Az ügyfélelemző futtatása Windows rendszeren
Érintett szolgáltatás:
1. lehetőség: Élő válasz
A Végponthoz készült Defender elemző támogatási naplóit távolról is összegyűjtheti az élő válasz használatával.
2. lehetőség: Az ügyfélelemző helyi futtatása MDE
Töltse le a MDE Ügyfélelemző eszközt vagy a Béta MDE Ügyfélelemző eszközt a vizsgálni kívánt Windows-eszközre.
A fájl alapértelmezés szerint a Letöltések mappába lesz mentve.
Bontsa ki a MDEClientAnalyzer.zip tartalmát egy elérhető mappába.
Nyisson meg egy rendszergazdai engedélyekkel rendelkező parancssort:
- Nyissa meg a Start menüt , és írja be a cmd parancsot.
- Kattintson a jobb gombbal a Parancssor elemre , és válassza a Futtatás rendszergazdaként parancsot.
Írja be a következő parancsot, majd nyomja le az Enter billentyűt:
*DrivePath*\MDEClientAnalyzer.cmd
Cserélje le a DrivePath elemet az MDEClientAnalyzer kinyerési útvonalára, például:
C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd
Az előző eljáráson kívül élő válasz használatával is gyűjtheti az elemző támogatási naplóit.
Megjegyzés:
A Windows 10 és 11, a Windows Server 2019 és 2022, illetve a Windows Server 2012R2 és 2016 rendszereken, amelyeken telepítve van a modern egységes megoldás, az ügyfélelemző szkript meghív egy nevű MDEClientAnalyzer.exe
végrehajtható fájlba a felhőszolgáltatás URL-címeivel való kapcsolati tesztek futtatásához.
A Windows 8.1-ben Windows Server 2016 vagy bármely korábbi operációsrendszer-kiadásban, ahol a Microsoft Monitoring Agentet (MMA) használják az előkészítéshez, az ügyfélelemző szkript egy végrehajtható fájlba hívja a parancsMDEClientAnalyzerPreviousVersion.exe
- és vezérlési (CnC) URL-címek kapcsolati tesztjeinek futtatását, miközben a Kiberadat-csatorna URL-címeinek Microsoft Monitoring Agent kapcsolati eszközébe TestCloudConnection.exe
is betárcsáz.
Fontos szem előtt tartandó szempontok
Az elemző összes PowerShell-szkriptje és modulja Microsoft-aláírással van ellátva. Ha a fájlokat bármilyen módon módosították, akkor az elemző várhatóan kilép a következő hibával:
Ha ezt a hibát látja, a issuerInfo.txt kimenete részletes információkat tartalmaz a hiba okáról és az érintett fájlról:
Példa a tartalomra MDEClientAnalyzer.ps1 módosítása után:
Eredménycsomag tartalma Windows rendszeren
Megjegyzés:
A rögzített fájlok pontos neve az alábbi tényezőktől függően változhat:
- Annak az ablaknak a verziója, amelyen az elemző fut.
- Az eseménynapló-csatorna rendelkezésre állása a gépen.
- Az EDR-érzékelő indítási állapota (a Segéd leáll, ha a gép még nincs regisztrálva).
- Ha speciális hibaelhárítási paramétert használt az analyzer paranccsal.
Alapértelmezés szerint a kicsomagolt MDEClientAnalyzerResult.zip fájl a következő elemeket tartalmazza.
MDEClientAnalyzer.htm
Ez a fő HTML-kimeneti fájl, amely tartalmazza azokat az eredményeket és útmutatást, amelyeket az elemző szkript futtathat a gépen.
SystemInfoLogs [Mappa]
AddRemovePrograms.csv
Leírás: A beállításjegyzékből gyűjtött x64 operációs rendszeren telepített x64-szoftverek listája.
AddRemoveProgramsWOW64.csv
Leírás: A beállításjegyzékből gyűjtött x64 operációs rendszeren található x86 telepített szoftverek listája.
CertValidate.log
Leírás: A tanúsítvány visszavonásának részletes eredménye, amelyet a CertUtilbe való meghívással hajtottak végre.
dsregcmd.txt
Leírás: Kimenet a dsregcmd futtatásából. Ez részletesen ismerteti a gép Microsoft Entra állapotát.
IFEO.txt
Leírás: A számítógépen konfigurált képfájl-végrehajtási beállítások kimenete
MDEClientAnalyzer.txt
Leírás: Ez egy részletes szövegfájl, amely az elemzőszkript végrehajtásának részleteit mutatja be.
MDEClientAnalyzer.xml
Leírás: Az elemző szkript eredményeit tartalmazó XML-formátum.
RegOnboardedInfoCurrent.Json
Leírás: A regisztrációs adatbázisból JSON formátumban gyűjtött előkészített gépadatok.
RegOnboardingInfoPolicy.Json
Leírás: A regisztrációs szabályzat beállításjegyzékből JSON formátumban gyűjtött konfigurációja.
SCHANNEL.txt
Leírás: A gépre alkalmazott, a beállításjegyzékből gyűjtött SCHANNEL-konfiguráció részletei.
SessionManager.txt
Leírás: Munkamenet-kezelő-specifikus beállítások gyűjtése a beállításjegyzékből.
SSL_00010002.txt
Leírás: A beállításjegyzékből gyűjtött gépre alkalmazott SSL-konfiguráció részletei.
EventLogs [Mappa]
utc.evtx
Leírás: DiagTrack-eseménynapló exportálása
senseIR.evtx
Leírás: Az automatizált vizsgálat eseménynaplójának exportálása
sense.evtx
Leírás: Az érzékelő fő eseménynaplójának exportálása
OperationsManager.evtx
Leírás: A Microsoft Monitoring Agent eseménynaplójának exportálása
MdeConfigMgrLogs [Mappa]
SecurityManagementConfiguration.json
Leírás: A MEM (Microsoft Endpoint Manager) által kényszerítés céljából küldött konfigurációk.
policies.json
Leírás: Az eszközön érvényesítendő szabályzatbeállítások.
report_xxx.json
Leírás: Megfelelő kényszerítési eredmények.
Lásd még
- Ügyfélelemző áttekintése
- Az ügyfélelemző letöltése és futtatása
- Adatgyűjtés a Windows speciális hibaelhárításához
- Az elemző HTML-jelentésének értelmezése
Tipp
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: