Kør klientanalysen på Windows

Gælder for:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2

Mulighed 1: Live-svar

Du kan indsamle supportlogge for Defender for Endpoint-analyse eksternt ved hjælp af Live Response.

Mulighed 2: Kør MDE klientanalyse lokalt

1. Download værktøjet MDE Client Analyzer eller Beta MDE Client Analyzer til den Windows-enhed, du vil undersøge.

   Filen gemmes som standard i mappen Overførsler.

2. Udpak indholdet af MDEClientAnalyzer.zip til en tilgængelig mappe.

3. Åbn en kommandolinje med administratortilladelser:

   1. Gå til Start, og skriv cmd.
   2. Højreklik på Kommandoprompt, og vælg Kør som administrator.

4. Skriv følgende kommando, og tryk derefter på Enter:

   *DrivePath*\MDEClientAnalyzer.cmd
   

   Erstat DrivePath med den sti, hvor du udpakkede MDEClientAnalyzer, f.eks.:

   C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd
   

Ud over den forrige procedure kan du også indsamle analysesupportlogge ved hjælp af live-svar.

Bemærk!

På Windows 10 og 11, Windows Server 2019 og 2022 eller Windows Server 2012R2 og 2016, hvor den moderne unified løsning er installeret, kalder klientanalysescriptet til en eksekverbar fil, der kaldes MDEClientAnalyzer.exe for at køre forbindelsestestene til URL-adresser til cloudtjenesten.

På Windows 8.1, Windows Server 2016 eller en tidligere OPERATIVSYSTEM-udgave, hvor Microsoft Monitoring Agent (MMA) bruges til onboarding, kalder klientanalysescriptet til en eksekverbar fil, der kaldes MDEClientAnalyzerPreviousVersion.exe for at køre forbindelsestest for URL-adresser til kommando og kontrol (CnC), samtidig med at den også ringer til Microsoft Monitoring Agent-forbindelsesværktøjet TestCloudConnection.exe til URL-adresser til cyberdatakanaler.

Vigtige punkter, du skal være opmærksom på

Alle PowerShell-scripts og -moduler, der er inkluderet i analysen, er Signeret af Microsoft. Hvis filer er blevet ændret på nogen måde, forventes analysen at blive afsluttet med følgende fejl:

Hvis du får vist denne fejl, indeholder det issuerInfo.txt output detaljerede oplysninger om, hvorfor dette skete, og den pågældende fil:

Eksempelindhold efter ændring af MDEClientAnalyzer.ps1:

Resultatpakkeindhold på Windows

Bemærk!

De nøjagtige filer, der registreres, kan ændre sig afhængigt af faktorer som:

• Den version af Windows, som analysefunktionen køres på.
• Tilgængelighed af hændelseslogkanal på computeren.
• Starttilstanden for EDR-sensoren (assistenten stoppes, hvis maskinen endnu ikke er onboardet).
• Hvis der blev brugt en avanceret fejlfindingsparameter sammen med analysekommandoen.

Den udpakkede MDEClientAnalyzerResult.zip fil indeholder som standard følgende elementer.

• MDEClientAnalyzer.htm

  Dette er den primære HTML-outputfil, som indeholder de resultater og den vejledning, som analysescriptet, der kører på computeren, kan producere.

• SystemInfoLogs [mappe]

  • AddRemovePrograms.csv

    Beskrivelse: Liste over x64-installeret software på x64 OS, der indsamles fra registreringsdatabasen.

  • AddRemoveProgramsWOW64.csv

    Beskrivelse: Liste over x86-installeret software på x64 OS, der indsamles fra registreringsdatabasen.

    • CertValidate.log

      Beskrivelse: Detaljeret resultat af certifikattilbagekaldelse udført ved at kalde til CertUtil.

    • dsregcmd.txt

      Beskrivelse: Output fra kørsel af dsregcmd. Dette indeholder oplysninger om computerens Microsoft Entra status.

    • IFEO.txt

      Beskrivelse: Output af indstillinger for udførelse af billedfil , der er konfigureret på computeren

    • MDEClientAnalyzer.txt

      Beskrivelse: Dette er en detaljeret tekstfil, der vises med oplysninger om udførelsen af analysescriptet.

    • MDEClientAnalyzer.xml

      Beskrivelse: XML-format, der indeholder resultaterne af analysescriptet.

    • RegOnboardedInfoCurrent.Json

      Beskrivelse: De onboardede computeroplysninger, der er indsamlet i JSON-format fra registreringsdatabasen.

  • RegOnboardingInfoPolicy.Json

    Beskrivelse: Konfigurationen af onboardingpolitikken, der er indsamlet i JSON-format fra registreringsdatabasen.

    • SCHANNEL.txt

      Beskrivelse: Oplysninger om SCHANNEL-konfiguration , der anvendes på computeren, som indsamles fra registreringsdatabasen.

    • SessionManager.txt

      Beskrivelse: Session Manager-specifikke indstillinger indsamles fra registreringsdatabasen.

    • SSL_00010002.txt

      Beskrivelse: Oplysninger om DEN SSL-konfiguration , der anvendes på den computer, der er indsamlet fra registreringsdatabasen.

• EventLogs [mappe]

  • utc.evtx

    Beskrivelse: Eksport af DiagTrack-hændelseslog

  • senseIR.evtx

    Beskrivelse: Eksport af hændelsesloggen til automatiseret undersøgelse

  • sense.evtx

    Beskrivelse: Eksport af hovedhændelsesloggen for sensoren

  • OperationsManager.evtx

    Beskrivelse: Eksport af Microsoft Monitoring Agent-hændelsesloggen

• MdeConfigMgrLogs [mappe]

  • SecurityManagementConfiguration.json

    Beskrivelse: Konfigurationer, der er sendt fra MEM (Microsoft Endpoint Manager) til håndhævelse.

  • policies.json

    Beskrivelse: Politikindstillinger, der skal gennemtvinges på enheden.

  • report_xxx.json

    Beskrivelse: Tilsvarende håndhævelsesresultater.

Se også

• Oversigt over klientanalyse
• Download og kør klientanalysen
• Dataindsamling til avanceret fejlfinding på Windows
• Forstå HTML-analyserapporten

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.