Suorita asiakkaan analysointitoiminto Windowsissa
Koskee seuraavia:
Vaihtoehto 1: Reaaliaikainen vastaus
Voit kerätä Defender for Endpoint Analyzer -tukilokeja etäyhteyden kautta käyttämällä reaaliaikaista vastausta.
Vaihtoehto 2: Suorita MDE Client Analyzer paikallisesti
Lataa MDE Client Analyzer -työkalu tai MDE Client Analyzer -työkalu (esikatselu) tutkittavaan Windows-laitteeseen. Tiedosto tallennetaan oletusarvoisesti Lataukset-kansioon.
Pura kohteen sisältö
MDEClientAnalyzer.zipkäytettävissä olevaan kansioon.Avaa komentorivi, jolla on järjestelmänvalvojan oikeudet:
Siirry Aloitus-kohtaan ja kirjoita cmd.
Napsauta komentoriviä hiiren kakkospainikkeella ja valitse Suorita järjestelmänvalvojana.
Kirjoita seuraava komento ja paina Enter-näppäintä:
*DrivePath*\MDEClientAnalyzer.cmdKorvaa DrivePath polulla, josta poimit MDEClientAnalyzerin, esimerkiksi:
C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd
Edellisen toimintosarjan lisäksi voit myös kerätä analysoijan tukilokeja käyttämällä reaaliaikaista vastausta..
Huomautus
Windows 10 ja 11 Windows Server 2019 ja 2022 tai Windows Server 2012R2 ja 2012R2 ja 2016, kun moderni yhdistetty ratkaisu on asennettuna, asiakasanalysaattorin komentosarja kutsuu suoritettavaan tiedostoon, jota kutsutaan MDEClientAnalyzer.exe yhteystestien suorittamiseksi pilvipalvelun URL-osoitteisiin.
Windows 8.1 Windows Server 2016 tai missä tahansa aiemmassa käyttöjärjestelmäversiossa, jossa Microsoftin valvonta-agenttia (MMA) käytetään perehdyttämiseen, asiakasanalysaattorin komentosarja kutsuu suoritettavaan tiedostoon, jota kutsutaan MDEClientAnalyzerPreviousVersion.exe suorittamaan komentojen ja ohjausobjektien (CnC) URL-osoitteiden yhteystestit ja samalla kutsumaan Microsoft Monitoring Agentin yhteystyökalua TestCloudConnection.exe Cyber Data -kanavan URL-osoitteille.
Tärkeät tärkeät seikat, jotka on syytä pitää mielessä
Kaikki analysointiin sisältyvät PowerShell-komentosarjat ja -moduulit ovat Microsoftin allekirjoittamia. Jos tiedostoja on muokattu millään tavalla, analysoijan odotetaan poistuvan seuraavan virheen kanssa:
Jos näet tämän virheen, issuerInfo.txt tuloste sisältää yksityiskohtaisia tietoja siitä, miksi tämä tapahtui ja tiedosto, jota asia koskee:
Esimerkkisisältö MDEClientAnalyzer.ps1 muokkaamisen jälkeen:
Tulospaketin sisältö Windowsissa
Huomautus
Tallenntut tiedostot voivat muuttua esimerkiksi tekijöiden mukaan:
- Sen windowsin versio, jossa analysoijaa käytetään.
- Tapahtumalokikanavan käytettävyys tietokoneessa.
- EDR-tunnistimen käynnistystila (Aisti pysäytetään, jos kone ei ole vielä perehdytystilassa).
- Jos analysoijan komennon kanssa käytettiin edistynyttä vianmääritysparametria.
Oletuksena pakkaamaton MDEClientAnalyzerResult.zip tiedosto sisältää seuraavassa taulukossa luetellut kohteet:
| Kansio | Kohde | Kuvaus |
|---|---|---|
MDEClientAnalyzer.htm |
Tämä on tärkein HTML-tulostetiedosto, joka sisältää havaintoja ja ohjeita, joita laitteessa suoritettava analyzer-komentosarja voi tuottaa. | |
SystemInfoLogs |
AddRemovePrograms.csv |
Rekisteristä kerättyjen x64-käyttöjärjestelmän asennettujen x64-ohjelmistojen luettelo |
SystemInfoLogs |
AddRemoveProgramsWOW64.csv |
Rekisteristä kerättyjen x86-asennettujen ohjelmistojen luettelo x64-käyttöjärjestelmässä |
SystemInfoLogs |
CertValidate.log |
Yksityiskohtainen tulos varmenteen kumoamisesta suoritettu kutsumalla CertUtil-apuohjelmaan |
SystemInfoLogs |
dsregcmd.txt |
Tulos dsregcmd-komennon suorittamisesta. Tämä antaa tietoja tietokoneen Microsoft Entra tilasta. |
SystemInfoLogs |
IFEO.txt |
Koneella määritettyjen kuvatiedostojen suoritusasetusten tulos |
SystemInfoLogs |
MDEClientAnalyzer.txt |
Tämä on yksityiskohtainen tekstitiedosto, joka näyttää analyzer-komentosarjan suorittamisen tiedot. |
SystemInfoLogs |
MDEClientAnalyzer.xml |
Analysoijan komentosarjahavainnot sisältävä XML-muoto |
SystemInfoLogs |
RegOnboardedInfoCurrent.Json |
Rekisteristä JSON-muodossa kerätyt perehdytyt konetiedot |
SystemInfoLogs |
RegOnboardingInfoPolicy.Json |
Rekisteristä JSON-muodossa kerätty perehdyttämiskäytännön määritys |
SystemInfoLogs |
SCHANNEL.txt |
Tietoja SCHANNEL-määrityksistä , joita käytetään laitteessa, kuten rekisteristä kerättynä |
SystemInfoLogs |
SessionManager.txt |
Istuntojen hallinnan tiettyjen asetusten kerääminen rekisteristä |
SystemInfoLogs |
SSL_00010002.txt |
Rekisteristä kerättyyn koneeseen sovellettavan SSL-määrityksen tiedot |
EventLogs |
utc.evtx |
DiagTrack-tapahtumalokin vienti |
EventLogs |
senseIR.evtx |
Automatisoidun tutkinnan tapahtumalokin vienti |
EventLogs |
sense.evtx |
Tunnistimen päätapahtumalokin vienti |
EventLogs |
OperationsManager.evtx |
Microsoftin valvonta-agentin tapahtumalokin vienti |
MdeConfigMgrLogs |
SecurityManagementConfiguration.json |
Mem:stä (Microsoft Endpoint Managerista) pakotetelta lähetetyt määritykset |
MdeConfigMgrLogs |
policies.json |
Laitteessa käyttöön otettavat käytäntöasetukset |
MdeConfigMgrLogs |
report_xxx.json |
Vastaavat pakotustulokset |
Tutustu myös seuraaviin ohjeartikkeleihin:
- Asiakkaan analysointitoiminnon yleiskatsaus
- Lataa ja suorita asiakkaan analysointitoiminto
- Tietojen kerääminen Windowsin edistynyttä vianmääritystä varten
- Tietoja analysointitoiminnon HTML-raportista
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.