Nos Windows 10 e 11, Windows Server 2019 e 2022 ou Windows Server 2012R2 e 2016 com a solução unificada moderna instalada, o script do analisador de cliente chama para um ficheiro executável chamado MDEClientAnalyzer.exe para executar os testes de conectividade aos URLs do serviço cloud.
No Windows 8.1, Windows Server 2016 ou qualquer edição anterior do SO em que o Microsoft Monitoring Agent (MMA) é utilizado para integração, o script do analisador de cliente chama para um ficheiro executável chamado MDEClientAnalyzerPreviousVersion.exe para executar testes de conectividade para URLs de Comando e Controlo (CnC), ao mesmo tempo que chama para a ferramenta TestCloudConnection.exe de conectividade do Agente de Monitorização da Microsoft para URLs de canal de Dados Cibernéticos.
Pontos importantes a ter em conta
Todos os scripts e módulos do PowerShell incluídos no analisador são assinados pela Microsoft. Se os ficheiros foram modificados de alguma forma, espera-se que o analisador saia com o seguinte erro:
Se vir este erro, a saída do issuerInfo.txt contém informações detalhadas sobre o motivo deste erro e o ficheiro afetado:
Conteúdo de exemplo após MDEClientAnalyzer.ps1 ser modificado:
Conteúdo do pacote de resultados no Windows
Nota
Os ficheiros exatos capturados podem mudar consoante fatores como:
A versão do windows em que o analisador é executado.
Disponibilidade do canal de registo de eventos no computador.
O estado de início do sensor EDR (o sensor é parado se a máquina ainda não estiver integrada).
Se tiver sido utilizado um parâmetro de resolução de problemas avançado com o comando do analisador.
Por predefinição, o ficheiro de MDEClientAnalyzerResult.zip desempacotado contém os seguintes itens.
MDEClientAnalyzer.htm
Este é o ficheiro de saída HTML principal, que irá conter as conclusões e a documentação de orientação que o script do analisador executa na máquina virtual.
SystemInfoLogs [Pasta]
AddRemovePrograms.csv
Descrição: lista de software x64 instalado no SO x64 recolhido do registo.
AddRemoveProgramsWOW64.csv
Descrição: lista de software x86 instalado no SO x64 recolhido do registo.
CertValidate.log
Descrição: resultado detalhado da revogação do certificado executado ao chamar o CertUtil.
dsregcmd.txt
Descrição: saída da execução de dsregcmd. Esta ação fornece detalhes sobre o estado Microsoft Entra do computador.