הפעל את מנתח הלקוח ב- Windows
חל על:
אפשרות 1: תגובה חיה
באפשרותך לאסוף את יומני התמיכה של מנתח נקודות הקצה של Defender for Remotely באמצעות Live Response.
אפשרות 2: הפעל MDE Client Analyzer באופן מקומי
הורד את MDE Client Analyzer או את הכלי beta MDE Client Analyzer למכשיר Windows שברצונך לחקור.
הקובץ נשמר בתיקיה 'הורדות' כברירת מחדל.
חלץ את תוכן MDEClientAnalyzer.zip לתיקיה זמינה.
פתח שורת פקודה עם הרשאות מנהל מערכת:
- עבור אל התחל והקלדcmd.
- לחץ באמצעות לחצן העכבר הימני על שורת הפקודה ובחר הפעל כמנהל מערכת.
הקלד את הפקודה הבאה ולאחר מכן הקש Enter:
*DrivePath*\MDEClientAnalyzer.cmdהחלף את DrivePath בנתיב שבו חילצת את MDEClientAnalyzer, לדוגמה:
C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd
בנוסף להליך הקודם, באפשרותך גם לאסוף את יומני התמיכה של המנתח באמצעות תגובה חיה.
הערה
ב- Windows 10 וב- 11, Windows Server 2019 ו- Windows Server 2022, או Windows Server 2012R2 ו- 2016 עם הפתרון המאוחד המודרני המותקן, קובץ ה- Script MDEClientAnalyzer.exe של מנתח הלקוח מבצע קריאה להפעלת בדיקות הקישוריות לכתובות URL של שירות ענן.
ב- Windows 8.1, Windows Server 2016 או כל מהדורת מערכת הפעלה קודמת שבה Microsoft Monitoring Agent (MMA) משמש לצירוף, קובץ ה- Script MDEClientAnalyzerPreviousVersion.exe של מנתח הלקוח קורא לקובץ הפעלה שנקרא להפעלת בדיקות קישוריות עבור כתובות URL של Command and Control (CnC) תוך התקשרות גם אל כלי הקישוריות של סוכן הניטור של Microsoft TestCloudConnection.exe עבור כתובות URL של ערוץ נתוני סייבר.
נקודות חשובות שחשוב לזכור
כל קבצי ה- Script וה במודולים של PowerShell הכלולים עם המנתח חתומים על-ידי Microsoft. אם הקבצים השתנו בדרך כלשהי, המנתח צפוי לצאת עם השגיאה הבאה:
אם אתה רואה שגיאה זו, הפלט issuerInfo.txt מכיל מידע מפורט אודות הסיבה לכך והקובץ המושפע:
תוכן לדוגמה MDEClientAnalyzer.ps1 לאחר שינוי:
תוכן חבילת תוצאות ב- Windows
הערה
הקבצים המדויקים שנלכדו עשויים להשתנות בהתאם לגורמים כגון:
- גירסת החלונות שבהם פועל המנתח.
- זמינות ערוץ יומן האירועים במחשב.
- מצב ההתחלה של חיישן EDR (החיישן מופסק אם המחשב עדיין לא מחובר).
- אם נעשה שימוש בפרמטר מתקדם לפתרון בעיות עם פקודת המנתח.
כברירת מחדל, הקובץ MDEClientAnalyzerResult.zip מכיל את הפריטים הבאים.
MDEClientAnalyzer.htm
זהו קובץ הפלט הראשי של HTML, שיכיל את הממצאים וההנחיות שקובץ ה- Script של המנתח יפעל במחשב יכול להפיק.
SystemInfoLogs [Folder]
AddRemovePrograms.csv
תיאור: רשימה של תוכנות מותקנות x64 במערכת הפעלה x64 שנאספו מהרישום.
AddRemoveProgramsWOW64.csv
תיאור: רשימה של תוכנות מותקנות x86 במערכת הפעלה x64 שנאסף מהרישום.
CertValidate.log
תיאור: תוצאה מפורטת של ביטול אישור שבוצעה על-ידי התקשרות אל CertUtil.
dsregcmd.txt
תיאור: פלט מהפעלת dsregcmd. פעולה זו מספקת פרטים Microsoft Entra אודות מצב המחשב.
IFEO.txt
תיאור: פלט של אפשרויות ביצוע קובץ תמונה שהוגדרו במחשב
MDEClientAnalyzer.txt
תיאור: זהו קובץ טקסט מילולי המציג פרטים של ביצוע קובץ ה- Script של המנתח.
MDEClientAnalyzer.xml
תיאור: תבנית XML המכילה את ממצאי קובץ ה- Script של המנתח.
RegOnboardedInfoCurrent.Json
תיאור: פרטי המחשב הנאספים בתבנית JSON מהרישום.
RegOnboardingInfoPolicy.Json
תיאור: תצורת מדיניות הצירוף שנאסף בתבנית JSON מהרישום.
SCHANNEL.txt
תיאור: פרטים אודות תצורת SCHANNEL שהוחלה על המחשב שנאסף מרישום.
SessionManager.txt
תיאור: הגדרות ספציפיות של מנהל ההפעלות נאספו מהרישום.
SSL_00010002.txt
תיאור: פרטים על תצורת SSL המוחלים על המחשב שנאסף מהרישום.
EventLogs [Folder]
utc.evtx
תיאור: ייצוא יומן האירועים של DiagTrack
senseIR.evtx
תיאור: ייצוא יומן האירועים של החקירה האוטומטית
sense.evtx
תיאור: ייצוא יומן האירועים הראשי של החיישן
OperationsManager.evtx
תיאור: ייצוא יומן האירועים של סוכן הניטור של Microsoft
MdeConfigMgrLogs [Folder]
SecurityManagementConfiguration.json
תיאור: תצורות שנשלחו מ- MEM (מנהל נקודות הקצה של Microsoft) ל אכיפה.
policies.json
תיאור: הגדרות מדיניות שיש לאכוף במכשיר.
report_xxx.json
תיאור: תוצאות אכיפה תואמות.
למידע נוסף
- מבט כולל על מנתח הלקוח
- הורד ולהפעל את מנתח הלקוח
- איסוף נתונים לפתרון בעיות מתקדם ב- Windows
- הבן את דוח ה- HTML של המנתח
עצה
האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.