在 Windows 上執行用戶端分析器
適用於:
選項 1:實時回應
您可以使用 即時回應,從遠端收集適用於端點的 Defender 分析器支持記錄。
選項 2:在本機執行 MDE Client Analyzer
將 MDE 用戶端分析器工具或 MDE 用戶端分析器工具 (預覽) 下載到您想要調查的 Windows 裝置。 根據預設,檔案會儲存到您的 Downloads 資料夾。
將的內容
MDEClientAnalyzer.zip解壓縮至可用的資料夾。開啟具有系統管理員權限的命令列:
轉至 [開始] 並鍵入「cmd」。
以滑鼠右鍵按一下 [命令提示字元],然後選取 [以系統管理員身分執行]。
輸入下列命令,然後按 Enter:
*DrivePath*\MDEClientAnalyzer.cmd以您擷取 MDEClientAnalyzer 的路徑取代 DrivePath ,例如:
C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd
除了上一個程式之外,您也可以 使用即時回應來收集分析器支持記錄。
注意事項
在 Windows 10 和 11 上,Windows Server 2019 和 2022,或已安裝新式整合解決方案的 Windows Server 2012R2 和 2016,用戶端分析器腳本會呼叫名為 MDEClientAnalyzer.exe 的可執行檔,以執行雲端服務 URL 的連線測試。
在 Windows 8.1、Windows Server 2016 或任何先前使用 Microsoft Monitoring Agent (MMA) 上線的作系統版本上,用戶端分析器腳本會呼叫名為 MDEClientAnalyzerPreviousVersion.exe 的可執行檔,以執行 Command and Control (CnC) URL 的連線測試,同時呼叫網路數據通道 URL 的 Microsoft Monitoring Agent 聯機工具TestCloudConnection.exe。
請注意重要要點
分析器隨附的所有 PowerShell 腳本和模組都會Microsoft簽署。 如果檔案以任何方式修改,則分析器應該會結束,並出現下列錯誤:
如果您看到此錯誤,issuerInfo.txt 輸出會包含發生此事件原因和受影響檔案的詳細資訊:
修改 MDEClientAnalyzer.ps1 後的範例內容:
Windows 上的結果套件內容
注意事項
擷取的確切檔案可能會根據下列因素而變更:
- 執行分析器的視窗版本。
- 計算機上的事件記錄檔通道可用性。
- 如果機器尚未上線) ,則 EDR 感測器 (Sense 的開始狀態會停止。
- 如果使用進階疑難解答參數搭配分析器命令。
根據預設,解壓縮的 MDEClientAnalyzerResult.zip 檔案包含下表所列的專案:
| 資料夾 | 項目 | 描述 |
|---|---|---|
MDEClientAnalyzer.htm |
這是主要的 HTML 輸出檔案,其中包含分析器腳本可在機器上執行的結果和指引。 | |
SystemInfoLogs |
AddRemovePrograms.csv |
從登錄收集的 x64 OS 上已安裝的 x64 軟體清單 |
SystemInfoLogs |
AddRemoveProgramsWOW64.csv |
從登錄收集的 x64 OS 上已安裝的 x86 軟體清單 |
SystemInfoLogs |
CertValidate.log |
呼叫 CertUtil 以執行憑證撤銷的詳細結果 |
SystemInfoLogs |
dsregcmd.txt |
執行 dsregcmd 的輸出。 這會提供機器 Microsoft Entra 狀態的詳細數據。 |
SystemInfoLogs |
IFEO.txt |
在電腦上設定的 圖像檔執行選項 輸出 |
SystemInfoLogs |
MDEClientAnalyzer.txt |
這是詳細的文字檔,其中顯示分析器腳本執行的詳細數據。 |
SystemInfoLogs |
MDEClientAnalyzer.xml |
包含分析器文稿結果的 XML 格式 |
SystemInfoLogs |
RegOnboardedInfoCurrent.Json |
以 JSON 格式從登錄收集的上線計算機資訊 |
SystemInfoLogs |
RegOnboardingInfoPolicy.Json |
以 JSON 格式從登錄收集的上線原則設定 |
SystemInfoLogs |
SCHANNEL.txt |
套用至從登錄收集之計算機的 SCHANNEL 設定詳細數據 |
SystemInfoLogs |
SessionManager.txt |
會話管理員特定設定會從登錄收集 |
SystemInfoLogs |
SSL_00010002.txt |
套用至從登錄收集之計算機的 SSL 設定詳細數據 |
EventLogs |
utc.evtx |
匯出 DiagTrack 事件記錄檔 |
EventLogs |
senseIR.evtx |
匯出自動化調查事件記錄檔 |
EventLogs |
sense.evtx |
匯出感測器主要事件記錄檔 |
EventLogs |
OperationsManager.evtx |
匯出Microsoft監視代理程式事件記錄檔 |
MdeConfigMgrLogs |
SecurityManagementConfiguration.json |
從 MEM (Microsoft 端點管理員) 傳送的組態以強制執行 |
MdeConfigMgrLogs |
policies.json |
要在裝置上強制執行的原則設定 |
MdeConfigMgrLogs |
report_xxx.json |
對應的強制結果 |
另請參閱
提示
想要深入了解? Engage 技術社群中的Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。