Spuštění nástroje Client Analyzer ve Windows

Platí pro:

Možnost 1: Živá odpověď

Protokoly podpory analyzátoru Defenderu for Endpoint můžete shromažďovat vzdáleně pomocí live response.

Možnost 2: Místní spuštění nástroje MDE Client Analyzer

  1. Do zařízení s Windows, které chcete prozkoumat, si stáhněte nástroj MDE Client Analyzer nebo Beta MDE Client Analyzer.

    Soubor se ve výchozím nastavení uloží do složky Stažené soubory.

  2. Extrahujte obsah MDEClientAnalyzer.zip do dostupné složky.

  3. Otevřete příkazový řádek s oprávněními správce:

    1. Přejděte na Start a zadejte cmd.
    2. Klikněte pravým tlačítkem na Příkazový řádek a vyberte Spustit jako správce.
  4. Zadejte následující příkaz a stiskněte enter:

    *DrivePath*\MDEClientAnalyzer.cmd
    

    Nahraďte DrivePath cestou, kam jste extrahovali MDEClientAnalyzer, například:

    C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd
    

Kromě předchozího postupu můžete také shromáždit protokoly podpory analyzátoru pomocí živé odpovědi.

Poznámka

Na Windows 10 a 11, Windows Server 2019 a 2022 nebo Windows Server 2012R2 a 2016 s nainstalovaným moderním jednotným řešením volá skript analyzátoru klienta spustitelný soubor s názvem MDEClientAnalyzer.exe ke spuštění testů připojení k adresám URL cloudové služby.

V Windows 8.1, Windows Server 2016 nebo jakékoli předchozí edici operačního systému, kde se k onboardingu používá Microsoft Monitoring Agent (MMA), volá skript analyzátoru klienta spustitelný soubor s názvem MDEClientAnalyzerPreviousVersion.exe ke spuštění testů připojení pro adresy URL příkazů a řízení (CnC) a zároveň volá nástroj TestCloudConnection.exe pro připojení Microsoft Monitoring Agenta pro adresy URL kanálů Cyber Data.

Důležité body, které byste měli mít na paměti

Všechny powershellové skripty a moduly, které jsou součástí analyzátoru, jsou podepsané Microsoftem. Pokud byly soubory nějakým způsobem změněny, očekává se, že se analyzátor ukončí s následující chybou:

Chyba analyzátoru klienta

Pokud se zobrazí tato chyba, výstup issuerInfo.txt obsahuje podrobné informace o tom, proč k tomu došlo, a o ovlivněném souboru:

Informace o vystaviteli

Příklad obsahu po úpravě MDEClientAnalyzer.ps1:

Upravený soubor ps1

Výsledný obsah balíčku ve Windows

Poznámka

Přesné zachycené soubory se můžou změnit v závislosti na faktorech, jako jsou:

  • Verze windows, ve kterých je analyzátor spuštěn.
  • Dostupnost kanálu protokolu událostí na počítači.
  • Počáteční stav senzoru EDR (inteligentní se zastaví, pokud počítač ještě není nasazený).
  • Pokud byl s příkazem analyzeru použit pokročilý parametr řešení potíží.

Rozbalený soubor MDEClientAnalyzerResult.zip ve výchozím nastavení obsahuje následující položky.

  • MDEClientAnalyzer.htm

    Toto je hlavní výstupní soubor HTML, který bude obsahovat zjištění a pokyny, které může vytvořit skript analyzátoru spuštěný na počítači.

  • SystemInfoLogs [Složka]

    • AddRemovePrograms.csv

      Popis: Seznam softwaru nainstalovaného na platformě x64 v operačním systému x64 shromážděného z registru.

    • AddRemoveProgramsWOW64.csv

      Popis: Seznam softwaru nainstalovaného na platformě x86 v operačním systému x64 shromážděného z registru.

      • CertValidate.log

        Popis: Podrobný výsledek odvolání certifikátu provedeného voláním nástroje CertUtil.

      • dsregcmd.txt

        Popis: Výstup ze spuštění příkazu dsregcmd. Poskytuje podrobnosti o stavu Microsoft Entra počítače.

      • IFEO.txt

        Popis: Výstup možností spuštění souboru obrázku nakonfigurovaných na počítači

      • MDEClientAnalyzer.txt

        Popis: Jedná se o podrobný textový soubor s podrobnostmi o spuštění skriptu analyzátoru.

      • MDEClientAnalyzer.xml

        Popis: Formát XML obsahující zjištěné skripty analyzátoru.

      • RegOnboardedInfoCurrent.Json

        Popis: Informace o nasazených počítačích shromážděné z registru ve formátu JSON.

    • RegOnboardingInfoPolicy.Json

      Popis: Konfigurace zásad onboardingu shromážděná z registru ve formátu JSON.

      • SCHANNEL.txt

        Popis: Podrobnosti o konfiguraci SCHANNEL použité na počítač, jako je shromažďování z registru.

      • SessionManager.txt

        Popis: Nastavení specifická pro Správce relací se shromáždí z registru.

      • SSL_00010002.txt

        Popis: Podrobnosti o konfiguraci SSL použité na počítač shromážděný z registru.

  • EventLogs [Složka]

    • utc.evtx

      Popis: Export protokolu událostí DiagTrack

    • senseIR.evtx

      Popis: Export protokolu událostí automatizovaného šetření

    • sense.evtx

      Popis: Export hlavního protokolu událostí senzoru

    • OperationsManager.evtx

      Popis: Export protokolu událostí microsoft monitoring agenta

  • MdeConfigMgrLogs [Složka]

    • SecurityManagementConfiguration.json

      Popis: Konfigurace odeslané z MEM (Microsoft Endpoint Manager) k vynucení.

    • policies.json

      Popis: Nastavení zásad, která se mají vynucovat na zařízení.

    • report_xxx.json

      Popis: Odpovídající výsledky vynucení.

Viz také

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.