הפעל את מנתח הלקוח ב- Windows
חל על:
באפשרותך לאסוף את יומני התמיכה של מנתח נקודות הקצה של Defender for Remotely באמצעות Live Response.
הורד את הכלי MDE Client Analyzer או MDE Client Analyzer (תצוגה מקדימה) למכשיר Windows שברצונך לחקור. הקובץ נשמר בתיקיה 'הורדות' כברירת מחדל.
חלץ את התוכן
MDEClientAnalyzer.zipשל לתיקיה זמינה.פתח שורת פקודה עם הרשאות מנהל מערכת:
עבור אל התחל והקלדcmd.
לחץ באמצעות לחצן העכבר הימני על שורת הפקודה ובחר הפעל כמנהל מערכת.
הקלד את הפקודה הבאה ולאחר מכן הקש Enter:
*DrivePath*\MDEClientAnalyzer.cmdהחלף את DrivePath בנתיב שבו חילצת את MDEClientAnalyzer, לדוגמה:
C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd
בנוסף להליך הקודם, באפשרותך גם לאסוף את יומני התמיכה של המנתח באמצעות תגובה חיה.
הערה
ב- Windows 10 וב- 11, Windows Server 2019 ו- 2022, או Windows Server 2012R2 ו- 2016 כאשר הפתרון המאוחד המודרני מותקן, קובץ ה- Script MDEClientAnalyzer.exe של מנתח הלקוח מבצע קריאה להפעלת בדיקות הקישוריות לכתובות URL של שירות ענן.
ב- Windows 8.1, Windows Server 2016 או כל מהדורת מערכת הפעלה קודמת שבה Microsoft Monitoring Agent (MMA) משמש לצירוף, קובץ ה- Script MDEClientAnalyzerPreviousVersion.exe של מנתח הלקוח קורא לקובץ הפעלה שנקרא להפעלת בדיקות קישוריות עבור כתובות URL של Command and Control (CnC) תוך התקשרות גם אל כלי הקישוריות של סוכן הניטור של Microsoft TestCloudConnection.exe עבור כתובות URL של ערוץ נתוני סייבר.
כל קבצי ה- Script וה במודולים של PowerShell הכלולים עם המנתח חתומים על-ידי Microsoft. אם הקבצים השתנו בדרך כלשהי, המנתח צפוי לצאת עם השגיאה הבאה:
אם אתה רואה שגיאה זו, הפלט issuerInfo.txt מכיל מידע מפורט אודות הסיבה לכך והקובץ המושפע:
תוכן לדוגמה MDEClientAnalyzer.ps1 לאחר שינוי:
הערה
הקבצים המדויקים שנלכדו עשויים להשתנות בהתאם לגורמים כגון:
- גירסת החלונות שבהם פועל המנתח.
- זמינות ערוץ יומן האירועים במחשב.
- מצב ההתחלה של חיישן EDR (החיישן מופסק אם המחשב עדיין לא מחובר).
- אם נעשה שימוש בפרמטר מתקדם לפתרון בעיות עם פקודת המנתח.
כברירת מחדל, הקובץ שפרק MDEClientAnalyzerResult.zip את האריזה מכיל את הפריטים המפורטים בטבלה הבאה:
| תיקיה | פריט | תיאור |
|---|---|---|
MDEClientAnalyzer.htm |
זהו קובץ הפלט הראשי של HTML, שיכיל את הממצאים וההנחיות שקובץ ה- Script של המנתח יפעל במחשב יכול להפיק. | |
SystemInfoLogs |
AddRemovePrograms.csv |
רשימה של תוכנות מותקנות x64 במערכת הפעלה x64 שנאספו מהרישום |
SystemInfoLogs |
AddRemoveProgramsWOW64.csv |
רשימה של תוכנות מותקנות x86 במערכת הפעלה x64 שנאסף מהרישום |
SystemInfoLogs |
CertValidate.log |
תוצאה מפורטת כתוצאה מאישור מבוטל שבוצע על-ידי התקשרות אל CertUtil |
SystemInfoLogs |
dsregcmd.txt |
פלט מהפעלת dsregcmd. פעולה זו מספקת פרטים Microsoft Entra אודות מצב המחשב. |
SystemInfoLogs |
IFEO.txt |
פלט של אפשרויות ביצוע קובץ תמונה שתצורתן נקבעה במחשב |
SystemInfoLogs |
MDEClientAnalyzer.txt |
זהו קובץ טקסט מילולי שמוצג עם הפרטים של ביצוע קובץ ה- Script של המנתח. |
SystemInfoLogs |
MDEClientAnalyzer.xml |
תבנית XML המכילה את ממצאי קובץ ה- Script של המנתח |
SystemInfoLogs |
RegOnboardedInfoCurrent.Json |
פרטי המחשב הנאספים בתבנית JSON מהרישום |
SystemInfoLogs |
RegOnboardingInfoPolicy.Json |
תצורת מדיניות הצירוף שנאספה בתבנית JSON מהרישום |
SystemInfoLogs |
SCHANNEL.txt |
פרטים אודות תצורת SCHANNEL המוחלת על המחשב שנאסף מרישום |
SystemInfoLogs |
SessionManager.txt |
הגדרות ספציפיות של מנהל ההפעלות מתאספות מהרישום |
SystemInfoLogs |
SSL_00010002.txt |
פרטים אודות תצורת SSL המוחלת על המחשב שנאסף מהרישום |
EventLogs |
utc.evtx |
ייצוא יומן האירועים של DiagTrack |
EventLogs |
senseIR.evtx |
ייצוא יומן האירועים של החקירה האוטומטית |
EventLogs |
sense.evtx |
ייצוא יומן האירועים הראשי של החיישן |
EventLogs |
OperationsManager.evtx |
ייצוא יומן האירועים של סוכן הניטור של Microsoft |
MdeConfigMgrLogs |
SecurityManagementConfiguration.json |
תצורות שנשלחו מ- MEM (מנהל נקודות הקצה של Microsoft) ל אכיפה |
MdeConfigMgrLogs |
policies.json |
הגדרות מדיניות שיש לאכוף במכשיר |
MdeConfigMgrLogs |
report_xxx.json |
תוצאות אכיפה תואמות |
- מבט כולל על מנתח הלקוח
- הורד ולהפעל את מנתח הלקוח
- איסוף נתונים לפתרון בעיות מתקדם ב- Windows
- הבן את דוח ה- HTML של המנתח
עצה
האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.