Az ügyfélelemző futtatása Windows rendszeren

Érintett szolgáltatás:

• Végponthoz készült Microsoft Defender 1. csomag
• Végponthoz készült Microsoft Defender 2. csomag

1. lehetőség: Élő válasz

A Végponthoz készült Defender elemző támogatási naplóit távolról is összegyűjtheti az élő válasz használatával.

2. lehetőség: Az ügyfélelemző helyi futtatása MDE

1. Töltse le a MDE Ügyfélelemző eszközt vagy a Béta MDE Ügyfélelemző eszközt a vizsgálni kívánt Windows-eszközre.

   A fájl alapértelmezés szerint a Letöltések mappába lesz mentve.

2. Bontsa ki a MDEClientAnalyzer.zip tartalmát egy elérhető mappába.

3. Nyisson meg egy rendszergazdai engedélyekkel rendelkező parancssort:

   1. Nyissa meg a Start menüt , és írja be a cmd parancsot.
   2. Kattintson a jobb gombbal a Parancssor elemre , és válassza a Futtatás rendszergazdaként parancsot.

4. Írja be a következő parancsot, majd nyomja le az Enter billentyűt:

   *DrivePath*\MDEClientAnalyzer.cmd
   

   Cserélje le a DrivePath elemet az MDEClientAnalyzer kinyerési útvonalára, például:

   C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd
   

Az előző eljáráson kívül élő válasz használatával is gyűjtheti az elemző támogatási naplóit.

Megjegyzés:

A Windows 10 és 11, a Windows Server 2019 és 2022, illetve a Windows Server 2012R2 és 2016 rendszereken, amelyeken telepítve van a modern egységes megoldás, az ügyfélelemző szkript meghív egy nevű MDEClientAnalyzer.exe végrehajtható fájlba a felhőszolgáltatás URL-címeivel való kapcsolati tesztek futtatásához.

A Windows 8.1-ben Windows Server 2016 vagy bármely korábbi operációsrendszer-kiadásban, ahol a Microsoft Monitoring Agentet (MMA) használják az előkészítéshez, az ügyfélelemző szkript egy végrehajtható fájlba hívja a parancsMDEClientAnalyzerPreviousVersion.exe- és vezérlési (CnC) URL-címek kapcsolati tesztjeinek futtatását, miközben a Kiberadat-csatorna URL-címeinek Microsoft Monitoring Agent kapcsolati eszközébe TestCloudConnection.exe is betárcsáz.

Fontos szem előtt tartandó szempontok

Az elemző összes PowerShell-szkriptje és modulja Microsoft-aláírással van ellátva. Ha a fájlokat bármilyen módon módosították, akkor az elemző várhatóan kilép a következő hibával:

Ha ezt a hibát látja, a issuerInfo.txt kimenete részletes információkat tartalmaz a hiba okáról és az érintett fájlról:

Példa a tartalomra MDEClientAnalyzer.ps1 módosítása után:

Eredménycsomag tartalma Windows rendszeren

Megjegyzés:

A rögzített fájlok pontos neve az alábbi tényezőktől függően változhat:

• Annak az ablaknak a verziója, amelyen az elemző fut.
• Az eseménynapló-csatorna rendelkezésre állása a gépen.
• Az EDR-érzékelő indítási állapota (a Segéd leáll, ha a gép még nincs regisztrálva).
• Ha speciális hibaelhárítási paramétert használt az analyzer paranccsal.

Alapértelmezés szerint a kicsomagolt MDEClientAnalyzerResult.zip fájl a következő elemeket tartalmazza.

• MDEClientAnalyzer.htm

  Ez a fő HTML-kimeneti fájl, amely tartalmazza azokat az eredményeket és útmutatást, amelyeket az elemző szkript futtathat a gépen.

• SystemInfoLogs [Mappa]

  • AddRemovePrograms.csv

    Leírás: A beállításjegyzékből gyűjtött x64 operációs rendszeren telepített x64-szoftverek listája.

  • AddRemoveProgramsWOW64.csv

    Leírás: A beállításjegyzékből gyűjtött x64 operációs rendszeren található x86 telepített szoftverek listája.

    • CertValidate.log

      Leírás: A tanúsítvány visszavonásának részletes eredménye, amelyet a CertUtilbe való meghívással hajtottak végre.

    • dsregcmd.txt

      Leírás: Kimenet a dsregcmd futtatásából. Ez részletesen ismerteti a gép Microsoft Entra állapotát.

    • IFEO.txt

      Leírás: A számítógépen konfigurált képfájl-végrehajtási beállítások kimenete

    • MDEClientAnalyzer.txt

      Leírás: Ez egy részletes szövegfájl, amely az elemzőszkript végrehajtásának részleteit mutatja be.

    • MDEClientAnalyzer.xml

      Leírás: Az elemző szkript eredményeit tartalmazó XML-formátum.

    • RegOnboardedInfoCurrent.Json

      Leírás: A regisztrációs adatbázisból JSON formátumban gyűjtött előkészített gépadatok.

  • RegOnboardingInfoPolicy.Json

    Leírás: A regisztrációs szabályzat beállításjegyzékből JSON formátumban gyűjtött konfigurációja.

    • SCHANNEL.txt

      Leírás: A gépre alkalmazott, a beállításjegyzékből gyűjtött SCHANNEL-konfiguráció részletei.

    • SessionManager.txt

      Leírás: Munkamenet-kezelő-specifikus beállítások gyűjtése a beállításjegyzékből.

    • SSL_00010002.txt

      Leírás: A beállításjegyzékből gyűjtött gépre alkalmazott SSL-konfiguráció részletei.

• EventLogs [Mappa]

  • utc.evtx

    Leírás: DiagTrack-eseménynapló exportálása

  • senseIR.evtx

    Leírás: Az automatizált vizsgálat eseménynaplójának exportálása

  • sense.evtx

    Leírás: Az érzékelő fő eseménynaplójának exportálása

  • OperationsManager.evtx

    Leírás: A Microsoft Monitoring Agent eseménynaplójának exportálása

• MdeConfigMgrLogs [Mappa]

  • SecurityManagementConfiguration.json

    Leírás: A MEM (Microsoft Endpoint Manager) által kényszerítés céljából küldött konfigurációk.

  • policies.json

    Leírás: Az eszközön érvényesítendő szabályzatbeállítások.

  • report_xxx.json

    Leírás: Megfelelő kényszerítési eredmények.

Lásd még

• Ügyfélelemző áttekintése
• Az ügyfélelemző letöltése és futtatása
• Adatgyűjtés a Windows speciális hibaelhárításához
• Az elemző HTML-jelentésének értelmezése

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.