Executar o Client Analyzer no Windows

Aplica-se a:

• API do Microsoft Defender para Endpoint 1
• Microsoft Defender para Endpoint Plano 2

Opção 1: Resposta em direto

Pode recolher os registos de suporte do analisador do Defender para Endpoint remotamente com a Resposta em Direto.

Opção 2: Executar MDE Analisador de Cliente localmente

1. Transfira a ferramenta MDE Client Analyzer ou a ferramenta Beta MDE Client Analyzer para o dispositivo Windows que pretende investigar.

   O ficheiro é guardado na pasta Transferências por predefinição.

2. Extraia o conteúdo de MDEClientAnalyzer.zip para uma pasta disponível.

3. Abra uma linha de comandos com permissões de administrador:

   1. Aceda a Iniciar e escreva cmd.
   2. Clique com o botão direito do rato em Linha de comandos e selecione Executar como administrador.

4. Escreva o seguinte comando e, em seguida, prima Enter:

   *DrivePath*\MDEClientAnalyzer.cmd
   

   Substitua DrivePath pelo caminho onde extraiu MDEClientAnalyzer, por exemplo:

   C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd
   

Além do procedimento anterior, também pode recolher os registos de suporte do analisador com a resposta em direto..

Nota

Nos Windows 10 e 11, Windows Server 2019 e 2022 ou Windows Server 2012R2 e 2016 com a solução unificada moderna instalada, o script do analisador de cliente chama para um ficheiro executável chamado MDEClientAnalyzer.exe para executar os testes de conectividade aos URLs do serviço cloud.

No Windows 8.1, Windows Server 2016 ou qualquer edição anterior do SO em que o Microsoft Monitoring Agent (MMA) é utilizado para integração, o script do analisador de cliente chama para um ficheiro executável chamado MDEClientAnalyzerPreviousVersion.exe para executar testes de conectividade para URLs de Comando e Controlo (CnC), ao mesmo tempo que chama para a ferramenta TestCloudConnection.exe de conectividade do Agente de Monitorização da Microsoft para URLs de canal de Dados Cibernéticos.

Pontos importantes a ter em conta

Todos os scripts e módulos do PowerShell incluídos no analisador são assinados pela Microsoft. Se os ficheiros foram modificados de alguma forma, espera-se que o analisador saia com o seguinte erro:

Se vir este erro, a saída do issuerInfo.txt contém informações detalhadas sobre o motivo deste erro e o ficheiro afetado:

Conteúdo de exemplo após MDEClientAnalyzer.ps1 ser modificado:

Conteúdo do pacote de resultados no Windows

Nota

Os ficheiros exatos capturados podem mudar consoante fatores como:

• A versão do windows em que o analisador é executado.
• Disponibilidade do canal de registo de eventos no computador.
• O estado de início do sensor EDR (o sensor é parado se a máquina ainda não estiver integrada).
• Se tiver sido utilizado um parâmetro de resolução de problemas avançado com o comando do analisador.

Por predefinição, o ficheiro de MDEClientAnalyzerResult.zip desempacotado contém os seguintes itens.

• MDEClientAnalyzer.htm

  Este é o ficheiro de saída HTML principal, que irá conter as conclusões e a documentação de orientação que o script do analisador executa na máquina virtual.

• SystemInfoLogs [Pasta]

  • AddRemovePrograms.csv

    Descrição: lista de software x64 instalado no SO x64 recolhido do registo.

  • AddRemoveProgramsWOW64.csv

    Descrição: lista de software x86 instalado no SO x64 recolhido do registo.

    • CertValidate.log

      Descrição: resultado detalhado da revogação do certificado executado ao chamar o CertUtil.

    • dsregcmd.txt

      Descrição: saída da execução de dsregcmd. Esta ação fornece detalhes sobre o estado Microsoft Entra do computador.

    • IFEO.txt

      Descrição: Saída das Opções de Execução de Ficheiros de Imagem configuradas no computador

    • MDEClientAnalyzer.txt

      Descrição: este é um ficheiro de texto verboso que mostra os detalhes da execução do script do analisador.

    • MDEClientAnalyzer.xml

      Descrição: formato XML que contém as conclusões do script do analisador.

    • RegOnboardedInfoCurrent.Json

      Descrição: as informações do computador integrado recolhidas no formato JSON do registo.

  • RegOnboardingInfoPolicy.Json

    Descrição: a configuração da política de inclusão recolhida no formato JSON do registo.

    • SCHANNEL.txt

      Descrição: detalhes sobre a configuração do SCHANNEL aplicada ao computador, como recolhidos a partir do registo.

    • SessionManager.txt

      Descrição: as definições específicas do Gestor de Sessões são recolhidas a partir do registo.

    • SSL_00010002.txt

      Descrição: detalhes sobre a configuração de SSL aplicada ao computador recolhido do registo.

• EventLogs [Pasta]

  • utc.evtx

    Descrição: Exportação do registo de eventos do DiagTrack

  • senseIR.evtx

    Descrição: Exportar do registo de eventos da Investigação Automatizada

  • sense.evtx

    Descrição: Exportação do registo de eventos principal do Sensor

  • OperationsManager.evtx

    Descrição: Exportar do registo de eventos do Microsoft Monitoring Agent

• MdeConfigMgrLogs [Pasta]

  • SecurityManagementConfiguration.json

    Descrição: configurações enviadas a partir do MEM (Microsoft Endpoint Manager) para imposição.

  • policies.json

    Descrição: definições de políticas a serem impostas no dispositivo.

  • report_xxx.json

    Descrição: resultados de imposição correspondentes.

Consulte também

• Descrição geral do Client Analyzer
• Transferir e executar o Client Analyzer
• Recolha de dados para resolução de problemas avançados no Windows
• Compreender o relatório HTML do Analyzer

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.