Arricchire i dati della workstation e del server Windows con uno script locale (anteprima pubblica)

Nota

Questa funzionalità è disponibile in ANTEPRIMA. Le condizioni supplementari di anteprima di Azure includono altre condizioni legali applicabili alle funzionalità di Azure in versione beta, in anteprima o altrimenti non ancora rilasciate in disponibilità generale.

Oltre a rilevare i dispositivi OT nella rete, usare Defender per IoT per individuare workstation e server Microsoft Windows e arricchire i dati della workstation e del server per i dispositivi già rilevati. Analogamente ad altri dispositivi rilevati, le workstation e i server Windows rilevati vengono visualizzati nell'inventario dei dispositivi. Le pagine Inventario dispositivi nel sensore e nella console di gestione locale mostrano dati arricchiti sui dispositivi Windows, inclusi i dati relativi al sistema operativo Windows e alle applicazioni installate, i dati a livello di patch, le porte aperte e altro ancora.

Questo articolo descrive come usare uno strumento WMI basato su Defender per IoT per ottenere informazioni estese dai dispositivi Windows, ad esempio workstation, server e altro ancora. Eseguire lo script WMI nei dispositivi Windows per ottenere informazioni estese, aumentando l'inventario del dispositivo e la copertura della sicurezza. Anche se è anche possibile usare le analisi WMI pianificate per ottenere questi dati, gli script possono essere eseguiti in locale per reti regolamentate con cascata e elementi unidirezionali se la connettività WMI non è possibile.

Lo script descritto in questo articolo restituisce i dettagli seguenti su ogni dispositivo rilevato:

• Indirizzo IP
• Indirizzo MAC
• Sistema operativo
• Service Pack
• Programmi installati
• Ultimo aggiornamento knowledge base

Se un sensore di rete OT ha già rilevato il dispositivo, eseguendo lo script descritto in questo articolo recupera le informazioni e i dati di arricchimento del dispositivo.

Prerequisiti

Prima di eseguire le procedure in questo articolo, è necessario disporre di:

• Sensore di rete OT installato, configurato e attivato.

• Accesso al sensore di rete OT come utente Amministrazione. Per altre informazioni, vedere Utenti e ruoli locali per il monitoraggio OT con Defender per IoT.

• Autorizzazioni di amministratore per tutti i dispositivi in cui si intende eseguire lo script.

Sistemi operativi supportati

Lo script descritto in questo articolo è supportato per i sistemi operativi Windows seguenti:

• Windows XP
• Windows 2000
• Windows NT
• Windows 7
• Windows 10
• Windows Server 2003/2008/2012/2016/2019

Scaricare ed eseguire lo script

Questa procedura descrive come distribuire ed eseguire uno script nella workstation e nei server Windows da monitorare in Defender per IoT.

Lo script rileva i dati di Windows arricchiti e viene eseguito come utilità e non come programma installato. L'esecuzione dello script non influisce sull'endpoint. È possibile distribuire lo script una volta o usare l'automazione in corso usando metodi e strumenti di distribuzione automatizzati standard.

1. Accedere alla console del sensore OT e selezionare Impostazioni di sistema Importare le impostazioni>> diWindows.

2. Selezionare Scarica script. Ad esempio:

   

3. Copiare lo script in un'unità locale e decomprimerlo. Vengono visualizzati i file seguenti:

   • start.bat
   • settings.json
   • data.bin
   • run.bat

4. Eseguire il run.bat file.

   Dopo l'esecuzione dello script per eseguire il probe del Registro di sistema, viene visualizzato un file CX-snapshot con le informazioni del Registro di sistema. Il nome del file indica il nome del computer e la data e l'ora correnti dello snapshot con la sintassi seguente: cx_snapshot_[machinename]_[current date time].

I file generati dallo script includono:

• Rimanere sull'unità locale finché non vengono eliminati.
• Deve rimanere nella stessa posizione. Non separare i file generati.
• Se si esegue di nuovo lo script, viene sovrascritto.

Importare i dettagli del dispositivo

Dopo aver eseguito lo script come descritto in precedenza, importare i dati generati nel sensore per visualizzare i dettagli del dispositivo nell'inventario dispositivi.

Per importare i dettagli del dispositivo nel sensore:

1. Usare metodi e strumenti standard, automatizzati per spostare i file generati da ogni endpoint di Windows in una posizione accessibile dai sensori OT.

   Non aggiornare i file o separare i file tra loro.

2. Accedere alla console del sensore OT e selezionare Impostazioni di sistema Importare le impostazioni>> diWindows.

3. Selezionare Importa file e quindi selezionare tutti i file (CTRL+A).

   

Visualizzare il report delle applicazioni dei dispositivi

Dopo aver scaricato ed eseguito lo script, importando i dati generati nel sensore, è possibile visualizzare le applicazioni dei dispositivi con un report di data mining personalizzato.

Per visualizzare le applicazioni dei dispositivi:

1. Accedere alla console del sensore OT e selezionare Data mining.

2. Selezionare + Crea report per creare un report personalizzato. Nel campo Scegli categoria selezionare Applicazioni dispositivi. Ad esempio:

   

3. Il report delle applicazioni dei dispositivi viene visualizzato nell'area Report personali .

Passaggi successivi

Per altre informazioni, vedere Rilevare workstation e server Windows con uno script locale eImportare dati aggiuntivi per i dispositivi OT rilevati.