共用方式為


使用本機指令碼擴充 Windows 工作站和伺服器資料 (公開預覽)

注意

這項功能處於預覽狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。

除了偵測網路上的 OT 裝置之外,請使用適用於 IoT 的 Defender 來探索 Microsoft Windows 工作站和伺服器,並且針對已偵測到的裝置擴充工作站和伺服器資料。 與其他偵測到的裝置相同,偵測到的 Windows 工作站和伺服器會顯示在裝置清查中。 感應器和內部部署管理主控台上的 [裝置清查] 頁面會顯示有關 Windows 裝置的豐富資料,包括已安裝 Windows 作業系統和應用程式、修補程式層級資料、開啟的連接埠等資料。

本文描述如何使用適用於 IoT 的 Defender 以 Windows 為基礎的 WMI 工具,從 Windows 裝置取得擴充資訊,例如工作站、伺服器等等。 在 Windows 裝置上執行 WMI 指令碼以取得擴充的資訊,增加裝置清查和安全性涵蓋範圍。 雖然您也可以使用排程 WMI 掃描來取得此資料,但如果無法使用 WMI 連線能力,則可以在本機針對具有瀑布和單向元素的受管制網路執行指令碼。

本文所述的指令碼會傳回每個所偵測到裝置的下列詳細資料:

  • IP 位址
  • MAC 位址
  • 作業系統
  • Service Pack
  • 安裝的程式
  • 最新知識庫更新

如果 OT 網路感應器已偵測到裝置,則執行本文中概述的指令碼會擷取裝置的資訊和擴充資料。

必要條件

執行本文中的程序之前,您必須具有:

受支援的作業系統

本文所述的指令碼支援下列 Windows 作業系統:

  • Windows XP
  • Windows 7
  • Windows 10
  • Windows Server 2003/2008/2012

下載並執行指令碼

此程序描述如何在適用於 IoT 的 Defender 中想要監視的 Windows 工作站和伺服器上部署和執行指令碼。

指令碼會偵測擴充 Windows 資料,並且以公用程式的形式執行,而非已安裝的程式。 執行指令碼不會影響端點。 您可能想要使用標準自動化部署方法和工具,部署一次指令碼或使用持續自動化。

  1. 登入您的 OT 感應器主控台,選取 [系統設定] > [匯入設定] > [Windows 資訊]

  2. 選取 [下載指令碼]。 您的瀏覽器可能會詢問您是否要保留檔案,請選取 [保留 ] 或任何類似的選項。

    下載 WMI 腳本位置的螢幕快照。

  3. 將檔案複製到本機磁碟驅動器,並將其解壓縮。 下列檔案隨即出現:

    • Extract_system_info.bat
  4. 執行 Extract_system_info.bat 檔案。

  5. 系統會詢問您是否要在畫面上顯示錯誤。 讓自己選擇。

執行腳本來探查登錄之後,會出現一個包含登錄信息的輸出檔。 檔名會以下列語法指出快照集的目前日期和時間: [current date time]_system_info_extractor

文稿所產生的檔案:

  • 保留在本地磁碟機上直到刪除為止。
  • 如果您在同一天再次執行腳本,就會遭到覆寫。
  • 包含 errorOutput 檔案,如果腳本執行期間沒有發生任何錯誤,則為空白。

匯入裝置詳細資料

先前所述執行指令碼之後,請將產生的資料匯入您的感應器,以檢視裝置清查中的裝置詳細資料。

若要將裝置詳細資料匯入至感應器

  1. 使用標準、自動化方法和工具,將產生的檔案從每個 Windows 端點移至可從 OT 感應器存取的位置。

    請勿更新檔案名稱,或將檔案彼此分開。

  2. 登入您的 OT 感應器主控台,選取 [系統設定] > [匯入設定] > [Windows 資訊]

  3. 選取 [匯入檔案],然後選取相關的檔案。

    匯入 WMI 腳本位置的螢幕快照。

檢視裝置應用程式報告

下載並執行指令碼之後,匯入產生的資料到您的感應器,您可以使用自訂資料採礦報告來檢視裝置應用程式。

若要檢視裝置應用程式:

  1. 登入您的 OT 感應器主控台,然後選取 [資料採礦]

  2. 選取 [+ 建立報告]建立自訂報告。 在 [選擇類別] 欄位中,選取 [裝置應用程式]。 例如:

    建立裝置應用程式自定義報告的螢幕快照。

  3. 您的裝置應用程式報告會顯示在 [我的報告] 區域中。

下一步

如需詳細資訊,請參閱使用本機指令碼偵測 Windows 工作站和伺服器匯入偵測到的 OT 裝置的額外資料