通过

在 Windows 上运行客户端分析器

  • 项目

适用于:

选项 1:实时响应

可以使用 实时响应远程收集 Defender for Endpoint 分析器支持日志。

选项 2:在本地运行MDE客户端分析器

  1. MDE客户端分析器工具Beta 版MDE客户端分析器工具下载到要调查的 Windows 设备。

    默认情况下,该文件将保存到“下载”文件夹。

  2. 将 MDEClientAnalyzer.zip 的内容提取到可用文件夹。

  3. 使用管理员权限打开命令行:

    1. 转到“开始”并键入“cmd”。
    2. 右键单击“命令提示符”,然后选择“以管理员身份运行”。

  4. 键入以下命令,然后按 Enter

    *DrivePath*\MDEClientAnalyzer.cmd

    DrivePath 替换为提取 MDEClientAnalyzer 的路径,例如:

    C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd

除了前面的过程,还可以 使用实时响应收集分析器支持日志

注意

在安装了新式统一解决方案的 Windows 10 和 11、Windows Server 2019 和 2022 或 Windows Server 2012R2 和 2016 上,客户端分析器脚本调用名为 MDEClientAnalyzer.exe 的可执行文件,以运行云服务 URL 的连接测试。

在 microsoft Monitoring Agent (MMA) 用于加入的 Windows 8.1、Windows Server 2016 或任何以前的 OS 版本上,客户端分析器脚本调用名为 MDEClientAnalyzerPreviousVersion.exe 的可执行文件,以运行命令和控制 (CnC) URL 的连接测试,同时同时调用网络数据通道 URL 的 Microsoft Monitoring Agent 连接工具TestCloudConnection.exe

要记住的要点

分析器附带的所有 PowerShell 脚本和模块都是 Microsoft 签名的。 如果以任何方式修改了文件,则预期分析器退出并出现以下错误:

客户端分析器错误

如果看到此错误,则 issuerInfo.txt 输出包含有关发生此错误的原因和受影响的文件的详细信息:

颁发者信息

修改 MDEClientAnalyzer.ps1 后的示例内容:

修改后的 ps1 文件

Windows 上的结果包内容

注意

捕获的确切文件可能会根据以下因素而更改:

  • 运行分析器的窗口版本。
  • 计算机上的事件日志通道可用性。
  • 如果计算机尚未载入) ,则 EDR 传感器 (Sense 的启动状态将停止。
  • 如果高级故障排除参数与分析器命令一起使用。

默认情况下,解压缩 MDEClientAnalyzerResult.zip 文件包含以下项。

  • MDEClientAnalyzer.htm

    这是main HTML 输出文件,其中包含在计算机上运行的分析器脚本可以生成的发现结果和指导。

  • SystemInfoLogs [文件夹]

    • AddRemovePrograms.csv

      说明:从注册表收集的 x64 OS 上安装的 x64 软件的列表。

    • AddRemoveProgramsWOW64.csv

      说明:从注册表收集的 x64 OS 上安装的 x86 软件列表。

      • CertValidate.log

        说明:通过调用 CertUtil 来执行证书吊销的详细结果。

      • dsregcmd.txt

        说明:运行 dsregcmd 的输出。 这会提供有关计算机Microsoft Entra状态的详细信息。

      • IFEO.txt

        说明:计算机上配置的 映像文件执行选项 的输出

      • MDEClientAnalyzer.txt

        说明:这是一个详细的文本文件,其中显示了分析器脚本执行的详细信息。

      • MDEClientAnalyzer.xml

        说明:包含分析器脚本结果的 XML 格式。

      • RegOnboardedInfoCurrent.Json

        说明:从注册表中以 JSON 格式收集的载入计算机信息。

    • RegOnboardingInfoPolicy.Json

      说明:从注册表以 JSON 格式收集的载入策略配置。

      • SCHANNEL.txt

        说明:有关应用于计算机(例如从注册表收集) 的 SCHANNEL 配置 的详细信息。

      • SessionManager.txt

        说明:从注册表收集特定于会话管理器的设置。

      • SSL_00010002.txt

        说明:有关应用于从注册表收集的计算机的 SSL 配置 的详细信息。

  • EventLogs [文件夹]

    • utc.evtx

      说明:导出 DiagTrack 事件日志

    • senseIR.evtx

      说明:导出自动调查事件日志

    • sense.evtx

      说明:导出传感器main事件日志

    • OperationsManager.evtx

      说明:导出 Microsoft Monitoring Agent 事件日志

  • MdeConfigMgrLogs [文件夹]

    • SecurityManagementConfiguration.json

      说明:从 MEM (Microsoft Endpoint Manager) 发送的配置以供强制执行。

    • policies.json

      说明:要在设备上强制实施的策略设置。

    • report_xxx.json

      说明:相应的强制结果。

另请参阅

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区