Megosztás a következőn keresztül:


3. LÉPÉS: Az Végponthoz készült Microsoft Defender szolgáltatás URL-címeinek ügyfélkapcsolatának ellenőrzése

Érintett szolgáltatás:

Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra

Ellenőrizze, hogy az ügyfelek képesek-e csatlakozni a Végponthoz készült Defender szolgáltatás URL-címeihez a Végponthoz készült Defender ügyfélelemző használatával, hogy a végpontok képesek legyenek telemetriát kommunikálni a szolgáltatással.

A Végponthoz készült Defender ügyfélelemzővel kapcsolatos további információkért lásd: Érzékelő állapotának hibaelhárítása Végponthoz készült Microsoft Defender Client Analyzer használatával.

Megjegyzés:

A Végponthoz készült Defender ügyfélelemzőt az előkészítés előtt és az előkészítés után is futtathatja az eszközökön.

  • Amikor a Végponthoz készült Defenderbe előkészített eszközön tesztel, az eszköz az előkészítési paramétereket fogja használni.
  • Ha egy olyan eszközön tesztel, amelyet még nem előkészített a Végponthoz készült Defenderbe, az eszköz az Egyesült Államok, az Egyesült Királyság és az EU alapértelmezett értékeit fogja használni.
    Az egyszerűsített kapcsolat által biztosított összevont szolgáltatás URL-címek esetében (alapértelmezett az új bérlők esetében), amikor a végponthoz készült Defenderbe még nem előkészített eszközöket teszteli, futtassa az parancsot mdeclientanalyzer.cmd a következővel -o <path to MDE onboarding package >: . A parancs az előkészítési szkript geoparamétereit fogja használni a kapcsolat teszteléséhez. Ellenkező esetben az alapértelmezett előkészítés előtti teszt a szabványos URL-címkészlettel fut. További részletekért tekintse meg a következő szakaszt.

Ellenőrizze, hogy a proxykonfiguráció sikeresen befejeződött-e. A WinHTTP ezután felderítheti és kommunikálhat a környezetben lévő proxykiszolgálón keresztül, majd a proxykiszolgáló engedélyezi a Végponthoz készült Defender szolgáltatás URL-címei felé irányuló forgalmat.

  1. Töltse le az Végponthoz készült Microsoft Defender Ügyfélelemző eszközt, amelyen a Végponthoz készült Defender érzékelő fut.

  2. Bontsa ki a MDEClientAnalyzer.zip tartalmát az eszközön.

  3. Nyisson meg egy emelt szintű parancssort:

    1. Nyissa meg a Start menüt , és írja be a cmd parancsot.
    2. Kattintson a jobb gombbal a Parancssor elemre , és válassza a Futtatás rendszergazdaként parancsot.
  4. Írja be a következő parancsot, és nyomja le az Enter billentyűt:

    HardDrivePath\MDEClientAnalyzer.cmd
    

    Cserélje le a HardDrivePath elemet arra az elérési útra, ahová az MDEClientAnalyzer eszközt letöltötte. Például:

    C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd
    
  5. Az eszköz létrehozza és kinyeri a MDEClientAnalyzerResult.zip fájlt a HardDrivePath-ban használni kívánt mappában.

  6. Nyissa meg MDEClientAnalyzerResult.txt , és ellenőrizze, hogy végrehajtotta-e a proxykonfiguráció lépéseit a kiszolgálófelderítés és a szolgáltatás URL-címéhez való hozzáférés engedélyezéséhez.

    Az eszköz ellenőrzi a Végponthoz készült Defender szolgáltatás URL-címeinek kapcsolatát. Győződjön meg arról, hogy a Végponthoz készült Defender ügyfél konfigurálva van az interakcióra. Az eszköz minden olyan URL-cím MDEClientAnalyzerResult.txt fájljában nyomtatja ki az eredményeket, amelyek felhasználhatók a Végponthoz készült Defender-szolgáltatásokkal való kommunikációhoz. Például:

    Testing URL : https://xxx.microsoft.com/xxx
    1 - Default proxy: Succeeded (200)
    2 - Proxy auto discovery (WPAD): Succeeded (200)
    3 - Proxy disabled: Succeeded (200)
    4 - Named proxy: Doesn't exist
    5 - Command line proxy: Doesn't exist
    

Ha a csatlakozási lehetőségek bármelyike (200) állapotot ad vissza, akkor a Végponthoz készült Defender-ügyfél képes megfelelően kommunikálni a tesztelt URL-címmel ezzel a kapcsolati módszerrel.

