Windows에서 클라이언트 분석기 실행

적용 대상:

• 엔드포인트용 Microsoft Defender 플랜 1
• 엔드포인트용 Microsoft Defender 플랜 2

옵션 1: 라이브 응답

라이브 응답을 사용하여 엔드포인트용 Defender 분석기 지원 로그를 원격으로 수집할 수 있습니다.

옵션 2: 로컬에서 MDE 클라이언트 분석기 실행

1. 조사하려는 Windows 디바이스에 MDE 클라이언트 분석기 도구 또는 베타 MDE 클라이언트 분석기 도구를 다운로드합니다.

   파일은 기본적으로 Downloads 폴더에 저장됩니다.

2. MDEClientAnalyzer.zip 콘텐츠를 사용 가능한 폴더로 추출합니다.

3. 관리자 권한이 있는 명령줄을 엽니다.

   1. 시작 (으)로 이동하고 cmd를 입력하십시오.
   2. 명령 프롬프트 을(를) 마우스 오른쪽 버튼으로 클릭하고 관리자 (으)로 실행을 선택합니다.

4. 다음 명령을 입력한 다음 Enter 키를 누릅니 다.

   *DrivePath*\MDEClientAnalyzer.cmd
   

   DrivePath를 MDEClientAnalyzer를 추출한 경로로 바꿉다. 예를 들면 다음과 같습니다.

   C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd
   

이전 절차 외에도 라이브 응답을 사용하여 분석기 지원 로그를 수집할 수도 있습니다.

참고

최신 통합 솔루션이 설치된 Windows 10 및 11, Windows Server 2019 및 2022 또는 Windows Server 2012R2 및 2016에서 클라이언트 분석기 스크립트는 호출 MDEClientAnalyzer.exe 된 실행 파일을 호출하여 클라우드 서비스 URL에 대한 연결 테스트를 실행합니다.

Windows 8.1, Windows Server 2016 또는 MMA(Microsoft Monitoring Agent)가 온보딩에 사용되는 이전 OS 버전에서 클라이언트 분석기 스크립트는 호출 MDEClientAnalyzerPreviousVersion.exe 된 실행 파일을 호출하여 CnC(명령 및 제어) URL에 대한 연결 테스트를 실행하는 동시에 사이버 데이터 채널 URL에 대한 Microsoft Monitoring Agent 연결 도구를 TestCloudConnection.exe 호출합니다.

유의해야 할 중요한 사항

분석기와 함께 포함된 모든 PowerShell 스크립트 및 모듈은 Microsoft 서명입니다. 파일이 어떤 방식으로든 수정된 경우 분석기는 다음 오류와 함께 종료될 것으로 예상됩니다.

이 오류가 표시되면 issuerInfo.txt 출력에는 이 문제가 발생한 이유 및 영향을 받는 파일에 대한 자세한 정보가 포함됩니다.

MDEClientAnalyzer.ps1 수정된 후의 예제 콘텐츠:

Windows의 결과 패키지 콘텐츠

참고

캡처된 정확한 파일은 다음과 같은 요인에 따라 변경될 수 있습니다.

• 분석기가 실행되는 창의 버전입니다.
• 컴퓨터의 이벤트 로그 채널 가용성.
• EDR 센서의 시작 상태입니다(컴퓨터가 아직 온보딩되지 않은 경우 Sense가 중지됨).
• 고급 문제 해결 매개 변수가 분석기 명령과 함께 사용된 경우

기본적으로 압축을 풀고 MDEClientAnalyzerResult.zip 파일에는 다음 항목이 포함됩니다.

• MDEClientAnalyzer.htm

  이 파일은 컴퓨터에서 실행되는 분석기 스크립트가 생성할 수 있는 결과와 지침을 포함하는 기본 HTML 출력 파일입니다.

• SystemInfoLogs [폴더]

  • AddRemovePrograms.csv

    설명: 레지스트리에서 수집된 x64 OS에 설치된 x64 소프트웨어 목록입니다.

  • AddRemoveProgramsWOW64.csv

    설명: 레지스트리에서 수집된 x64 OS에 설치된 x86 소프트웨어 목록입니다.

    • CertValidate.log

      설명: CertUtil로 호출하여 실행된 인증서 해지의 자세한 결과입니다.

    • dsregcmd.txt

      설명: 실행 중인 dsregcmd의 출력입니다. 그러면 컴퓨터의 Microsoft Entra 상태 대한 세부 정보가 제공됩니다.

    • IFEO.txt

      설명: 컴퓨터에 구성된 이미지 파일 실행 옵션 의 출력

    • MDEClientAnalyzer.txt

      설명: 분석기 스크립트 실행에 대한 세부 정보가 포함된 자세한 텍스트 파일입니다.

    • MDEClientAnalyzer.xml

      설명: 분석기 스크립트 결과를 포함하는 XML 형식입니다.

    • RegOnboardedInfoCurrent.Json

      설명: 레지스트리에서 JSON 형식으로 수집된 온보딩된 컴퓨터 정보입니다.

  • RegOnboardingInfoPolicy.Json

    설명: 레지스트리에서 JSON 형식으로 수집된 온보딩 정책 구성입니다.

    • SCHANNEL.txt

      설명: 레지스트리에서 수집된 컴퓨터에 적용된 SCHANNEL 구성 에 대한 세부 정보입니다.

    • SessionManager.txt

      설명: 세션 관리자 특정 설정은 레지스트리에서 수집됩니다.

    • SSL_00010002.txt

      설명: 레지스트리에서 수집된 컴퓨터에 적용된 SSL 구성 에 대한 세부 정보입니다.

• EventLogs [폴더]

  • utc.evtx

    설명: DiagTrack 이벤트 로그 내보내기

  • senseIR.evtx

    설명: 자동화된 조사 이벤트 로그 내보내기

  • sense.evtx

    설명: 센서 기본 이벤트 로그 내보내기

  • OperationsManager.evtx

    설명: Microsoft Monitoring Agent 이벤트 로그 내보내기

• MdeConfigMgrLogs [폴더]

  • SecurityManagementConfiguration.json

    설명: 적용을 위해 MEM(Microsoft Endpoint Manager)에서 전송된 구성입니다.

  • policies.json

    설명: 디바이스에 적용할 정책 설정입니다.

  • report_xxx.json

    설명: 해당 적용 결과입니다.

참고 항목

• 클라이언트 분석기 개요
• 클라이언트 분석기 다운로드 및 실행
• Windows에서 고급 문제 해결을 위한 데이터 수집
• 분석기 HTML 보고서 이해

팁

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.