Executar o Client Analyzer no Windows
Aplica-se a:
Opção 1: Resposta em direto
Pode recolher os registos de suporte do analisador do Defender para Endpoint remotamente com a Resposta em Direto.
Opção 2: Executar MDE Analisador de Cliente localmente
Transfira a ferramenta MDE Client Analyzer ou a ferramenta MDE Client Analyzer (pré-visualização) para o dispositivo Windows que pretende investigar. O ficheiro é guardado na pasta Transferências por predefinição.
Extraia o conteúdo de
MDEClientAnalyzer.zip
para uma pasta disponível.Abra uma linha de comandos com permissões de administrador:
Aceda a Iniciar e escreva cmd.
Clique com o botão direito do rato em Linha de comandos e selecione Executar como administrador.
Escreva o seguinte comando e, em seguida, prima Enter:
*DrivePath*\MDEClientAnalyzer.cmd
Substitua DrivePath pelo caminho onde extraiu MDEClientAnalyzer, por exemplo:
C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd
Além do procedimento anterior, também pode recolher os registos de suporte do analisador com a resposta em direto..
Nota
Nos Windows 10 e 11, Windows Server 2019 e 2022 ou Windows Server 2012R2 e 2016 com a solução unificada moderna instalada, o script do analisador de cliente chama para um ficheiro executável chamado MDEClientAnalyzer.exe
para executar os testes de conectividade aos URLs do serviço cloud.
No Windows 8.1, Windows Server 2016 ou qualquer edição anterior do SO em que o Microsoft Monitoring Agent (MMA) é utilizado para integração, o script do analisador de cliente chama para um ficheiro executável chamado MDEClientAnalyzerPreviousVersion.exe
para executar testes de conectividade para URLs de Comando e Controlo (CnC), ao mesmo tempo que chama para a ferramenta TestCloudConnection.exe
de conectividade do Agente de Monitorização da Microsoft para URLs de canal de Dados Cibernéticos.
Pontos importantes a ter em conta
Todos os scripts e módulos do PowerShell incluídos no analisador são assinados pela Microsoft. Se os ficheiros foram modificados de alguma forma, espera-se que o analisador saia com o seguinte erro:
Se vir este erro, a saída do issuerInfo.txt contém informações detalhadas sobre o motivo deste erro e o ficheiro afetado:
Conteúdo de exemplo após MDEClientAnalyzer.ps1 ser modificado:
Conteúdo do pacote de resultados no Windows
Nota
Os ficheiros exatos capturados podem mudar consoante fatores como:
- A versão do windows em que o analisador é executado.
- Disponibilidade do canal de registo de eventos no computador.
- O estado de início do sensor EDR (o sensor é parado se a máquina ainda não estiver integrada).
- Se tiver sido utilizado um parâmetro de resolução de problemas avançado com o comando do analisador.
Por predefinição, o ficheiro desembalado MDEClientAnalyzerResult.zip
contém os itens listados na seguinte tabela:
Pasta | Item | Descrição |
---|---|---|
MDEClientAnalyzer.htm |
Este é o ficheiro de saída HTML principal, que irá conter as conclusões e a documentação de orientação que o script do analisador executa na máquina virtual. | |
SystemInfoLogs |
AddRemovePrograms.csv |
Lista de software x64 instalado no SO x64 recolhido do registo |
SystemInfoLogs |
AddRemoveProgramsWOW64.csv |
Lista de software x86 instalado no SO x64 recolhido do registo |
SystemInfoLogs |
CertValidate.log |
Resultado detalhado da revogação de certificados executado através da chamada para o CertUtil |
SystemInfoLogs |
dsregcmd.txt |
Saída da execução de dsregcmd. Esta ação fornece detalhes sobre o estado Microsoft Entra do computador. |
SystemInfoLogs |
IFEO.txt |
Saída das Opções de Execução de Ficheiros de Imagem configuradas no computador |
SystemInfoLogs |
MDEClientAnalyzer.txt |
Trata-se de um ficheiro de texto verboso que mostra os detalhes da execução do script do analisador. |
SystemInfoLogs |
MDEClientAnalyzer.xml |
Formato XML que contém as conclusões do script do analisador |
SystemInfoLogs |
RegOnboardedInfoCurrent.Json |
As informações do computador integrado recolhidas no formato JSON do registo |
SystemInfoLogs |
RegOnboardingInfoPolicy.Json |
A configuração da política de inclusão recolhida no formato JSON do registo |
SystemInfoLogs |
SCHANNEL.txt |
Detalhes sobre a configuração do SCHANNEL aplicada ao computador, como recolhidos a partir do registo |
SystemInfoLogs |
SessionManager.txt |
As definições específicas do Gestor de Sessões são recolhidas a partir do registo |
SystemInfoLogs |
SSL_00010002.txt |
Detalhes sobre a configuração do SSL aplicada à máquina recolhida a partir do registo |
EventLogs |
utc.evtx |
Exportar do registo de eventos do DiagTrack |
EventLogs |
senseIR.evtx |
Exportar do registo de eventos da Investigação Automatizada |
EventLogs |
sense.evtx |
Exportar do registo de eventos principal do Sensor |
EventLogs |
OperationsManager.evtx |
Exportar do registo de eventos do Microsoft Monitoring Agent |
MdeConfigMgrLogs |
SecurityManagementConfiguration.json |
Configurações enviadas do MEM (Microsoft Endpoint Manager) para imposição |
MdeConfigMgrLogs |
policies.json |
Definições de políticas a serem impostas no dispositivo |
MdeConfigMgrLogs |
report_xxx.json |
Resultados de imposição correspondentes |
Consulte também
- Descrição geral do Client Analyzer
- Transferir e executar o Client Analyzer
- Recolha de dados para resolução de problemas avançados no Windows
- Compreender o relatório HTML do Analyzer
Sugestão
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.