Jaa


Suorita asiakkaan analysointitoiminto Windowsissa

Koskee seuraavia:

Vaihtoehto 1: Reaaliaikainen vastaus

Voit kerätä Defender for Endpoint Analyzer -tukilokeja etäyhteyden kautta käyttämällä reaaliaikaista vastausta.

Vaihtoehto 2: Suorita MDE Client Analyzer paikallisesti

  1. Lataa MDE Client Analyzer -työkalu tai MDE Client Analyzer -työkalu (esikatselu) tutkittavaan Windows-laitteeseen. Tiedosto tallennetaan oletusarvoisesti Lataukset-kansioon.

  2. Pura kohteen sisältö MDEClientAnalyzer.zip käytettävissä olevaan kansioon.

  3. Avaa komentorivi, jolla on järjestelmänvalvojan oikeudet:

    1. Siirry Aloitus-kohtaan ja kirjoita cmd.

    2. Napsauta komentoriviä hiiren kakkospainikkeella ja valitse Suorita järjestelmänvalvojana.

  4. Kirjoita seuraava komento ja paina Enter-näppäintä:

    *DrivePath*\MDEClientAnalyzer.cmd
    

    Korvaa DrivePath polulla, josta poimit MDEClientAnalyzerin, esimerkiksi:

    C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd
    

Edellisen toimintosarjan lisäksi voit myös kerätä analysoijan tukilokeja käyttämällä reaaliaikaista vastausta..

Huomautus

Windows 10 ja 11 Windows Server 2019 ja 2022 tai Windows Server 2012R2 ja 2012R2 ja 2016, kun moderni yhdistetty ratkaisu on asennettuna, asiakasanalysaattorin komentosarja kutsuu suoritettavaan tiedostoon, jota kutsutaan MDEClientAnalyzer.exe yhteystestien suorittamiseksi pilvipalvelun URL-osoitteisiin.

Windows 8.1 Windows Server 2016 tai missä tahansa aiemmassa käyttöjärjestelmäversiossa, jossa Microsoftin valvonta-agenttia (MMA) käytetään perehdyttämiseen, asiakasanalysaattorin komentosarja kutsuu suoritettavaan tiedostoon, jota kutsutaan MDEClientAnalyzerPreviousVersion.exe suorittamaan komentojen ja ohjausobjektien (CnC) URL-osoitteiden yhteystestit ja samalla kutsumaan Microsoft Monitoring Agentin yhteystyökalua TestCloudConnection.exe Cyber Data -kanavan URL-osoitteille.

Tärkeät tärkeät seikat, jotka on syytä pitää mielessä

Kaikki analysointiin sisältyvät PowerShell-komentosarjat ja -moduulit ovat Microsoftin allekirjoittamia. Jos tiedostoja on muokattu millään tavalla, analysoijan odotetaan poistuvan seuraavan virheen kanssa:

Asiakasanalysaattorin virhe

Jos näet tämän virheen, issuerInfo.txt tuloste sisältää yksityiskohtaisia tietoja siitä, miksi tämä tapahtui ja tiedosto, jota asia koskee:

Myöntäjän tiedot

Esimerkkisisältö MDEClientAnalyzer.ps1 muokkaamisen jälkeen:

Muokattu ps1-tiedosto

Tulospaketin sisältö Windowsissa

Huomautus

Tallenntut tiedostot voivat muuttua esimerkiksi tekijöiden mukaan:

  • Sen windowsin versio, jossa analysoijaa käytetään.
  • Tapahtumalokikanavan käytettävyys tietokoneessa.
  • EDR-tunnistimen käynnistystila (Aisti pysäytetään, jos kone ei ole vielä perehdytystilassa).
  • Jos analysoijan komennon kanssa käytettiin edistynyttä vianmääritysparametria.

Oletuksena pakkaamaton MDEClientAnalyzerResult.zip tiedosto sisältää seuraavassa taulukossa luetellut kohteet:

Kansio Kohde Kuvaus
MDEClientAnalyzer.htm Tämä on tärkein HTML-tulostetiedosto, joka sisältää havaintoja ja ohjeita, joita laitteessa suoritettava analyzer-komentosarja voi tuottaa.
SystemInfoLogs AddRemovePrograms.csv Rekisteristä kerättyjen x64-käyttöjärjestelmän asennettujen x64-ohjelmistojen luettelo
SystemInfoLogs AddRemoveProgramsWOW64.csv Rekisteristä kerättyjen x86-asennettujen ohjelmistojen luettelo x64-käyttöjärjestelmässä
SystemInfoLogs CertValidate.log Yksityiskohtainen tulos varmenteen kumoamisesta suoritettu kutsumalla CertUtil-apuohjelmaan
SystemInfoLogs dsregcmd.txt Tulos dsregcmd-komennon suorittamisesta. Tämä antaa tietoja tietokoneen Microsoft Entra tilasta.
SystemInfoLogs IFEO.txt Koneella määritettyjen kuvatiedostojen suoritusasetusten tulos
SystemInfoLogs MDEClientAnalyzer.txt Tämä on yksityiskohtainen tekstitiedosto, joka näyttää analyzer-komentosarjan suorittamisen tiedot.
SystemInfoLogs MDEClientAnalyzer.xml Analysoijan komentosarjahavainnot sisältävä XML-muoto
SystemInfoLogs RegOnboardedInfoCurrent.Json Rekisteristä JSON-muodossa kerätyt perehdytyt konetiedot
SystemInfoLogs RegOnboardingInfoPolicy.Json Rekisteristä JSON-muodossa kerätty perehdyttämiskäytännön määritys
SystemInfoLogs SCHANNEL.txt Tietoja SCHANNEL-määrityksistä , joita käytetään laitteessa, kuten rekisteristä kerättynä
SystemInfoLogs SessionManager.txt Istuntojen hallinnan tiettyjen asetusten kerääminen rekisteristä
SystemInfoLogs SSL_00010002.txt Rekisteristä kerättyyn koneeseen sovellettavan SSL-määrityksen tiedot
EventLogs utc.evtx DiagTrack-tapahtumalokin vienti
EventLogs senseIR.evtx Automatisoidun tutkinnan tapahtumalokin vienti
EventLogs sense.evtx Tunnistimen päätapahtumalokin vienti
EventLogs OperationsManager.evtx Microsoftin valvonta-agentin tapahtumalokin vienti
MdeConfigMgrLogs SecurityManagementConfiguration.json Mem:stä (Microsoft Endpoint Managerista) pakotetelta lähetetyt määritykset
MdeConfigMgrLogs policies.json Laitteessa käyttöön otettavat käytäntöasetukset
MdeConfigMgrLogs report_xxx.json Vastaavat pakotustulokset

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.