Suorita asiakkaan analysointitoiminto Windowsissa

Koskee seuraavia:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2

Vaihtoehto 1: Reaaliaikainen vastaus

Voit kerätä Defender for Endpoint Analyzer -tukilokeja etäyhteyden kautta käyttämällä reaaliaikaista vastausta.

Vaihtoehto 2: Suorita MDE Client Analyzer paikallisesti

1. Lataa MDE Client Analyzer -työkalu tai Beeta-MDE Client Analyzer -työkalu siihen Windows-laitteeseen, jota haluat tutkia.

   Tiedosto tallennetaan oletusarvoisesti Lataukset-kansioon.

2. Pura MDEClientAnalyzer.zip sisältö käytettävissä olevaan kansioon.

3. Avaa komentorivi, jolla on järjestelmänvalvojan oikeudet:

   1. Siirry Aloitus-kohtaan ja kirjoita cmd.
   2. Napsauta komentoriviä hiiren kakkospainikkeella ja valitse Suorita järjestelmänvalvojana.

4. Kirjoita seuraava komento ja paina Enter-näppäintä:

   *DrivePath*\MDEClientAnalyzer.cmd
   

   Korvaa DrivePath polulla, josta poimit MDEClientAnalyzerin, esimerkiksi:

   C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd
   

Edellisen toimintosarjan lisäksi voit myös kerätä analysoijan tukilokeja käyttämällä reaaliaikaista vastausta..

Huomautus

Windows 10 ja 11:ssä, Windows Server 2019:ssä ja 2022:ssa tai Windows Server 2012R2:ssa ja 2016:ssa, joihin on asennettu nykyaikainen yhdistetty ratkaisu, asiakasanalysaattorin komentosarja kutsuu suoritettavaan tiedostoon, jota kutsutaan MDEClientAnalyzer.exe yhteystestien suorittamiseksi pilvipalvelun URL-osoitteisiin.

Windows 8.1, Windows Server 2016:ssa tai missä tahansa aiemmassa käyttöjärjestelmäversiossa, jossa Microsoftin valvonta-agenttia (MMA) käytetään perehdyttämiseen, asiakasanalysaattorin komentosarja kutsuu suoritettavaan tiedostoon nimeltä MDEClientAnalyzerPreviousVersion.exe komentojen ja ohjausobjektien (CnC) URL-osoitteiden yhteystestien suorittamiseksi ja samalla Kutsumalla Microsoftin valvonta-agentin yhteystyökalua TestCloudConnection.exe Cyber Data -kanavan URL-osoitteille.

Tärkeät tärkeät seikat, jotka on syytä pitää mielessä

Kaikki analysointiin sisältyvät PowerShell-komentosarjat ja -moduulit ovat Microsoftin allekirjoittamia. Jos tiedostoja on muokattu millään tavalla, analysoijan odotetaan poistuvan seuraavan virheen kanssa:

Jos näet tämän virheen, issuerInfo.txt tuloste sisältää yksityiskohtaisia tietoja siitä, miksi tämä tapahtui ja tiedosto, jota asia koskee:

Esimerkkisisältö MDEClientAnalyzer.ps1 muokkaamisen jälkeen:

Tulospaketin sisältö Windowsissa

Huomautus

Tallenntut tiedostot voivat muuttua esimerkiksi tekijöiden mukaan:

• Sen windowsin versio, jossa analysoijaa käytetään.
• Tapahtumalokikanavan käytettävyys tietokoneessa.
• EDR-tunnistimen käynnistystila (Aisti pysäytetään, jos kone ei ole vielä perehdytystilassa).
• Jos analysoijan komennon kanssa käytettiin edistynyttä vianmääritysparametria.

Purkamaton MDEClientAnalyzerResult.zip tiedosto sisältää oletusarvoisesti seuraavat kohteet.

• MDEClientAnalyzer.htm

  Tämä on tärkein HTML-tulostetiedosto, joka sisältää havaintoja ja ohjeita, joita laitteessa suoritettava analyzer-komentosarja voi tuottaa.

• SystemInfoLogs [Folder]

  • AddRemovePrograms.csv

    Kuvaus: Rekisteristä kerätty x64-asennettujen ohjelmistojen luettelo x64-käyttöjärjestelmässä.

  • AddRemoveProgramsWOW64.csv

    Kuvaus: Rekisteristä kerättyjen x86-asennettujen ohjelmistojen luettelo x64-käyttöjärjestelmässä.

    • CertValidate.log

      Kuvaus: Yksityiskohtainen tulos varmenteen kumoamisesta, joka suoritetaan kutsumalla CertUtil-apuohjelmaan.

    • dsregcmd.txt

      Kuvaus: Tuloste dsregcmd-komennon suorittamisesta. Tämä antaa tietoja tietokoneen Microsoft Entra tilasta.

    • IFEO.txt

      Kuvaus: Koneella määritettyjen kuvatiedoston suoritusasetusten tuloste

    • MDEClientAnalyzer.txt

      Kuvaus: Tämä on yksityiskohtainen tekstitiedosto, joka näyttää analyzer-komentosarjan suorittamisen tiedot.

    • MDEClientAnalyzer.xml

      Kuvaus: Analyzer-komentosarjahavainnot sisältävä XML-muoto.

    • RegOnboardedInfoCurrent.Json

      Kuvaus: Rekisteristä JSON-muodossa kerätyt perehdytyt konetiedot.

  • RegOnboardingInfoPolicy.Json

    Kuvaus: Rekisteristä kerätty perehdyttämiskäytännön määritys JSON-muodossa.

    • SCHANNEL.txt

      Kuvaus: Tietoja SCHANNEL-määrityksistä , joita käytetään laitteessa, kuten rekisteristä kerättynä.

    • SessionManager.txt

      Kuvaus: Istunnonhallintakohtaiset asetukset kerätään rekisteristä.

    • SSL_00010002.txt

      Kuvaus: Tietoja SSL-määrityksistä , joita käytetään rekisteristä kerättyyn koneeseen.

• EventLogs [Folder]

  • utc.evtx

    Kuvaus: DiagTrack-tapahtumalokin vienti

  • senseIR.evtx

    Kuvaus: Automatisoidun tutkinnan tapahtumalokin vienti

  • sense.evtx

    Kuvaus: Tunnistimen päätapahtumalokin vienti

  • OperationsManager.evtx

    Kuvaus: Microsoftin valvonta-agentin tapahtumalokin vienti

• MdeConfigMgrLogs [Folder]

  • SecurityManagementConfiguration.json

    Kuvaus: MEM:n (Microsoft Endpoint Manager) ulosottoa varten lähetetyt määritykset.

  • policies.json

    Kuvaus: Laitteessa käyttöön otettavat käytäntöasetukset.

  • report_xxx.json

    Kuvaus: Vastaavat pakotustulokset.

Tutustu myös seuraaviin ohjeartikkeleihin:

• Asiakkaan analysointitoiminnon yleiskatsaus
• Lataa ja suorita asiakkaan analysointitoiminto
• Tietojen kerääminen Windowsin edistynyttä vianmääritystä varten
• Tietoja analysointitoiminnon HTML-raportista

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.