Leer en inglés

Compartir a través de

Ejecutar el analizador de cliente en Windows

  • Artículo

Se aplica a:

Opción 1: Respuesta activa

Puede recopilar los registros de soporte técnico del analizador de Defender para punto de conexión de forma remota mediante Live Response.

Opción 2: Ejecutar MDE Analizador de cliente localmente

  1. Descargue la herramienta MDE Client Analyzer o la herramienta Beta MDE Client Analyzer en el dispositivo Windows que quiera investigar.

    El archivo se guarda en la carpeta Descargas de forma predeterminada.

  2. Extraiga el contenido de MDEClientAnalyzer.zip en una carpeta disponible.

  3. Abra una línea de comandos con permisos de administrador:

    1. Vaya a Inicio y escriba cmd.
    2. Haga clic derecho en Símbolo del sistema y seleccione Ejecutar como administrador.

  4. Escriba el comando siguiente y presione Entrar:

    Símbolo del sistema de Windows 
    *DrivePath*\MDEClientAnalyzer.cmd

    Reemplace DrivePath por la ruta de acceso donde extrajo MDEClientAnalyzer, por ejemplo:

    Símbolo del sistema de Windows 
    C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd

Además del procedimiento anterior, también puede recopilar los registros de soporte técnico del analizador mediante la respuesta en vivo.

Nota

En Windows 10 y 11, Windows Server 2019 y 2022, o Windows Server 2012R2 y 2016 con la solución unificada moderna instalada, el script del analizador de cliente llama a un archivo ejecutable llamado MDEClientAnalyzer.exe para ejecutar las pruebas de conectividad a las direcciones URL del servicio en la nube.

En Windows 8.1, Windows Server 2016 o cualquier edición del sistema operativo anterior en la que se usa Microsoft Monitoring Agent (MMA) para la incorporación, el script del analizador de cliente llama a un archivo ejecutable llamado MDEClientAnalyzerPreviousVersion.exe para ejecutar pruebas de conectividad para direcciones URL de comando y control (CnC) al mismo tiempo que llama a la herramienta TestCloudConnection.exe de conectividad del Agente de supervisión de Microsoft para direcciones URL de canal de datos cibernéticos.

Puntos importantes a tener en cuenta

Todos los scripts y módulos de PowerShell incluidos con el analizador están firmados por Microsoft. Si los archivos se modificaron de alguna manera, se espera que el analizador salga con el siguiente error:

Error del analizador de cliente

Si ve este error, la salida de issuerInfo.txt contiene información detallada sobre por qué ocurrió esto y el archivo afectado:

Información del emisor

Contenido de ejemplo después de modificar MDEClientAnalyzer.ps1:

El archivo ps1 modificado

Contenido del paquete de resultados en Windows

Nota

Los archivos exactos capturados pueden cambiar en función de factores como:

  • Versión de las ventanas en las que se ejecuta el analizador.
  • Disponibilidad del canal del registro de eventos en la máquina.
  • El estado de inicio del sensor EDR (Sense se detiene si la máquina aún no está incorporada).
  • Si se usó un parámetro de solución de problemas avanzado con el comando analyzer.

De forma predeterminada, el archivo MDEClientAnalyzerResult.zip desempaquetado contiene los siguientes elementos.

  • MDEClientAnalyzer.htm

    Este es el archivo de salida HTML principal, que contendrá los resultados y las instrucciones que puede generar el script del analizador que se ejecuta en la máquina.

  • SystemInfoLogs [Carpeta]

    • AddRemovePrograms.csv

      Descripción: lista de software x64 instalado en el sistema operativo x64 recopilado del registro.

    • AddRemoveProgramsWOW64.csv

      Descripción: lista de software x86 instalado en el sistema operativo x64 recopilado del registro.

      • CertValidate.log

        Descripción: resultado detallado de la revocación de certificados ejecutada mediante una llamada a CertUtil.

      • dsregcmd.txt

        Descripción: salida de la ejecución de dsregcmd. Esto proporciona detalles sobre el estado Microsoft Entra de la máquina.

      • IFEO.txt

        Descripción: salida de las opciones de ejecución de archivos de imagen configuradas en el equipo

      • MDEClientAnalyzer.txt

        Descripción: se trata de un archivo de texto detallado que muestra los detalles de la ejecución del script del analizador.

      • MDEClientAnalyzer.xml

        Descripción: formato XML que contiene los resultados del script del analizador.

      • RegOnboardedInfoCurrent.Json

        Descripción: la información de la máquina incorporada recopilada en formato JSON del registro.

    • RegOnboardingInfoPolicy.Json

      Descripción: la configuración de la directiva de incorporación recopilada en formato JSON del registro.

      • SCHANNEL.txt

        Descripción: detalles sobre la configuración de SCHANNEL aplicada a la máquina tal como se recopila del registro.

      • SessionManager.txt

        Descripción: la configuración específica del Administrador de sesiones se recopila del registro.

      • SSL_00010002.txt

        Descripción: detalles sobre la configuración SSL aplicada a la máquina recopilada del registro.

  • EventLogs [Carpeta]

    • utc.evtx

      Descripción: Exportación del registro de eventos de DiagTrack

    • senseIR.evtx

      Descripción: Exportación del registro de eventos de investigación automatizada

    • sense.evtx

      Descripción: Exportación del registro de eventos principal del sensor

    • OperationsManager.evtx

      Descripción: Exportación del registro de eventos de Microsoft Monitoring Agent

  • MdeConfigMgrLogs [Carpeta]

    • SecurityManagementConfiguration.json

      Descripción: configuraciones enviadas desde MEM (Microsoft Endpoint Manager) para su cumplimiento.

    • policies.json

      Descripción: configuración de directivas que se va a aplicar en el dispositivo.

    • report_xxx.json

      Descripción: resultados de cumplimiento correspondientes.

Recursos adicionales

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.