Partage via


Exécuter l’analyse du client sur Windows

S’applique à :

Option 1 : Réponse en direct

Vous pouvez collecter les journaux de prise en charge de l’analyseur Defender pour point de terminaison à distance à l’aide de Live Response.

Option 2 : Exécuter MDE’analyseur client localement

  1. Téléchargez l’outil Analyseur de client MDE ou l’outil Analyseur de client bêta MDE sur l’appareil Windows que vous souhaitez examiner.

    Le fichier est enregistré dans votre dossier Téléchargements par défaut.

  2. Extrayez le contenu de MDEClientAnalyzer.zip dans un dossier disponible.

  3. Ouvrez une ligne de commande avec des autorisations d’administrateur :

    1. Accéder à Démarrer et taper cmd.
    2. Cliquez avec le bouton droit sur Invite de commandes et sélectionnez Exécuter en tant qu'administrateur.
  4. Tapez la commande suivante, puis appuyez sur Entrée :

    *DrivePath*\MDEClientAnalyzer.cmd
    

    Remplacez DrivePath par le chemin d’accès où vous avez extrait MDEClientAnalyzer, par exemple :

    C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd
    

En plus de la procédure précédente, vous pouvez également collecter les journaux de prise en charge de l’analyseur à l’aide de la réponse en direct.

Remarque

Sur Windows 10 et 11, Windows Server 2019 et 2022, ou Windows Server 2012R2 et 2016 avec la solution unifiée moderne installée, le script de l’analyseur client appelle dans un fichier exécutable appelé MDEClientAnalyzer.exe pour exécuter les tests de connectivité aux URL de service cloud.

Sur Windows 8.1, Windows Server 2016 ou toute édition précédente du système d’exploitation où Microsoft Monitoring Agent (MMA) est utilisé pour l’intégration, le script de l’analyseur client appelle dans un fichier exécutable appelé MDEClientAnalyzerPreviousVersion.exe pour exécuter des tests de connectivité pour les URL de commande et de contrôle (CnC) tout en appelant également l’outil TestCloudConnection.exe de connectivité Microsoft Monitoring Agent pour les URL de canal de données cybernétiques.

Points importants à garder à l’esprit

Tous les scripts et modules PowerShell inclus avec l’analyseur sont signés Par Microsoft. Si les fichiers ont été modifiés d’une manière ou d’une autre, l’analyseur est censé se fermer avec l’erreur suivante :

Erreur de l’analyseur client

Si vous voyez cette erreur, la sortie issuerInfo.txt contient des informations détaillées sur la raison pour laquelle cela s’est produit et le fichier affecté :

Informations sur l’émetteur

Exemple de contenu après la modification de MDEClientAnalyzer.ps1 :

Fichier ps1 modifié

Contenu du package de résultats sur Windows

Remarque

Les fichiers exacts capturés peuvent changer en fonction de facteurs tels que :

  • Version de windows sur laquelle l’analyseur est exécuté.
  • Disponibilité du canal du journal des événements sur l’ordinateur.
  • État de début du capteur EDR (l’assistant est arrêté si la machine n’est pas encore intégrée).
  • Si un paramètre de résolution des problèmes avancé a été utilisé avec la commande analyzer.

Par défaut, le fichier de MDEClientAnalyzerResult.zip décompressé contient les éléments suivants.

  • MDEClientAnalyzer.htm

    Il s’agit du fichier de sortie HTML main, qui contient les résultats et les conseils que le script d’analyseur exécuté sur l’ordinateur peut produire.

  • SystemInfoLogs [Dossier]

    • AddRemovePrograms.csv

      Description : Liste des logiciels x64 installés sur le système d’exploitation x64 collectés à partir du Registre.

    • AddRemoveProgramsWOW64.csv

      Description : liste des logiciels x86 installés sur le système d’exploitation x64 collectés à partir du Registre.

      • CertValidate.log

        Description : résultat détaillé de la révocation de certificat exécutée en appelant CertUtil.

      • dsregcmd.txt

        Description : sortie de l’exécution de dsregcmd. Cela fournit des détails sur la Microsoft Entra status de la machine.

      • IFEO.txt

        Description : Sortie des options d’exécution de fichier image configurées sur l’ordinateur

      • MDEClientAnalyzer.txt

        Description : il s’agit d’un fichier texte détaillé avec les détails de l’exécution du script de l’analyseur.

      • MDEClientAnalyzer.xml

        Description : format XML contenant les résultats du script de l’analyseur.

      • RegOnboardedInfoCurrent.Json

        Description : informations de machine intégrées collectées au format JSON à partir du Registre.

    • RegOnboardingInfoPolicy.Json

      Description : configuration de la stratégie d’intégration collectée au format JSON à partir du Registre.

      • SCHANNEL.txt

        Description : détails sur la configuration SCHANNEL appliquée à la machine, telles que collectées à partir du Registre.

      • SessionManager.txt

        Description : Les paramètres spécifiques du Gestionnaire de session sont rassemblés à partir du Registre.

      • SSL_00010002.txt

        Description : détails sur la configuration SSL appliquée à la machine collectée à partir du Registre.

  • EventLogs [Dossier]

    • utc.evtx

      Description : Exportation du journal des événements DiagTrack

    • senseIR.evtx

      Description : Exportation du journal des événements d’investigation automatisée

    • sense.evtx

      Description : Exportation du journal des événements sensor main

    • OperationsManager.evtx

      Description : Exportation du journal des événements de Microsoft Monitoring Agent

  • MdeConfigMgrLogs [Dossier]

    • SecurityManagementConfiguration.json

      Description : configurations envoyées à partir de MEM (Microsoft Endpoint Manager) à des fins d’application.

    • policies.json

      Description : paramètres des stratégies à appliquer sur l’appareil.

    • report_xxx.json

      Description : résultats d’application correspondants.

Voir aussi

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.