Az ügyfélelemző futtatása Windows rendszeren
Érintett szolgáltatás:
1. lehetőség: Élő válasz
A Végponthoz készült Defender elemző támogatási naplóit távolról is összegyűjtheti az élő válasz használatával.
2. lehetőség: Az ügyfélelemző helyi futtatása MDE
Töltse le a MDE Ügyfélelemző eszközt vagy MDE Ügyfélelemző eszközt (előzetes verzió) a vizsgálni kívánt Windows-eszközre. A fájl alapértelmezés szerint a Letöltések mappába lesz mentve.
Bontsa
MDEClientAnalyzer.zipki a tartalmát egy elérhető mappába.Nyisson meg egy rendszergazdai engedélyekkel rendelkező parancssort:
Nyissa meg a Start menüt , és írja be a cmd parancsot.
Kattintson a jobb gombbal a Parancssor elemre , és válassza a Futtatás rendszergazdaként parancsot.
Írja be a következő parancsot, majd nyomja le az Enter billentyűt:
*DrivePath*\MDEClientAnalyzer.cmdCserélje le a DrivePath elemet az MDEClientAnalyzer kinyerési útvonalára, például:
C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd
Az előző eljáráson kívül élő válasz használatával is gyűjtheti az elemző támogatási naplóit.
Megjegyzés:
A Windows 10 2019-Windows Server 2019-ben és 2022-ben, illetve Windows Server 2012R2-ben és 2016-Windows Server 2012R2-ben és 2016-on a modern egységes megoldás telepítve van, az ügyfélelemző szkript egy nevű MDEClientAnalyzer.exe végrehajtható fájlba hívja a hívásokat a felhőszolgáltatás URL-címeivel való kapcsolati tesztek futtatásához.
A Windows 8.1-ben Windows Server 2016 vagy bármely korábbi operációsrendszer-kiadásban, ahol a Microsoft Monitoring Agentet (MMA) használják az előkészítéshez, az ügyfélelemző szkript egy végrehajtható fájlba hívja a parancsMDEClientAnalyzerPreviousVersion.exe- és vezérlési (CnC) URL-címek kapcsolati tesztjeinek futtatását, miközben a Kiberadat-csatorna URL-címeinek Microsoft Monitoring Agent kapcsolati eszközébe TestCloudConnection.exe is betárcsáz.
Fontos szem előtt tartandó szempontok
Az elemző összes PowerShell-szkriptje és modulja Microsoft-aláírással van ellátva. Ha a fájlokat bármilyen módon módosították, akkor az elemző várhatóan kilép a következő hibával:
Ha ezt a hibát látja, a issuerInfo.txt kimenete részletes információkat tartalmaz a hiba okáról és az érintett fájlról:
Példa a tartalomra MDEClientAnalyzer.ps1 módosítása után:
Eredménycsomag tartalma Windows rendszeren
Megjegyzés:
A rögzített fájlok pontos neve az alábbi tényezőktől függően változhat:
- Annak az ablaknak a verziója, amelyen az elemző fut.
- Az eseménynapló-csatorna rendelkezésre állása a gépen.
- Az EDR-érzékelő indítási állapota (a Segéd leáll, ha a gép még nincs regisztrálva).
- Ha speciális hibaelhárítási paramétert használt az analyzer paranccsal.
Alapértelmezés szerint a kicsomagolt MDEClientAnalyzerResult.zip fájl az alábbi táblázatban felsorolt elemeket tartalmazza:
| Mappa | Elem | Leírás |
|---|---|---|
MDEClientAnalyzer.htm |
Ez a fő HTML-kimeneti fájl, amely tartalmazza azokat az eredményeket és útmutatást, amelyeket az elemző szkript futtathat a gépen. | |
SystemInfoLogs |
AddRemovePrograms.csv |
A beállításjegyzékből gyűjtött x64 operációs rendszeren telepített x64-szoftverek listája |
SystemInfoLogs |
AddRemoveProgramsWOW64.csv |
A beállításjegyzékből gyűjtött x64 operációs rendszerre telepített x86-os szoftverek listája |
SystemInfoLogs |
CertValidate.log |
A Tanúsítványbehívással végrehajtott tanúsítvány-visszavonás részletes eredménye |
SystemInfoLogs |
dsregcmd.txt |
Kimenet a dsregcmd futtatásából. Ez részletesen ismerteti a gép Microsoft Entra állapotát. |
SystemInfoLogs |
IFEO.txt |
A számítógépen konfigurált képfájl-végrehajtási beállítások kimenete |
SystemInfoLogs |
MDEClientAnalyzer.txt |
Ez egy részletes szövegfájl, amely az elemzőszkript végrehajtásának részleteit mutatja be. |
SystemInfoLogs |
MDEClientAnalyzer.xml |
Az elemzőszkript eredményeit tartalmazó XML-formátum |
SystemInfoLogs |
RegOnboardedInfoCurrent.Json |
A regisztrációs adatbázisból JSON formátumban gyűjtött előkészített gépadatok |
SystemInfoLogs |
RegOnboardingInfoPolicy.Json |
A regisztrációs szabályzat beállításjegyzékből JSON formátumban gyűjtött konfigurációja |
SystemInfoLogs |
SCHANNEL.txt |
A gépre alkalmazott, a beállításjegyzékből gyűjtött SCHANNEL-konfiguráció részletei |
SystemInfoLogs |
SessionManager.txt |
Munkamenet-kezelő-specifikus beállítások összegyűjtése a beállításjegyzékből |
SystemInfoLogs |
SSL_00010002.txt |
A beállításjegyzékből gyűjtött gépre alkalmazott SSL-konfiguráció részletei |
EventLogs |
utc.evtx |
DiagTrack-eseménynapló exportálása |
EventLogs |
senseIR.evtx |
Az automatizált vizsgálat eseménynaplójának exportálása |
EventLogs |
sense.evtx |
Az érzékelő fő eseménynaplójának exportálása |
EventLogs |
OperationsManager.evtx |
A Microsoft Monitoring Agent eseménynaplójának exportálása |
MdeConfigMgrLogs |
SecurityManagementConfiguration.json |
A MEM (Microsoft Endpoint Manager) által kényszerítés céljából küldött konfigurációk |
MdeConfigMgrLogs |
policies.json |
Az eszközön kikényszeríteni kívánt szabályzatbeállítások |
MdeConfigMgrLogs |
report_xxx.json |
Megfelelő kényszerítési eredmények |
Lásd még
- Ügyfélelemző áttekintése
- Az ügyfélelemző letöltése és futtatása
- Adatgyűjtés a Windows speciális hibaelhárításához
- Az elemző HTML-jelentésének értelmezése
Tipp
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.