Dela via


Felsöka sensorhälsa med hjälp av Microsoft Defender för Endpoint Client Analyzer

Gäller för:

Microsoft Defender för Endpoint Client Analyzer (MDECA) kan vara användbart när du diagnostiserar problem med sensorhälsa eller tillförlitlighet på registrerade enheter som kör antingen Windows, Linux eller macOS. Du kanske till exempel vill köra analysatorn på en dator som verkar vara skadad enligt den visade sensorhälsostatusen (inaktiv, inga sensordata eller nedsatt kommunikation) i säkerhetsportalen.

Förutom uppenbara sensorhälsoproblem kan MDECA samla in andra spårningar, loggar och diagnostikinformation för felsökning av komplexa scenarier som:

Sekretessmeddelande

  • Verktyget Microsoft Defender för Endpoint Client Analyzer används regelbundet av Microsoft Customer Support Services (CSS) för att samla in information som hjälper dig att felsöka problem som kan uppstå med Microsoft Defender för Endpoint.

  • Insamlade data kan innehålla personligt identifierbar information (PII) och/eller känsliga data, till exempel (men inte begränsat till) IP-adresser, datornamn och användarnamn.

  • När datainsamlingen är klar sparar verktyget data lokalt på datorn i en undermapp och komprimerad zip-fil.

  • Inga data skickas automatiskt till Microsoft. Om du använder verktyget under samarbetet i ett supportärende kan du bli ombedd att skicka komprimerade data till Microsoft CSS med hjälp av Secure File Exchange för att underlätta undersökningen av problemet.

Mer information om Säker filutbyte finns i Använda Säker filutbyte för att utbyta filer med Microsoft Support

Mer information om vår sekretesspolicy finns i Microsofts sekretesspolicy.

Krav

  • Innan du kör analysatorn rekommenderar vi att du ser till att proxy- eller brandväggskonfigurationen ger åtkomst till Microsoft Defender för Endpoint-tjänstens URL:er.

  • Analysatorn kan köras på utgåvor av Windows, Linux eller macOS som stöds, antingen före efter onboarding till Microsoft Defender för Endpoint.

  • För Windows-enheter, om du kör analysverktyg direkt på specifika datorer och inte via fjärranslutning via Live Response, bör SysInternals PsExec.exe tillåtas (åtminstone tillfälligt) att köras. Analysatorn anropar PsExec.exe verktyg för att köra molnanslutningskontroller som lokalt system och emulera SENSE-tjänstens beteende.

    Obs!

    Om du på Windows-enheter använder regeln för minskning av attackytan Blockera processskapande som kommer från PSExec- och WMI-kommandon, kanske du tillfälligt vill konfigurera ett undantag till ASR-regeln. Du kan också ange att regeln ska granskas eller så kan du inaktivera regeln. Genom att göra dessa konfigurationer kan analysatorn köra anslutningskontroller till molnet utan att blockeras.

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.