Windows でクライアント アナライザーを実行する
適用対象:
オプション 1: ライブ応答
Defender for Endpoint アナライザーのサポート ログは、 ライブ応答を使用してリモートで収集できます。
オプション 2: クライアント アナライザー MDEローカルで実行する
調査する Windows デバイスに MDE Client Analyzer ツールまたは MDE Client Analyzer ツール (プレビュー) をダウンロードします。 ファイルは既定でダウンロード フォルダーに保存されます。
使用可能なフォルダーに
MDEClientAnalyzer.zipの内容を抽出します。管理者のアクセス許可を持つコマンド ラインを開きます。
[スタート] をクリックし、「cmd」と入力します。
[コマンド プロンプト] を右クリックして [管理者として実行] を選択します。
次のコマンドを入力し、 Enter キーを押します。
*DrivePath*\MDEClientAnalyzer.cmdDrivePath は、次のように MDEClientAnalyzer を抽出したパスに置き換えます。
C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd
前の手順に加えて、 ライブ応答を使用してアナライザー サポート ログを収集することもできます。
注:
Windows 10と 11 では、Windows Server 2019 と 2022、または最新の統合ソリューションがインストールされた 2012R2 および 2016 Windows Server、クライアント アナライザー スクリプトは MDEClientAnalyzer.exe という実行可能ファイルを呼び出して、クラウド サービス URL への接続テストを実行します。
Windows 8.1、Windows Server 2016、または Microsoft Monitoring Agent (MMA) がオンボードに使用されている以前の OS エディションでは、クライアント アナライザー スクリプトは MDEClientAnalyzerPreviousVersion.exe と呼ばれる実行可能ファイルを呼び出して、Command and Control (CnC) URL の接続テストを実行しながら、サイバー データ チャネル URL 用の Microsoft Monitoring Agent 接続ツールTestCloudConnection.exeも呼び出します。
留意すべき重要な点
アナライザーに含まれるすべての PowerShell スクリプトとモジュールは、Microsoft 署名済みです。 ファイルが何らかの方法で変更された場合、アナライザーは次のエラーで終了することが予想されます。
このエラーが発生した場合、issuerInfo.txt 出力には、これが発生した理由と影響を受けるファイルに関する詳細情報が含まれています。
MDEClientAnalyzer.ps1 が変更された後の内容の例:
Windows 上の結果パッケージの内容
注:
キャプチャされた正確なファイルは、次のような要因によって変わる可能性があります。
- アナライザーが実行されるウィンドウのバージョン。
- マシンでのイベント ログ チャネルの可用性。
- EDR センサーの開始状態 (マシンがまだオンボードされていない場合、センサーは停止します)。
- アナライザー コマンドで高度なトラブルシューティング パラメーターが使用された場合。
既定では、アンパックされた MDEClientAnalyzerResult.zip ファイルには、次の表に示す項目が含まれます。
| フォルダー | アイテム | 説明 |
|---|---|---|
MDEClientAnalyzer.htm |
これはメイン HTML 出力ファイルであり、コンピューターで実行されるアナライザー スクリプトで生成できる結果とガイダンスが含まれます。 | |
SystemInfoLogs |
AddRemovePrograms.csv |
レジストリから収集された x64 OS にインストールされている x64 ソフトウェアの一覧 |
SystemInfoLogs |
AddRemoveProgramsWOW64.csv |
レジストリから収集された x64 OS にインストールされている x86 ソフトウェアの一覧 |
SystemInfoLogs |
CertValidate.log |
CertUtil を呼び出して実行された証明書失効の詳細な結果 |
SystemInfoLogs |
dsregcmd.txt |
dsregcmd の実行からの出力。 これにより、マシンのMicrosoft Entra状態の詳細が表示されます。 |
SystemInfoLogs |
IFEO.txt |
マシンで構成された イメージ ファイル実行オプション の出力 |
SystemInfoLogs |
MDEClientAnalyzer.txt |
これは、アナライザー スクリプトの実行の詳細を示す詳細なテキスト ファイルです。 |
SystemInfoLogs |
MDEClientAnalyzer.xml |
アナライザー スクリプトの結果を含む XML 形式 |
SystemInfoLogs |
RegOnboardedInfoCurrent.Json |
レジストリから JSON 形式で収集されたオンボード されたマシン情報 |
SystemInfoLogs |
RegOnboardingInfoPolicy.Json |
レジストリから JSON 形式で収集されたオンボード ポリシー構成 |
SystemInfoLogs |
SCHANNEL.txt |
レジストリから収集されたマシンに適用される SCHANNEL 構成 の詳細 |
SystemInfoLogs |
SessionManager.txt |
セッション マネージャー固有の設定がレジストリから収集される |
SystemInfoLogs |
SSL_00010002.txt |
レジストリから収集されたマシンに適用される SSL 構成 の詳細 |
EventLogs |
utc.evtx |
DiagTrack イベント ログのエクスポート |
EventLogs |
senseIR.evtx |
自動調査イベント ログのエクスポート |
EventLogs |
sense.evtx |
Sensor メイン イベント ログのエクスポート |
EventLogs |
OperationsManager.evtx |
Microsoft Monitoring Agent イベント ログのエクスポート |
MdeConfigMgrLogs |
SecurityManagementConfiguration.json |
適用のために MEM (Microsoft Endpoint Manager) から送信される構成 |
MdeConfigMgrLogs |
policies.json |
デバイスに適用されるポリシー設定 |
MdeConfigMgrLogs |
report_xxx.json |
対応する適用結果 |
関連項目
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。