Arricchire i dati di server e workstation Windows con uno script locale (anteprima pubblica)

Nota

Questa funzionalità si trova in ANTEPRIMA. Le condizioni aggiuntive per l'anteprima di Azure includono altri termini legali che si applicano a funzionalità di Azure in versione beta, anteprima o altrimenti non ancora disponibili a livello generale.

Oltre a rilevare i dispositivi OT nella rete, usare Defender per IoT per individuare workstation e server Di Microsoft Windows e arricchire i dati di workstation e server per i dispositivi già rilevati. Come gli altri dispositivi rilevati, le workstation e i server Windows rilevati vengono visualizzati nell'inventario dispositivi. Le pagine Inventario dispositivi nel sensore e nella console di gestione locale mostrano dati arricchiti sui dispositivi Windows, inclusi i dati relativi al sistema operativo Windows e alle applicazioni installate, i dati a livello di patch, le porte aperte e altro ancora.

Questo articolo descrive come usare uno strumento WMI basato su Windows defender per IoT per ottenere informazioni estese dai dispositivi Windows, ad esempio workstation, server e altro ancora. Eseguire lo script WMI nei dispositivi Windows per ottenere informazioni estese, aumentando l'inventario dei dispositivi e la copertura della sicurezza. Sebbene sia anche possibile usare analisi WMI pianificate per ottenere questi dati, gli script possono essere eseguiti localmente per reti regolamentate con cascate ed elementi unidirezionali se la connettività WMI non è possibile.

Lo script descritto in questo articolo restituisce i dettagli seguenti su ogni dispositivo rilevato:

• Indirizzo IP
• Indirizzo MAC
• Sistema operativo
• Service Pack
• Programmi installati
• Ultimo aggiornamento della Knowledge Base

Se un sensore di rete OT ha già rilevato il dispositivo, l'esecuzione dello script descritto in questo articolo recupera le informazioni e i dati di arricchimento del dispositivo.

Prerequisiti

Prima di eseguire le procedure descritte in questo articolo, è necessario:

• Disporre di un sensore di rete OT installato, configurato e attivato.

• Disporre dell’accesso al sensore di rete OT come utente amministratore. Per altre informazioni, vedere Utenti e ruoli locali per il monitoraggio OT con Defender per IoT.

• Autorizzazioni di amministratore in tutti i dispositivi in cui si intende eseguire lo script.

Sistemi operativi supportati

Lo script descritto in questo articolo è supportato per i sistemi operativi Windows seguenti:

• Windows XP
• Windows 7
• Windows 10
• Windows 11
• Windows Server 2003/2008/2012/2016/2019/2022

Scaricare ed eseguire lo script

Questa procedura descrive come distribuire ed eseguire uno script nella workstation e nei server Windows da monitorare in Defender per IoT.

Lo script rileva i dati di Windows arricchiti e viene eseguito come utilità e non come programma installato. L'esecuzione dello script non influisce sull'endpoint. È possibile distribuire lo script una sola volta o usare l'automazione in corso usando metodi e strumenti di distribuzione automatizzati standard.

1. Accedere alla console del sensore OT e selezionare Impostazioni>di sistema Importa impostazioni Informazioni> di Windows.

2. Selezionare Scarica script. Il browser potrebbe chiedere se si vuole mantenere il file, selezionare Mantieni o qualsiasi opzione simile.

   

3. Copiare il file in un'unità locale e decomprimerlo. Viene visualizzato il file seguente:

   • Extract_system_info.bat

4. Eseguire il Extract_system_info.bat file.

5. Ti verrà chiesto se vuoi visualizzare gli errori sullo schermo o meno. Effettuare una selezione personalizzata.

Dopo l'esecuzione dello script per eseguire il probe del Registro di sistema, viene visualizzato un file di output con le informazioni del Registro di sistema. Il nome file indica la data e l'ora correnti dello snapshot con la sintassi seguente: [current date time]_system_info_extractor.

File generati dallo script:

• Rimanere sull'unità locale fino a quando non vengono eliminati.
• Vengono sovrascritti se si esegue di nuovo lo script nello stesso giorno.
• Includere un file errorOutput vuoto se non si sono verificati errori durante l'esecuzione dello script.

Importare i dettagli del dispositivo

Dopo aver eseguito lo script come descritto in precedenza, importare i dati generati nel sensore per visualizzare i dettagli del dispositivo nell'inventario dispositivi.

Per importare i dettagli del dispositivo nel sensore:

1. Usa metodi e strumenti standard, automatizzati per spostare i file generati da ogni endpoint di Windows in una posizione accessibile dai sensori OT.

   Non aggiornare i nomi file o separare i file l'uno dall'altro.

2. Accedere alla console del sensore OT e selezionare Impostazioni>di sistema Importa impostazioni Informazioni> di Windows.

3. Selezionare Importa file e quindi selezionare il file pertinente.

   

Visualizzare il report delle applicazioni dei dispositivi

Dopo aver scaricato ed eseguito lo script, quindi importando i dati generati nel sensore, è possibile visualizzare le applicazioni dei dispositivi con un report di data mining personalizzato.

Per visualizzare le applicazioni dei dispositivi:

1. Accedere alla console del sensore OT e selezionare Data mining.

2. Selezionare + Crea report per creare un report personalizzato. Nel campo Scegli categoria selezionare Applicazioni per dispositivi. Ad esempio:

   

3. Il report delle applicazioni per i dispositivi viene visualizzato nell'area Report personali.

Passaggi successivi

Per altre informazioni, vedere Rilevare workstation e server Windows con uno script locale e Importare dati aggiuntivi per i dispositivi OT rilevati.