在 Windows 上运行客户端分析器
适用于:
选项 1:实时响应
可以使用 实时响应远程收集 Defender for Endpoint 分析器支持日志。
选项 2:在本地运行MDE客户端分析器
将MDE客户端分析器工具或MDE客户端分析器工具 (预览) 下载到要调查的 Windows 设备。 默认情况下,该文件将保存到“下载”文件夹。
将 的内容
MDEClientAnalyzer.zip提取到可用文件夹。使用管理员权限打开命令行:
转到“开始”并键入“cmd”。
右键单击“命令提示符”,然后选择“以管理员身份运行”。
键入以下命令,然后按 Enter:
*DrivePath*\MDEClientAnalyzer.cmd将 DrivePath 替换为提取 MDEClientAnalyzer 的路径,例如:
C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd
除了前面的过程,还可以 使用实时响应收集分析器支持日志。
注意
在安装了新式统一解决方案的 Windows 10 和 11、Windows Server 2019 和 2022 或 Windows Server 2012R2 和 2016 上,客户端分析器脚本调用名为 MDEClientAnalyzer.exe 的可执行文件,以运行云服务 URL 的连接测试。
在Windows 8.1、Windows Server 2016或任何使用 Microsoft Monitoring Agent (MMA) 加入的作系统版本上,客户端分析器脚本调用名为 MDEClientAnalyzerPreviousVersion.exe 的可执行文件,以运行命令和控制 (CnC) URL 的连接测试,同时同时调用用于网络数据通道 URL 的 Microsoft Monitoring Agent 连接工具TestCloudConnection.exe。
要记住的要点
分析器附带的所有 PowerShell 脚本和模块都Microsoft签名。 如果以任何方式修改了文件,则预期分析器退出并出现以下错误:
如果看到此错误,则 issuerInfo.txt 输出包含有关发生此错误的原因和受影响的文件的详细信息:
修改 MDEClientAnalyzer.ps1 后的示例内容:
Windows 上的结果包内容
注意
捕获的确切文件可能会根据以下因素而更改:
- 运行分析器的窗口版本。
- 计算机上的事件日志通道可用性。
- 如果计算机尚未载入) ,则 EDR 传感器 (Sense 的启动状态将停止。
- 如果高级故障排除参数与分析器命令一起使用。
默认情况下,解压缩 MDEClientAnalyzerResult.zip 的文件包含下表中列出的项:
| Folder | 项目 | 说明 |
|---|---|---|
MDEClientAnalyzer.htm |
这是main HTML 输出文件,其中包含在计算机上运行的分析器脚本可以生成的发现结果和指导。 | |
SystemInfoLogs |
AddRemovePrograms.csv |
从注册表收集的 x64 OS 上安装的 x64 软件列表 |
SystemInfoLogs |
AddRemoveProgramsWOW64.csv |
从注册表收集的 x64 OS 上安装的 x86 软件列表 |
SystemInfoLogs |
CertValidate.log |
通过调用 CertUtil 执行的证书吊销的详细结果 |
SystemInfoLogs |
dsregcmd.txt |
运行 dsregcmd 的输出。 这会提供有关计算机Microsoft Entra状态的详细信息。 |
SystemInfoLogs |
IFEO.txt |
计算机上配置的 映像文件执行选项 的输出 |
SystemInfoLogs |
MDEClientAnalyzer.txt |
这是一个详细的文本文件,其中显示了分析器脚本执行的详细信息。 |
SystemInfoLogs |
MDEClientAnalyzer.xml |
包含分析器脚本结果的 XML 格式 |
SystemInfoLogs |
RegOnboardedInfoCurrent.Json |
从注册表以 JSON 格式收集的载入计算机信息 |
SystemInfoLogs |
RegOnboardingInfoPolicy.Json |
从注册表中以 JSON 格式收集的载入策略配置 |
SystemInfoLogs |
SCHANNEL.txt |
有关应用于计算机(例如从注册表收集的计算机) 的 SCHANNEL 配置 的详细信息 |
SystemInfoLogs |
SessionManager.txt |
从注册表收集特定于会话管理器的设置 |
SystemInfoLogs |
SSL_00010002.txt |
有关应用于从注册表收集的计算机的 SSL 配置 的详细信息 |
EventLogs |
utc.evtx |
导出 DiagTrack 事件日志 |
EventLogs |
senseIR.evtx |
导出自动调查事件日志 |
EventLogs |
sense.evtx |
导出传感器main事件日志 |
EventLogs |
OperationsManager.evtx |
导出Microsoft监视代理事件日志 |
MdeConfigMgrLogs |
SecurityManagementConfiguration.json |
从 MEM (Microsoft Endpoint Manager) 发送的配置以强制执行 |
MdeConfigMgrLogs |
policies.json |
在设备上强制实施的策略设置 |
MdeConfigMgrLogs |
report_xxx.json |
相应的强制结果 |
另请参阅
提示
想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区。