Eseguire l'analizzatore client in Windows

Si applica a:

• Microsoft Defender per endpoint Piano 1
• Microsoft Defender per endpoint Piano 2

Opzione 1: Risposta dinamica

È possibile raccogliere i log di supporto dell'analizzatore di Defender per endpoint in remoto usando Live Response.

Opzione 2: Eseguire MDE Client Analyzer in locale

1. Scaricare lo strumento analizzatore client MDE o lo strumento Beta MDE Client Analyzer nel dispositivo Windows che si vuole analizzare.

   Il file viene salvato nella cartella Download per impostazione predefinita.

2. Estrarre il contenuto di MDEClientAnalyzer.zip in una cartella disponibile.

3. Aprire una riga di comando con autorizzazioni di amministratore:

   1. Passare a Start e digitare cmd.
   2. Fare clic con il pulsante destro del mouse su Prompt dei comandi e scegliere Esegui come amministratore.

4. Digitare il comando seguente e quindi premere INVIO:

   *DrivePath*\MDEClientAnalyzer.cmd
   

   Sostituire DrivePath con il percorso in cui è stato estratto MDEClientAnalyzer, ad esempio:

   C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd
   

Oltre alla procedura precedente, è anche possibile raccogliere i log di supporto dell'analizzatore usando la risposta dinamica.

Nota

In Windows 10 e 11, Windows Server 2019 e 2022 o Windows Server 2012R2 e 2016 con la soluzione unificata moderna installata, lo script dell'analizzatore client chiama in un file eseguibile chiamato MDEClientAnalyzer.exe per eseguire i test di connettività agli URL del servizio cloud.

In Windows 8.1, Windows Server 2016 o qualsiasi edizione precedente del sistema operativo in cui viene usato Microsoft Monitoring Agent (MMA) per l'onboarding, lo script dell'analizzatore client chiama in un file eseguibile chiamato MDEClientAnalyzerPreviousVersion.exe per eseguire i test di connettività per gli URL di comando e controllo (CnC) e allo stesso tempo chiama lo strumento TestCloudConnection.exe di connettività di Microsoft Monitoring Agent per gli URL del canale Cyber Data.

Punti importanti da tenere a mente

Tutti gli script e i moduli di PowerShell inclusi nell'analizzatore sono firmati da Microsoft. Se i file sono stati modificati in qualche modo, l'analizzatore dovrebbe uscire con l'errore seguente:

Se viene visualizzato questo errore, l'output issuerInfo.txt contiene informazioni dettagliate sul motivo per cui si è verificato e sul file interessato:

Contenuto di esempio dopo la modifica di MDEClientAnalyzer.ps1:

Contenuto del pacchetto dei risultati in Windows

Nota

I file esatti acquisiti possono cambiare a seconda di fattori come:

• Versione delle finestre in cui viene eseguito l'analizzatore.
• Disponibilità del canale del log eventi nel computer.
• Stato di avvio del sensore EDR (Sense viene arrestato se il computer non è ancora stato caricato).
• Se è stato usato un parametro di risoluzione dei problemi avanzato con il comando dell'analizzatore.

Per impostazione predefinita, il file MDEClientAnalyzerResult.zip decompresso contiene gli elementi seguenti.

• MDEClientAnalyzer.htm

  Questo è il file di output HTML principale, che conterrà i risultati e le indicazioni che lo script dell'analizzatore può produrre nel computer.

• SystemInfoLogs [Cartella]

  • AddRemovePrograms.csv

    Descrizione: elenco del software installato x64 nel sistema operativo x64 raccolto dal Registro di sistema.

  • AddRemoveProgramsWOW64.csv

    Descrizione: elenco del software installato x86 nel sistema operativo x64 raccolto dal Registro di sistema.

    • CertValidate.log

      Descrizione: risultato dettagliato della revoca del certificato eseguita chiamando CertUtil.

    • dsregcmd.txt

      Descrizione: output dall'esecuzione di dsregcmd. Vengono fornite informazioni dettagliate sullo stato Microsoft Entra del computer.

    • IFEO.txt

      Descrizione: Output delle opzioni di esecuzione del file di immagine configurate nel computer

    • MDEClientAnalyzer.txt

      Descrizione: file di testo dettagliato che mostra i dettagli dell'esecuzione dello script dell'analizzatore.

    • MDEClientAnalyzer.xml

      Descrizione: formato XML contenente i risultati dello script dell'analizzatore.

    • RegOnboardedInfoCurrent.Json

      Descrizione: informazioni sul computer di cui è stato caricato raccolte in formato JSON dal Registro di sistema.

  • RegOnboardingInfoPolicy.Json

    Descrizione: configurazione dei criteri di onboarding raccolti in formato JSON dal Registro di sistema.

    • SCHANNEL.txt

      Descrizione: dettagli sulla configurazione SCHANNEL applicata al computer raccolto dal Registro di sistema.

    • SessionManager.txt

      Descrizione: le impostazioni specifiche di Session Manager vengono raccolte dal Registro di sistema.

    • SSL_00010002.txt

      Descrizione: dettagli sulla configurazione SSL applicata al computer raccolto dal Registro di sistema.

• EventLogs [Cartella]

  • utc.evtx

    Descrizione: Esportazione del log eventi di DiagTrack

  • senseIR.evtx

    Descrizione: Esportazione del registro eventi di indagine automatizzata

  • sense.evtx

    Descrizione: Esportazione del log eventi principale del sensore

  • OperationsManager.evtx

    Descrizione: Esportazione del registro eventi di Microsoft Monitoring Agent

• MdeConfigMgrLogs [Cartella]

  • SecurityManagementConfiguration.json

    Descrizione: configurazioni inviate da MEM (Microsoft Endpoint Manager) per l'imposizione.

  • policies.json

    Descrizione: impostazioni dei criteri da applicare al dispositivo.

  • report_xxx.json

    Descrizione: risultati dell'imposizione corrispondenti.

Vedere anche

• Panoramica dell'analizzatore client
• Scaricare ed eseguire l'analizzatore client
• Raccolta di dati per la risoluzione avanzata dei problemi in Windows
• Informazioni sui report HTML dell'analizzatore

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.