Sdílet prostřednictvím


Spuštění nástroje Client Analyzer ve Windows

Platí pro:

Možnost 1: Živá odpověď

Protokoly podpory analyzátoru Defenderu for Endpoint můžete shromažďovat vzdáleně pomocí live response.

Možnost 2: Místní spuštění nástroje MDE Client Analyzer

  1. Do zařízení s Windows, které chcete prozkoumat, si stáhněte nástroj MDE Client Analyzer nebo nástroj MDE Client Analyzer (Preview). Soubor se ve výchozím nastavení uloží do složky Stažené soubory.

  2. Extrahujte obsah MDEClientAnalyzer.zip souboru do dostupné složky.

  3. Otevřete příkazový řádek s oprávněními správce:

    1. Přejděte na Start a zadejte cmd.

    2. Klikněte pravým tlačítkem na Příkazový řádek a vyberte Spustit jako správce.

  4. Zadejte následující příkaz a stiskněte enter:

    *DrivePath*\MDEClientAnalyzer.cmd
    

    Nahraďte DrivePath cestou, kam jste extrahovali MDEClientAnalyzer, například:

    C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd
    

Kromě předchozího postupu můžete také shromáždit protokoly podpory analyzátoru pomocí živé odpovědi.

Poznámka

Na Windows 10 a 11 Windows Server 2019 a 2022 nebo Windows Server 2012R2 a 2016 s nainstalovaným moderním jednotným řešením volá skript analyzátoru klienta spustitelný soubor s názvem MDEClientAnalyzer.exe , který spustí testy připojení k adresám URL cloudové služby.

V Windows 8.1, Windows Server 2016 nebo jakékoli předchozí edici operačního systému, kde se k onboardingu používá Microsoft Monitoring Agent (MMA), volá skript analyzátoru klienta spustitelný soubor s názvem MDEClientAnalyzerPreviousVersion.exe ke spuštění testů připojení pro adresy URL příkazů a řízení (CnC) a zároveň volá nástroj TestCloudConnection.exe pro připojení Microsoft Monitoring Agenta pro adresy URL kanálů Cyber Data.

Důležité body, které byste měli mít na paměti

Všechny powershellové skripty a moduly, které jsou součástí analyzátoru, jsou podepsané Microsoftem. Pokud byly soubory nějakým způsobem změněny, očekává se, že se analyzátor ukončí s následující chybou:

Chyba analyzátoru klienta

Pokud se zobrazí tato chyba, výstup issuerInfo.txt obsahuje podrobné informace o tom, proč k tomu došlo, a o ovlivněném souboru:

Informace o vystaviteli

Příklad obsahu po úpravě MDEClientAnalyzer.ps1:

Upravený soubor ps1

Výsledný obsah balíčku ve Windows

Poznámka

Přesné zachycené soubory se můžou změnit v závislosti na faktorech, jako jsou:

  • Verze windows, ve kterých je analyzátor spuštěn.
  • Dostupnost kanálu protokolu událostí na počítači.
  • Počáteční stav senzoru EDR (inteligentní se zastaví, pokud počítač ještě není nasazený).
  • Pokud byl s příkazem analyzeru použit pokročilý parametr řešení potíží.

Ve výchozím nastavení obsahuje rozbalený MDEClientAnalyzerResult.zip soubor položky uvedené v následující tabulce:

Složka Položka Popis
MDEClientAnalyzer.htm Toto je hlavní výstupní soubor HTML, který bude obsahovat zjištění a pokyny, které může vytvořit skript analyzátoru spuštěný na počítači.
SystemInfoLogs AddRemovePrograms.csv Seznam softwaru nainstalovaného v x64 operačním systému x64 shromážděného z registru
SystemInfoLogs AddRemoveProgramsWOW64.csv Seznam softwaru nainstalovaného na platformě x86 v operačním systému x64 shromážděného z registru
SystemInfoLogs CertValidate.log Podrobný výsledek odvolání certifikátu provedeného voláním nástroje CertUtil
SystemInfoLogs dsregcmd.txt Výstup ze spuštění příkazu dsregcmd. Poskytuje podrobnosti o stavu Microsoft Entra počítače.
SystemInfoLogs IFEO.txt Výstup možností spuštění souboru obrázku nakonfigurovaných na počítači
SystemInfoLogs MDEClientAnalyzer.txt Jedná se o podrobný textový soubor s podrobnostmi o spuštění skriptu analyzátoru.
SystemInfoLogs MDEClientAnalyzer.xml Formát XML obsahující zjištění skriptů analyzátoru
SystemInfoLogs RegOnboardedInfoCurrent.Json Informace o nasazených počítačích shromážděné z registru ve formátu JSON
SystemInfoLogs RegOnboardingInfoPolicy.Json Konfigurace zásad onboardingu shromážděná z registru ve formátu JSON
SystemInfoLogs SCHANNEL.txt Podrobnosti o konfiguraci SCHANNEL použité na počítač, například shromážděné z registru
SystemInfoLogs SessionManager.txt Nastavení specifická pro Správce relací se shromažďují z registru.
SystemInfoLogs SSL_00010002.txt Podrobnosti o konfiguraci SSL použité na počítač shromážděný z registru
EventLogs utc.evtx Export protokolu událostí DiagTrack
EventLogs senseIR.evtx Export protokolu událostí automatizovaného šetření
EventLogs sense.evtx Export hlavního protokolu událostí senzoru
EventLogs OperationsManager.evtx Export protokolu událostí microsoft monitoring agenta
MdeConfigMgrLogs SecurityManagementConfiguration.json Konfigurace odeslané z MEM (Microsoft Endpoint Manager) k vynucení
MdeConfigMgrLogs policies.json Nastavení zásad, která se mají vynucovat na zařízení
MdeConfigMgrLogs report_xxx.json Odpovídající výsledky vynucení

Viz také

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.