Freigeben über


Ausführen der Clientanalyse unter Windows

Gilt für:

Option 1: Liveantwort

Sie können die Supportprotokolle des Defender für Endpunkt-Analysetools remote mithilfe von Live Response erfassen.

Option 2: Lokales Ausführen von MDE Client Analyzer

  1. Laden Sie das MDE Client Analyzer-Tool oder MDE Client Analyzer-Tool (Vorschau) auf das Windows-Gerät herunter, das Sie untersuchen möchten. Die Datei wird standardmäßig im Ordner Downloads gespeichert.

  2. Extrahieren Sie den Inhalt von in MDEClientAnalyzer.zip einen verfügbaren Ordner.

  3. Öffnen Sie eine Befehlszeile mit Administratorberechtigungen:

    1. Wechseln Sie zu Start, und geben Sie cmd ein.

    2. Klicken Sie mit der rechten Maustaste auf Eingabeaufforderung, und wählen Sie Als Administrator ausführen aus.

  4. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

    *DrivePath*\MDEClientAnalyzer.cmd
    

    Ersetzen Sie DrivePath durch den Pfad, in den Sie MDEClientAnalyzer extrahiert haben, z. B.:

    C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd
    

Zusätzlich zum vorherigen Verfahren können Sie auch die Supportprotokolle des Analysetools mithilfe von Liveantworten erfassen.

Hinweis

Am Windows 10 und 11, Windows Server 2019 und 2022 oder Windows Server 2012R2 und 2016 mit installierter moderner einheitlicher Lösung ruft das Clientanalyseskript eine ausführbare Datei mit dem Namen MDEClientAnalyzer.exe auf, um die Konnektivitätstests für Clouddienst-URLs auszuführen.

Auf Windows 8.1, Windows Server 2016 oder einer früheren Betriebssystemedition, in der Microsoft Monitoring Agent (MMA) zum Onboarding verwendet wird, ruft das Clientanalyseskript eine ausführbare Datei mit dem Namen MDEClientAnalyzerPreviousVersion.exe auf, um Konnektivitätstests für CnC-URLs (Command and Control) auszuführen und gleichzeitig das Microsoft Monitoring Agent-Konnektivitätstool TestCloudConnection.exe für Cyber Data-Kanal-URLs aufzurufen.

Wichtige Punkte, die sie berücksichtigen sollten

Alle im Analysetool enthaltenen PowerShell-Skripts und -Module sind von Microsoft signiert. Wenn Dateien in irgendeiner Weise geändert wurden, wird erwartet, dass das Analysetool mit dem folgenden Fehler beendet wird:

Clientanalysefehler

Wenn dieser Fehler angezeigt wird, enthält die issuerInfo.txt Ausgabe ausführliche Informationen dazu, warum dies geschehen ist, und die betroffene Datei:

Ausstellerinformationen

Beispielinhalte, nachdem MDEClientAnalyzer.ps1 geändert wurde:

Die geänderte ps1-Datei

Inhalt des Ergebnispakets unter Windows

Hinweis

Die genau erfassten Dateien können sich je nach Faktoren ändern, z. B.:

  • Die Version von Windows, unter der das Analysetool ausgeführt wird.
  • Verfügbarkeit des Ereignisprotokollkanals auf dem Computer.
  • Der Startstatus des EDR-Sensors (Sense wird beendet, wenn der Computer noch nicht integriert ist).
  • Wenn ein erweiterter Problembehandlungsparameter mit dem Analyzer-Befehl verwendet wurde.

Standardmäßig enthält die entpackte MDEClientAnalyzerResult.zip Datei die in der folgenden Tabelle aufgeführten Elemente:

Ordner Element Beschreibung
MDEClientAnalyzer.htm Dies ist die Standard HTML-Ausgabedatei, die die Ergebnisse und Anleitungen enthält, die das analysetoolskript auf dem Computer ausführen kann.
SystemInfoLogs AddRemovePrograms.csv Liste der installierten x64-Software auf dem x64-Betriebssystem, die aus der Registrierung gesammelt wurden
SystemInfoLogs AddRemoveProgramsWOW64.csv Liste der installierten x86-Software auf dem x64-Betriebssystem, die aus der Registrierung gesammelt wurden
SystemInfoLogs CertValidate.log Detailliertes Ergebnis der Zertifikatsperrung, die durch Aufrufen von CertUtil ausgeführt wurde
SystemInfoLogs dsregcmd.txt Ausgabe der Ausführung von dsregcmd. Dies enthält Details zur Microsoft Entra status des Computers.
SystemInfoLogs IFEO.txt Ausgabe der auf dem Computer konfigurierten Ausführungsoptionen für Bilddateien
SystemInfoLogs MDEClientAnalyzer.txt Dies ist eine ausführliche Textdatei, die mit Details zur Ausführung des Analyseskripts angezeigt wird.
SystemInfoLogs MDEClientAnalyzer.xml XML-Format, das die Ergebnisse des Analyseskripts enthält
SystemInfoLogs RegOnboardedInfoCurrent.Json Die integrierten Computerinformationen, die im JSON-Format aus der Registrierung gesammelt wurden
SystemInfoLogs RegOnboardingInfoPolicy.Json Die Konfiguration der Onboardingrichtlinie im JSON-Format aus der Registrierung
SystemInfoLogs SCHANNEL.txt Details zur SCHANNEL-Konfiguration , die auf den Computer angewendet wird, z. B. aus der Registrierung
SystemInfoLogs SessionManager.txt Session Manager-spezifische Einstellungen, die aus der Registrierung gesammelt werden
SystemInfoLogs SSL_00010002.txt Details zur SSL-Konfiguration , die auf den Computer angewendet wird, der aus der Registrierung erfasst wurde
EventLogs utc.evtx Exportieren des DiagTrack-Ereignisprotokolls
EventLogs senseIR.evtx Exportieren des Ereignisprotokolls für automatisierte Untersuchung
EventLogs sense.evtx Exportieren des Sensor-Standard-Ereignisprotokolls
EventLogs OperationsManager.evtx Exportieren des Microsoft Monitoring Agent-Ereignisprotokolls
MdeConfigMgrLogs SecurityManagementConfiguration.json Konfigurationen, die von MEM (Microsoft Endpoint Manager) zur Erzwingung gesendet werden
MdeConfigMgrLogs policies.json Richtlinieneinstellungen, die auf dem Gerät erzwungen werden sollen
MdeConfigMgrLogs report_xxx.json Entsprechende Erzwingungsergebnisse

Siehe auch

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.