Partager via

Enrichir les données de la station de travail et du serveur Windows avec un script local (préversion publique)

  • Article

Notes

Cette fonctionnalité est en PRÉVERSION. Les conditions supplémentaires pour les préversions Azure incluent d’autres conditions juridiques qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou qui ne sont pas encore en disponibilité générale.

Outre la détection des appareils OT sur votre réseau, utilisez Defender pour IoT pour découvrir les serveurs et les stations de travail Microsoft Windows, mais également pour enrichir les données des stations de travail et des serveurs pour les appareils déjà détectés. Identique à d’autres appareils détectés, les stations de travail et les serveurs Windows détectés sont affichés dans l’inventaire des appareils. Les pages d’inventaire des appareils du capteur et de la console de gestion locale affichent des données enrichies sur les appareils Windows, notamment les données sur le système d’exploitation et les applications Windows installées, les données au niveau des correctifs, les ports ouverts, etc.

Cet article explique comment utiliser un outil WMI Windows Defender pour IoT pour obtenir des informations étendues à partir d’appareils Windows, tels que des stations de travail, des serveurs, etc. Exécutez le script WMI sur vos appareils Windows pour obtenir des informations étendues, ce qui augmente l’inventaire de vos appareils et la couverture de sécurité. Bien que vous puissiez également utiliser des analyses WMI planifiées pour obtenir ces données, les scripts peuvent être exécutés localement pour des réseaux réglementés avec des cascades et des éléments unidirectionnels si la connectivité WMI n’est pas possible.

Le script décrit dans cet article retourne les détails suivants sur chaque appareil détecté :

  • Adresse IP
  • Adresse MAC
  • Système d’exploitation
  • Service Pack
  • Programmes installés
  • Dernière mise à jour de base de connaissances

Si un capteur de réseau OT a déjà détecté l’appareil, l’exécution du script décrit dans cet article récupère les informations et les données d’enrichissement de l’appareil.

Prérequis

Avant d’effectuer les procédures décrites dans cet article, vous devez disposer des éléments suivants :

Systèmes d’exploitation pris en charge

Le script décrit dans cet article est pris en charge pour les systèmes d’exploitation Windows suivants :

  • Windows XP
  • Windows 7
  • Windows 10
  • Windows 11
  • Windows Server 2003/2008/2012/2016/2019/2022

Télécharger et exécuter le script

Cette procédure décrit comment déployer et exécuter un script sur la station de travail et les serveurs Windows que vous souhaitez surveiller dans Defender pour IoT.

Le script détecte les données Windows enrichies. Il est exécuté en tant qu’utilitaire et non en tant que programme installé. L’exécution du script n’affecte pas le point de terminaison. Vous pouvez déployer le script une seule fois ou en utilisant l’automatisation continue, à l’aide de méthodes et d’outils de déploiement automatisé standard.

  1. Connectez-vous à votre console de capteur OT et sélectionnez Paramètres système>Paramètres d’importation>informations Windows.

  2. Sélectionnez Télécharger le script. Votre navigateur peut vous demander si vous souhaitez conserver le fichier, sélectionnez Conserver ou toute option similaire.

    Capture d’écran de l’emplacement de téléchargement du script WMI.

  3. Copiez le fichier sur un lecteur local, puis décompressez-le. Le fichier suivant s’affiche :

    • Extract_system_info.bat

  4. Exécutez le fichier Extract_system_info.bat.

  5. Il vous est demandé si vous souhaitez afficher les erreurs à l’écran ou non. Effectuez votre propre sélection.

Une fois que le script s’est exécuté pour sonder le Registre, un fichier de sortie s’affiche avec les informations de Registre. Le nom de fichier indique la date et l’heure actuelles de la capture instantanée avec la syntaxe suivante : [current date time]_system_info_extractor.

Fichiers générés par le script :

  • Ils restent sur le disque local jusqu’à ce que vous les supprimiez.
  • Sont remplacés si vous réexécutez le script le même jour.
  • Comportent un fichier errorOutput vide si aucune erreur ne s’est produite au moment de l’exécution du script.

Importer les détails de l’appareil

Après avoir exécuté le script comme décrit précédemment, importez les données générées dans votre capteur pour afficher les détails de l’appareil dans l’inventaire des appareils.

Pour importer les détails de l’appareil dans votre capteur :

  1. Utilisez des méthodes et des outils standard, automatisés pour déplacer les fichiers générés de chaque point de terminaison Windows vers un emplacement accessible à partir de vos capteurs OT.

    Ne mettez pas à jour les noms de fichiers et ne séparez pas les fichiers les uns des autres.

  2. Connectez-vous à votre console de capteur OT et sélectionnez Paramètres système>Paramètres d’importation>informations Windows.

  3. Sélectionnez Importer un fichier, puis sélectionnez le fichier approprié.

    Capture d’écran de l’emplacement d’importation du script WMI.

Afficher le rapport des applications d’appareils

Après avoir téléchargé et exécuté le script, puis importé les données générées dans votre capteur, vous pouvez afficher vos applications d’appareils avec un rapport d’exploration de données personnalisé.

Pour afficher les applications d’appareils :

  1. Connectez-vous à votre console de capteur OT, puis sélectionnez Exploration de données.

  2. Sélectionnez + Créer un rapport pour créer un rapport personnalisé. Dans le champ Choisir une catégorie, sélectionnez Applications d’appareils. Par exemple :

    Capture d’écran de la création du rapport personnalisé sur les applications d’appareils.

  3. Votre rapport sur les applications d’appareils s’affiche dans la zone Mes rapports.

Étapes suivantes

Pour plus d’informations, consultez Détecter les stations de travail et les serveurs Windows avec un script local et Importer des données supplémentaires pour les appareils OT détectés.