Ha azonban a kapcsolat-ellenőrzési eredmények hibát jeleznek, HTTP-hiba jelenik meg (lásd: HTTP-állapotkódok). Ezután használhatja az URL-címeket a Végponthoz készült Defender szolgáltatás URL-címeinek engedélyezése a proxykiszolgálón című témakörben található táblázatban. A használható URL-címek az előkészítési eljárás során kiválasztott régiótól függenek.

Megjegyzés:

A Connectivity Analyzer eszköz felhőalapú kapcsolati ellenőrzései nem kompatibilisek a PSExec- és WMI-parancsokból származó támadásifelület-csökkentési szabály blokkfolyamat-létrehozásaival. A kapcsolati eszköz futtatásához ideiglenesen le kell tiltania ezt a szabályt. Azt is megteheti, hogy ideiglenesen ASR-kizárásokat ad hozzá az elemző futtatásakor.

Ha a TelemetryProxyServer beállításjegyzékben vagy Csoportházirend keresztül van beállítva, a Végponthoz készült Defender visszaesik, és nem fér hozzá a megadott proxyhoz.

Az egyszerűsített előkészítési módszerhez való csatlakozás tesztelése

Ha olyan eszközön teszteli a kapcsolatot, amely még nem lett regisztrálva a Végponthoz készült Defenderhez az egyszerűsített megközelítéssel (az új és az áttelepítési eszközök esetében egyaránt fontos):

  1. Töltse le a megfelelő operációs rendszerhez készült egyszerűsített előkészítési csomagot.

  2. Bontsa ki a .cmd az előkészítési csomagból.

  3. Az ügyfélelemző letöltéséhez kövesse az előző szakaszban található utasításokat.

  4. Futtassa a parancsot mdeclientanalyzer.cmd -o <path to onboarding cmd file> az MDEClientAnalyzer mappából. A parancs az előkészítési szkript geoparamétereit használja a kapcsolat teszteléséhez.

Ha egy végponthoz készült Defenderhez előkészített eszközön teszteli a kapcsolatot az egyszerűsített előkészítési csomag használatával, futtassa a Végponthoz készült Defender ügyfélelemzőt a szokásos módon. Az eszköz a konfigurált előkészítési paramétereket használja a kapcsolat teszteléséhez.

Az egyszerűsített előkészítési szkriptek elérésével kapcsolatos további információkért lásd: Eszközök előkészítése egyszerűsített eszközkapcsolattal.

A Microsoft Monitoring Agent (MMA) szolgáltatás URL-kapcsolatai

Az alábbi útmutató segítségével kiküszöbölheti az adott környezet helyettesítő karakterekkel (*) kapcsolatos követelményét, amikor a Microsoft Monitoring Agentet (MMA) használja a Windows korábbi verzióiban.

  1. Egy korábbi operációs rendszer előkészítése a Microsoft Monitoring Agent (MMA) használatával a Végponthoz készült Defenderbe (további információ: A Windows korábbi verzióinak előkészítése a Végponthoz készült Defenderben és Windows-kiszolgálók előkészítése).

  2. Győződjön meg arról, hogy a gép sikeresen jelent a Microsoft Defender portálon.

  3. A TestCloudConnection.exe eszköz C:\Program Files\Microsoft Monitoring Agent\Agent futtatásával ellenőrizze a kapcsolatot, és kérje le az adott munkaterülethez szükséges URL-címeket.

  4. A régióra vonatkozó követelmények teljes listáját az Végponthoz készült Microsoft Defender URL-címek listájában találja (tekintse meg a szolgáltatás URL-címeit tartalmazó táblázatot).

Ez rendszergazdai PowerShell.

A , *.oms.opinsights.azure.comés *.agentsvc.azure-automation.net URL-végpontokban *.ods.opinsights.azure.comhasznált helyettesítő karakterek (*) lecserélhetők az adott munkaterület-azonosítóra. A munkaterület azonosítója az Ön környezetére és munkaterületére jellemző. Ez a bérlő Előkészítés szakaszában található a Microsoft Defender portálon.

Az *.blob.core.windows.net URL-végpont lecserélhető a teszteredmények "Tűzfalszabály: *.blob.core.windows.net" szakaszában látható URL-címekre.

Megjegyzés:

Az Microsoft Defender for Cloudon keresztül történő előkészítés esetén több munkaterület is használható. Minden munkaterületről el kell végeznie a TestCloudConnection.exe eljárást az előkészített gépen (annak megállapításához, hogy vannak-e módosítások a munkaterületek között a *.blob.core.windows.net URL-címeken).

További lépés

Windows-ügyfél előkészítése A Windows Serverelőkészítése nem Windows rendszerű eszközök előkészítése