Enriquezca los datos de estaciones de trabajo y servidores Windows con un script local (Vista previa pública)

Nota:

Esta característica se encuentra en VERSIÓN PRELIMINAR. Los Términos de uso complementarios para las versiones preliminares de Azure incluyen otros términos legales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado con disponibilidad general.

Además de detectar dispositivos OT en la red, use Defender para IoT para descubrir servidores y estaciones de trabajo de Microsoft Windows y enriquecer los datos de estación de trabajo y servidor para los dispositivos ya detectados. Al igual que otros dispositivos que se detectan, los servidores y las estaciones de trabajo de Windows detectados se muestran en el inventario de dispositivos. Las páginas Inventario de dispositivos de la consola de administración local y el sensor muestran datos enriquecidos sobre los dispositivos Windows, incluidos datos sobre el sistema operativo Windows y las aplicaciones instaladas, datos del nivel de revisión y puertos abiertos, entre otros.

En este artículo se describe cómo usar una herramienta WMI basada en Windows de Defender para IoT para obtener información extendida de dispositivos Windows, como estaciones de trabajo, servidores y mucho más. Ejecute el script WMI en los dispositivos Windows para obtener información extendida, lo que aumenta el inventario de dispositivos y la cobertura de seguridad. Aunque también puede usar los exámenes WMI programados para obtener estos datos, los scripts se pueden ejecutar localmente para redes reguladas con cascadas y elementos unidireccionales si no es posible la conectividad WMI.

El script descrito en este artículo devuelve los siguientes detalles sobre cada dispositivo detectado:

• Dirección IP
• Dirección MAC
• Sistema operativo
• Service Pack
• Programas instalados
• Última actualización de knowledge base

Si un sensor de red OT ya ha detectado el dispositivo, ejecutar el script descrito en este artículo recuperará la información del dispositivo y los datos de enriquecimiento.

Requisitos previos

Antes de realizar los procedimientos de este artículo, tienes que:

• Un sensor de red de OT instalado, configurado y activado.

• Acceder al sensor de red de OT como usuario Administrador. Para obtener más información, consulte Usuarios y roles locales para la supervisión de OT con Defender para IoT.

• Permisos de administrador en cualquiera de los dispositivos donde quieras ejecutar el script.

Sistemas operativos admitidos

El script que se describe en este artículo es compatible con los sistemas operativos Windows siguientes:

• Windows XP
• Windows 2000
• Windows NT
• Windows 7
• Windows 10
• Windows Server 2003/2008/2012/2016/2019

Descarga y ejecución del script

Este procedimiento describe cómo implementar y ejecutar un script en los servidores y la estación de trabajo de Windows que quiera supervisar en Defender para IoT.

El script detecta los datos enriquecidos de Windows y se ejecuta como utilidad y no como un programa instalado. Ejecutar el script no afecta al punto de conexión. Es posible que quiera implementar el script una vez o usar la automatización en curso, con herramientas y métodos de implementación automatizados estándar.

1. Inicia sesión en la consola de tu sensor OT y selecciona Configuración del sistema> Importar configuración> Información de Windows.

2. Seleccione Descargar script. Por ejemplo:

   

3. Copie el script en una unidad local y descomprímalo. Aparecen los archivos siguientes:

   • start.bat
   • settings.json
   • data.bin
   • run.bat

4. Ejecute el archivo run.bat.

   Una vez que el script se ejecuta para sondear el registro, aparece un archivo de instantánea de CX con la información del Registro. El nombre de archivo indica el nombre de máquina y la fecha y hora actuales de la instantánea con la sintaxis siguiente: cx_snapshot_[machinename]_[current date time].

Los archivos que genera el script son los siguientes:

• Permanecen en la unidad local hasta que los elimine.
• Deben permanecer en la misma ubicación. No separes los archivos que se generaron.
• Se sobrescriben si se vuelve a ejecutar el script.

Importar detalles del dispositivo

Después de ejecutar el script tal y como se ha descrito anteriormente, importe los datos generados en el sensor para ver los detalles del dispositivo en Inventario de dispositivos.

Para importar los detalles del dispositivo en el sensor:

1. Use herramientas y métodos estándar y automatizados para mover los archivos generados de cada punto de conexión de Windows a una ubicación accesible desde los sensores de OT.

   No actualices los nombres de archivo ni separes los archivos entre sí.

2. Inicia sesión en la consola de tu sensor OT y selecciona Configuración del sistema> Importar configuración> Información de Windows.

3. Seleccione Importar archivo y, luego, seleccione todos los archivos (Ctrl + A).

   

Visualización del informe de aplicaciones de dispositivos

Después de descargar y ejecutar el script, y de importar los datos generados al sensor, puede ver las aplicaciones de los dispositivos con un informe de minería de datos personalizado.

Para ver las aplicaciones de los dispositivos:

1. Inicie sesión en la consola del sensor de OT y seleccione Minería de datos.

2. Seleccione + Crear informe para crear un informe personalizado. En el campo Elegir categoría, seleccione Aplicaciones de los dispositivos. Por ejemplo:

   

3. El informe de las aplicaciones de los dispositivos se muestra en el área Mis informes.

Pasos siguientes

Para obtener más información, consulta Detectar estaciones de trabajo y servidores Windows con un script local e Importar datos adicionales para dispositivos OT detectados.