Spuštění nástroje Client Analyzer ve Windows
Platí pro:
Možnost 1: Živá odpověď
Protokoly podpory analyzátoru Defenderu for Endpoint můžete shromažďovat vzdáleně pomocí live response.
Možnost 2: Místní spuštění nástroje MDE Client Analyzer
Do zařízení s Windows, které chcete prozkoumat, si stáhněte nástroj MDE Client Analyzer nebo nástroj MDE Client Analyzer (Preview). Soubor se ve výchozím nastavení uloží do složky Stažené soubory.
Extrahujte obsah
MDEClientAnalyzer.zipsouboru do dostupné složky.Otevřete příkazový řádek s oprávněními správce:
Přejděte na Start a zadejte cmd.
Klikněte pravým tlačítkem na Příkazový řádek a vyberte Spustit jako správce.
Zadejte následující příkaz a stiskněte enter:
*DrivePath*\MDEClientAnalyzer.cmdNahraďte DrivePath cestou, kam jste extrahovali MDEClientAnalyzer, například:
C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd
Kromě předchozího postupu můžete také shromáždit protokoly podpory analyzátoru pomocí živé odpovědi.
Poznámka
Na Windows 10 a 11 Windows Server 2019 a 2022 nebo Windows Server 2012R2 a 2016 s nainstalovaným moderním jednotným řešením volá skript analyzátoru klienta spustitelný soubor s názvem MDEClientAnalyzer.exe , který spustí testy připojení k adresám URL cloudové služby.
V Windows 8.1, Windows Server 2016 nebo jakékoli předchozí edici operačního systému, kde se k onboardingu používá Microsoft Monitoring Agent (MMA), volá skript analyzátoru klienta spustitelný soubor s názvem MDEClientAnalyzerPreviousVersion.exe ke spuštění testů připojení pro adresy URL příkazů a řízení (CnC) a zároveň volá nástroj TestCloudConnection.exe pro připojení Microsoft Monitoring Agenta pro adresy URL kanálů Cyber Data.
Důležité body, které byste měli mít na paměti
Všechny powershellové skripty a moduly, které jsou součástí analyzátoru, jsou podepsané Microsoftem. Pokud byly soubory nějakým způsobem změněny, očekává se, že se analyzátor ukončí s následující chybou:
Pokud se zobrazí tato chyba, výstup issuerInfo.txt obsahuje podrobné informace o tom, proč k tomu došlo, a o ovlivněném souboru:
Příklad obsahu po úpravě MDEClientAnalyzer.ps1:
Výsledný obsah balíčku ve Windows
Poznámka
Přesné zachycené soubory se můžou změnit v závislosti na faktorech, jako jsou:
- Verze windows, ve kterých je analyzátor spuštěn.
- Dostupnost kanálu protokolu událostí na počítači.
- Počáteční stav senzoru EDR (inteligentní se zastaví, pokud počítač ještě není nasazený).
- Pokud byl s příkazem analyzeru použit pokročilý parametr řešení potíží.
Ve výchozím nastavení obsahuje rozbalený MDEClientAnalyzerResult.zip soubor položky uvedené v následující tabulce:
| Složka | Položka | Popis |
|---|---|---|
MDEClientAnalyzer.htm |
Toto je hlavní výstupní soubor HTML, který bude obsahovat zjištění a pokyny, které může vytvořit skript analyzátoru spuštěný na počítači. | |
SystemInfoLogs |
AddRemovePrograms.csv |
Seznam softwaru nainstalovaného v x64 operačním systému x64 shromážděného z registru |
SystemInfoLogs |
AddRemoveProgramsWOW64.csv |
Seznam softwaru nainstalovaného na platformě x86 v operačním systému x64 shromážděného z registru |
SystemInfoLogs |
CertValidate.log |
Podrobný výsledek odvolání certifikátu provedeného voláním nástroje CertUtil |
SystemInfoLogs |
dsregcmd.txt |
Výstup ze spuštění příkazu dsregcmd. Poskytuje podrobnosti o stavu Microsoft Entra počítače. |
SystemInfoLogs |
IFEO.txt |
Výstup možností spuštění souboru obrázku nakonfigurovaných na počítači |
SystemInfoLogs |
MDEClientAnalyzer.txt |
Jedná se o podrobný textový soubor s podrobnostmi o spuštění skriptu analyzátoru. |
SystemInfoLogs |
MDEClientAnalyzer.xml |
Formát XML obsahující zjištění skriptů analyzátoru |
SystemInfoLogs |
RegOnboardedInfoCurrent.Json |
Informace o nasazených počítačích shromážděné z registru ve formátu JSON |
SystemInfoLogs |
RegOnboardingInfoPolicy.Json |
Konfigurace zásad onboardingu shromážděná z registru ve formátu JSON |
SystemInfoLogs |
SCHANNEL.txt |
Podrobnosti o konfiguraci SCHANNEL použité na počítač, například shromážděné z registru |
SystemInfoLogs |
SessionManager.txt |
Nastavení specifická pro Správce relací se shromažďují z registru. |
SystemInfoLogs |
SSL_00010002.txt |
Podrobnosti o konfiguraci SSL použité na počítač shromážděný z registru |
EventLogs |
utc.evtx |
Export protokolu událostí DiagTrack |
EventLogs |
senseIR.evtx |
Export protokolu událostí automatizovaného šetření |
EventLogs |
sense.evtx |
Export hlavního protokolu událostí senzoru |
EventLogs |
OperationsManager.evtx |
Export protokolu událostí microsoft monitoring agenta |
MdeConfigMgrLogs |
SecurityManagementConfiguration.json |
Konfigurace odeslané z MEM (Microsoft Endpoint Manager) k vynucení |
MdeConfigMgrLogs |
policies.json |
Nastavení zásad, která se mají vynucovat na zařízení |
MdeConfigMgrLogs |
report_xxx.json |
Odpovídající výsledky vynucení |
Viz také
- Přehled nástroje Client Analyzer
- Stažení a spuštění nástroje Client Analyzer
- Shromažďování dat pro pokročilé řešení potíží ve Windows
- Pochopení sestavy analyzátoru HTML
Tip
Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.