Megosztás a következőn keresztül:


Az ügyfélelemző futtatása Windows rendszeren

Érintett szolgáltatás:

1. lehetőség: Élő válasz

A Végponthoz készült Defender elemző támogatási naplóit távolról is összegyűjtheti az élő válasz használatával.

2. lehetőség: Az ügyfélelemző helyi futtatása MDE

  1. Töltse le a MDE Ügyfélelemző eszközt vagy MDE Ügyfélelemző eszközt (előzetes verzió) a vizsgálni kívánt Windows-eszközre. A fájl alapértelmezés szerint a Letöltések mappába lesz mentve.

  2. Bontsa MDEClientAnalyzer.zip ki a tartalmát egy elérhető mappába.

  3. Nyisson meg egy rendszergazdai engedélyekkel rendelkező parancssort:

    1. Nyissa meg a Start menüt , és írja be a cmd parancsot.

    2. Kattintson a jobb gombbal a Parancssor elemre , és válassza a Futtatás rendszergazdaként parancsot.

  4. Írja be a következő parancsot, majd nyomja le az Enter billentyűt:

    *DrivePath*\MDEClientAnalyzer.cmd
    

    Cserélje le a DrivePath elemet az MDEClientAnalyzer kinyerési útvonalára, például:

    C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd
    

Az előző eljáráson kívül élő válasz használatával is gyűjtheti az elemző támogatási naplóit.

Megjegyzés:

A Windows 10 2019-Windows Server 2019-ben és 2022-ben, illetve Windows Server 2012R2-ben és 2016-Windows Server 2012R2-ben és 2016-on a modern egységes megoldás telepítve van, az ügyfélelemző szkript egy nevű MDEClientAnalyzer.exe végrehajtható fájlba hívja a hívásokat a felhőszolgáltatás URL-címeivel való kapcsolati tesztek futtatásához.

A Windows 8.1-ben Windows Server 2016 vagy bármely korábbi operációsrendszer-kiadásban, ahol a Microsoft Monitoring Agentet (MMA) használják az előkészítéshez, az ügyfélelemző szkript egy végrehajtható fájlba hívja a parancsMDEClientAnalyzerPreviousVersion.exe- és vezérlési (CnC) URL-címek kapcsolati tesztjeinek futtatását, miközben a Kiberadat-csatorna URL-címeinek Microsoft Monitoring Agent kapcsolati eszközébe TestCloudConnection.exe is betárcsáz.

Fontos szem előtt tartandó szempontok

Az elemző összes PowerShell-szkriptje és modulja Microsoft-aláírással van ellátva. Ha a fájlokat bármilyen módon módosították, akkor az elemző várhatóan kilép a következő hibával:

Az ügyfélelemző hibája

Ha ezt a hibát látja, a issuerInfo.txt kimenete részletes információkat tartalmaz a hiba okáról és az érintett fájlról:

A kiállító adatai

Példa a tartalomra MDEClientAnalyzer.ps1 módosítása után:

A módosított ps1 fájl

Eredménycsomag tartalma Windows rendszeren

Megjegyzés:

A rögzített fájlok pontos neve az alábbi tényezőktől függően változhat:

  • Annak az ablaknak a verziója, amelyen az elemző fut.
  • Az eseménynapló-csatorna rendelkezésre állása a gépen.
  • Az EDR-érzékelő indítási állapota (a Segéd leáll, ha a gép még nincs regisztrálva).
  • Ha speciális hibaelhárítási paramétert használt az analyzer paranccsal.

Alapértelmezés szerint a kicsomagolt MDEClientAnalyzerResult.zip fájl az alábbi táblázatban felsorolt elemeket tartalmazza:

Mappa Elem Leírás
MDEClientAnalyzer.htm Ez a fő HTML-kimeneti fájl, amely tartalmazza azokat az eredményeket és útmutatást, amelyeket az elemző szkript futtathat a gépen.
SystemInfoLogs AddRemovePrograms.csv A beállításjegyzékből gyűjtött x64 operációs rendszeren telepített x64-szoftverek listája
SystemInfoLogs AddRemoveProgramsWOW64.csv A beállításjegyzékből gyűjtött x64 operációs rendszerre telepített x86-os szoftverek listája
SystemInfoLogs CertValidate.log A Tanúsítványbehívással végrehajtott tanúsítvány-visszavonás részletes eredménye
SystemInfoLogs dsregcmd.txt Kimenet a dsregcmd futtatásából. Ez részletesen ismerteti a gép Microsoft Entra állapotát.
SystemInfoLogs IFEO.txt A számítógépen konfigurált képfájl-végrehajtási beállítások kimenete
SystemInfoLogs MDEClientAnalyzer.txt Ez egy részletes szövegfájl, amely az elemzőszkript végrehajtásának részleteit mutatja be.
SystemInfoLogs MDEClientAnalyzer.xml Az elemzőszkript eredményeit tartalmazó XML-formátum
SystemInfoLogs RegOnboardedInfoCurrent.Json A regisztrációs adatbázisból JSON formátumban gyűjtött előkészített gépadatok
SystemInfoLogs RegOnboardingInfoPolicy.Json A regisztrációs szabályzat beállításjegyzékből JSON formátumban gyűjtött konfigurációja
SystemInfoLogs SCHANNEL.txt A gépre alkalmazott, a beállításjegyzékből gyűjtött SCHANNEL-konfiguráció részletei
SystemInfoLogs SessionManager.txt Munkamenet-kezelő-specifikus beállítások összegyűjtése a beállításjegyzékből
SystemInfoLogs SSL_00010002.txt A beállításjegyzékből gyűjtött gépre alkalmazott SSL-konfiguráció részletei
EventLogs utc.evtx DiagTrack-eseménynapló exportálása
EventLogs senseIR.evtx Az automatizált vizsgálat eseménynaplójának exportálása
EventLogs sense.evtx Az érzékelő fő eseménynaplójának exportálása
EventLogs OperationsManager.evtx A Microsoft Monitoring Agent eseménynaplójának exportálása
MdeConfigMgrLogs SecurityManagementConfiguration.json A MEM (Microsoft Endpoint Manager) által kényszerítés céljából küldött konfigurációk
MdeConfigMgrLogs policies.json Az eszközön kikényszeríteni kívánt szabályzatbeállítások
MdeConfigMgrLogs report_xxx.json Megfelelő kényszerítési eredmények

Lásd még

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.