Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
İpucu
İstemci çözümleyicisine genel bakış için bu videoyu izleyin: Uç Nokta için Defender istemci çözümleyicisine genel bakış
Windows'ta Uç Nokta için Defender istemci çözümleyicisini çalıştırmak için iki seçeneğiniz vardır:
- Canlı yanıtı kullanma
- İstemci çözümleyicisini cihazda yerel olarak çalıştırma
1. Seçenek: Canlı yanıt
Canlı Yanıt'ı kullanarak Uç Nokta için Defender çözümleyicisi destek günlüklerini uzaktan toplayabilirsiniz.
Seçenek 2: MDE İstemci Çözümleyicisi'ni yerel olarak çalıştırma
araştırmak istediğiniz Windows cihazına MDE İstemci Çözümleyicisi aracını veya MDE İstemci Çözümleyicisi aracını (önizleme) indirin. Dosya varsayılan olarak İndirilenler klasörünüze kaydedilir.
içeriğini
MDEClientAnalyzer.zipkullanılabilir bir klasöre ayıklayın.Yönetici izinlerine sahip bir komut satırı açın:
Başlangıç'a gidin ve cmd yazın.
Komut istemi'ne sağ tıklayın ve Yönetici olarak çalıştır'ı seçin.
Aşağıdaki komutu yazın ve Enter tuşuna basın:
*DrivePath*\MDEClientAnalyzer.cmdDrivePath'i MDEClientAnalyzer ayıkladığınız yolla değiştirin, örneğin:
C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd
Önceki yordama ek olarak, canlı yanıt kullanarak çözümleyici destek günlüklerini de toplayabilirsiniz..
Not
Windows 10 ve 11, Windows Server 2019 ve 2022 veya Windows Server 2012R2 ve 2016'da modern birleşik çözüm yüklüyse istemci çözümleyicisi betiği, bulut hizmeti URL'lerine bağlantı testlerini çalıştırmak için adlı MDEClientAnalyzer.exe yürütülebilir bir dosyayı çağırır.
Windows 8.1, Windows Server 2016 veya ekleme için Microsoft Monitoring Agent'ın (MMA) kullanıldığı herhangi bir işletim sistemi sürümünde istemci çözümleyicisi betiği, Komut ve Denetim (CnC) URL'leri için bağlantı testleri çalıştırmak üzere adlı MDEClientAnalyzerPreviousVersion.exe yürütülebilir bir dosyaya çağrı yaparken, Siber Veri kanalı URL'leri için Microsoft Monitoring Agent bağlantı aracına TestCloudConnection.exe da çağrıda bulunur.
İpucu
Ekleme sorunları hakkında daha fazla bilgi edinmek için bu videoyu izleyin: Uç Nokta için Defender istemci çözümleyicisi ekleme sorunları
Dikkat edilmesi gereken önemli noktalar
Çözümleyiciye dahil edilen tüm PowerShell betikleri ve modülleri Microsoft tarafından imzalandı. Dosyalar herhangi bir şekilde değiştirildiyse çözümleyicinin aşağıdaki hatayla çıkması beklenir:
Bu hatayı görürseniz, issuerInfo.txt çıktısı bunun neden oluştuğu ve etkilenen dosya hakkında ayrıntılı bilgiler içerir:
MDEClientAnalyzer.ps1 değiştirildikten sonra örnek içerik:
Windows'ta sonuç paketi içeriği
Not
Yakalanan dosyaların tam olarak değişmesi, aşağıdakiler gibi faktörlere bağlı olarak değişebilir:
- Çözümleyicinin çalıştırıldığı pencerelerin sürümü.
- Makinede olay günlüğü kanalı kullanılabilirliği.
- EDR algılayıcısının başlangıç durumu (Makine henüz eklenmemişse Akıllı durdurulur).
- Çözümleyici komutuyla gelişmiş bir sorun giderme parametresi kullanıldıysa.
Paketlenmemiş MDEClientAnalyzerResult.zip dosya varsayılan olarak aşağıdaki tabloda listelenen öğeleri içerir:
| Klasör | Öğe | Açıklama |
|---|---|---|
MDEClientAnalyzer.htm |
Bu, çözümleyici betiğinin makinede çalıştırabileceği bulguları ve yönergeleri içeren ana HTML çıkış dosyasıdır. | |
SystemInfoLogs |
AddRemovePrograms.csv |
Kayıt defterinden toplanan x64 işletim sistemindeki x64 yüklü yazılımların listesi |
SystemInfoLogs |
AddRemoveProgramsWOW64.csv |
Kayıt defterinden toplanan x64 işletim sistemindeki x86 yüklü yazılımların listesi |
SystemInfoLogs |
CertValidate.log |
CertUtil'e çağrılarak yürütülen sertifika iptalinden ayrıntılı sonuç |
SystemInfoLogs |
dsregcmd.txt |
dsregcmd çalıştırılan çıktı. Bu, makinenin Microsoft Entra durumu hakkında ayrıntılar sağlar. |
SystemInfoLogs |
IFEO.txt |
Makinede yapılandırılan Görüntü Dosyası Yürütme Seçeneklerinin Çıkışı |
SystemInfoLogs |
MDEClientAnalyzer.txt |
Bu, çözümleyici betiği yürütme ayrıntılarıyla birlikte gösterilen ayrıntılı metin dosyasıdır. |
SystemInfoLogs |
MDEClientAnalyzer.xml |
Çözümleyici betik bulgularını içeren XML biçimi |
SystemInfoLogs |
RegOnboardedInfoCurrent.Json |
Kayıt defterinden JSON biçiminde toplanan eklenen makine bilgileri |
SystemInfoLogs |
RegOnboardingInfoPolicy.Json |
Kayıt defterinden JSON biçiminde toplanan ekleme ilkesi yapılandırması |
SystemInfoLogs |
SCHANNEL.txt |
Kayıt defterinden toplanan makineye uygulanan SCHANNEL yapılandırmasıyla ilgili ayrıntılar |
SystemInfoLogs |
SessionManager.txt |
Oturum Yöneticisi'ne özgü ayarlar kayıt defterinden toplanır |
SystemInfoLogs |
SSL_00010002.txt |
Kayıt defterinden toplanan makineye uygulanan SSL yapılandırmasıyla ilgili ayrıntılar |
EventLogs |
utc.evtx |
DiagTrack olay günlüğünü dışarı aktarma |
EventLogs |
senseIR.evtx |
Otomatik Araştırma olay günlüğünü dışarı aktarma |
EventLogs |
sense.evtx |
Algılayıcı ana olay günlüğünü dışarı aktarma |
EventLogs |
OperationsManager.evtx |
Microsoft Monitoring Agent olay günlüğünü dışarı aktarma |
MdeConfigMgrLogs |
SecurityManagementConfiguration.json |
Zorlama için MEM'den (Microsoft Endpoint Manager) gönderilen yapılandırmalar |
MdeConfigMgrLogs |
policies.json |
Cihazda zorunlu kılınacak ilke ayarları |
MdeConfigMgrLogs |
report_xxx.json |
Karşılık gelen zorlama sonuçları |