ローカル スクリプトを使用して Windows ワークステーションとサーバー データをエンリッチする (パブリック プレビュー)
Note
この機能はプレビュー段階にあります。 Microsoft Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはその他のまだ一般提供されていない Azure 機能に適用される他の法律条項が含まれています。
ネットワーク上の OT デバイスを検出するだけでなく、Defender for IoT を使用して Microsoft Windows ワークステーションとサーバーを検出し、既に検出されたデバイスのワークステーションとサーバー データを強化します。 他の検出されたデバイスと同様に、検出された Windows ワークステーションとサーバーは [デバイス インベントリ] に表示されます。 センサーとオンプレミス管理コンソールの [デバイス インベントリ] ページには、Windows オペレーティング システムとインストールされているアプリケーションに関するデータ、パッチレベルのデータ、開いているポートなど、Windows デバイスに関するエンリッチ データが表示されます。
この記事では、Defender for IoT Windows ベースの WMI ツールを使って、ワークステーション、サーバーなどの Windows デバイスから拡張情報を取得する方法について説明します。 Windows デバイスで WMI スクリプトを実行して拡張情報を取得し、デバイスのインベントリとセキュリティの範囲を広げてください。 スケジュールされた WMI スキャンを使ってこのデータを取得することもできますが、WMI 接続を使用できない場合は、ウォーターフォールや一方向の要素を持つ規制されたネットワークに対してスクリプトをローカルで実行することができます。
この記事で説明するスクリプトを実行すると、検出された各デバイスについて以下の詳細を返します。
- IP アドレス
- MAC アドレス
- オペレーティング システム
- サービス パック
- Installed programs (インストールされたプログラム)
- ナレッジ ベースの最終更新日
OT ネットワーク センサーが既にデバイスを検出している場合は、この記事で説明されているスクリプトを実行すると、デバイスの情報とエンリッチメント データが取得されます。
前提条件
この記事の手順を実行する前に、以下が必要となります。
OT ネットワーク センサーがインストールされ、構成され、アクティブ化されています。
OT ネットワーク センサーへの管理者ユーザー アクセス。 詳細については、Defender for IoT を使用した OT 監視のためのオンプレミスのユーザーとロールに関するページを参照してください。
スクリプトを実行するデバイスの管理者アクセス許可。
サポートされるオペレーティング システム
この記事で説明するスクリプトは、次の Windows オペレーティング システムでサポートされています。
- Windows XP
- Windows 7
- Windows 10
- Windows Server 2003/2008/2012
スクリプトのダウンロードと実行
この手順では、Defender for IoT で監視する Windows ワークステーションとサーバー上でスクリプトをデプロイおよび実行する方法について説明します。
スクリプトでエンリッチされた Windows データが検出され、インストールされたプログラムとしてではなく、ユーティリティとして実行されます。 スクリプトを実行しても、エンドポイントには影響しません。 標準の自動デプロイのメソッドとツールを使って、1 回、または継続的なオートメーションを使ってスクリプトをデプロイする必要がある場合があります。
OT センサー コンソールにサインインし、[システム設定]>[インポートの設定]>[Windows 情報] を選びます。
[スクリプトをダウンロード] を選択します。 ブラウザーに、ファイルを保持するかどうかを確認するメッセージが表示される場合があります。[保持] または同様のオプションを選択します。
ファイルをローカル ドライブにコピーして解凍します。 次のファイルが表示されます。
Extract_system_info.bat
Extract_system_info.bat
ファイルを実行します。エラーを画面に表示するかどうかを確認するメッセージが表示されます。 自身の判断で選択します。
スクリプトを実行してレジストリをプローブすると、レジストリ情報を含む出力ファイルが表示されます。 ファイル名は、[current date time]_system_info_extractor
という構文でスナップショットの現在の日付と時刻を示します。
スクリプトによって生成されるファイル:
- これらは、削除するまでローカル ドライブに残ります。
- 同じ日にスクリプトを再実行すると上書きされます。
- スクリプトの実行中にエラーが発生しなかった場合は、空の errorOutput ファイルが含まれます。
デバイスの詳細をインポートする
先ほど説明したとおりにスクリプトを実行した後、生成されたデータをセンサーにインポートして、[デバイス インベントリ] でデバイスの詳細を確認します。
デバイスの詳細をセンサーにインポートするには:
標準の自動化された方法とツールを使って、各 Windows エンドポイントの生成されたファイルを OT センサーからアクセス可能な場所に移動します。
ファイル名の更新や、ファイル同士の分離をしないでください。
OT センサー コンソールにサインインし、[システム設定]>[インポートの設定]>[Windows 情報] を選びます。
[ファイルのインポート] を選択し、関連するファイルを選びます。
デバイス アプリケーション レポートを表示する
スクリプトをダウンロードして実行した後、生成されたデータをセンサーにインポートすると、カスタム データ マイニング レポートを使用してデバイス アプリケーションを表示できます。
デバイス アプリケーションを表示するには、次を行います。
OT センサー コンソールにサインインし、[データ マイニング] を選択します。
[+ レポートの作成] を選択して、カスタム レポートを作成します。 [カテゴリの選択] フィールドで、[デバイス アプリケーション] を選択します。 次に例を示します。
デバイス アプリケーション レポートが [個人用レポート] 領域に表示されます。
次のステップ
詳しくは、「ローカル スクリプトを使用して Windows ワークステーションとサーバーを検出する」と「検出された OT デバイスの追加データをインポートする」をご覧ください。