensore di rete OT installato, configurato e attivato.
Accesso al sensore di rete OT come utente Amministrazione. Per altre informazioni, vedere Utenti e ruoli locali per il monitoraggio OT con Defender per IoT.
Autorizzazioni di amministratore per tutti i dispositivi in cui si intende eseguire lo script.
Sistemi operativi supportati
Lo script descritto in questo articolo è supportato per i sistemi operativi Windows seguenti:
- Windows XP
- Windows 2000
- Windows NT
- Windows 7
- Windows 10
- Windows Server 2003/2008/2012/2016/2019
Scaricare ed eseguire lo script
Questa procedura descrive come distribuire ed eseguire uno script nella workstation e nei server Windows da monitorare in Defender per IoT.
Lo script rileva i dati di Windows arricchiti e viene eseguito come utilità e non come programma installato. L'esecuzione dello script non influisce sull'endpoint. È possibile distribuire lo script una volta o usare l'automazione in corso usando metodi e strumenti di distribuzione automatizzati standard.
Accedere alla console del sensore OT e selezionare Impostazioni di sistema Importare le impostazioni>> diWindows.
Selezionare Scarica script. Ad esempio:
Copiare lo script in un'unità locale e decomprimerlo. Vengono visualizzati i file seguenti:
start.bat
settings.json
data.bin
run.bat
Eseguire il
run.bat
file.Dopo l'esecuzione dello script per eseguire il probe del Registro di sistema, viene visualizzato un file CX-snapshot con le informazioni del Registro di sistema. Il nome del file indica il nome del computer e la data e l'ora correnti dello snapshot con la sintassi seguente:
cx_snapshot_[machinename]_[current date time]
.
I file generati dallo script includono:
- Rimanere sull'unità locale finché non vengono eliminati.
- Deve rimanere nella stessa posizione. Non separare i file generati.
- Se si esegue di nuovo lo script, viene sovrascritto.
Importare i dettagli del dispositivo
Dopo aver eseguito lo script come descritto in precedenza, importare i dati generati nel sensore per visualizzare i dettagli del dispositivo nell'inventario dispositivi.
Per importare i dettagli del dispositivo nel sensore:
Usare metodi e strumenti standard, automatizzati per spostare i file generati da ogni endpoint di Windows in una posizione accessibile dai sensori OT.
Non aggiornare i file o separare i file tra loro.
Accedere alla console del sensore OT e selezionare Impostazioni di sistema Importare le impostazioni>> diWindows.
Selezionare Importa file e quindi selezionare tutti i file (CTRL+A).
Visualizzare il report delle applicazioni dei dispositivi
Dopo aver scaricato ed eseguito lo script, importando i dati generati nel sensore, è possibile visualizzare le applicazioni dei dispositivi con un report di data mining personalizzato.
Per visualizzare le applicazioni dei dispositivi:
Accedere alla console del sensore OT e selezionare Data mining.
Selezionare + Crea report per creare un report personalizzato. Nel campo Scegli categoria selezionare Applicazioni dispositivi. Ad esempio:
Il report delle applicazioni dei dispositivi viene visualizzato nell'area Report personali .
Passaggi successivi
Per altre informazioni, vedere Rilevare workstation e server Windows con uno script locale eImportare dati aggiuntivi per i dispositivi OT rilevati.