步骤 3:验证客户端与Microsoft Defender for Endpoint服务 URL 的连接
适用于:
希望体验 Defender for Endpoint? 注册免费试用版。
检查客户端是否能够使用 Defender for Endpoint 客户端分析器连接到 Defender for Endpoint 服务 URL,以确保终结点能够将遥测数据与服务通信。
有关 Defender for Endpoint 客户端分析器的详细信息,请参阅使用 Microsoft Defender for Endpoint Client Analyzer 排查传感器运行状况问题。
注意
可以在载入之前和加入后在设备上运行 Defender for Endpoint 客户端分析器。
- 在载入到 Defender for Endpoint 的设备上进行测试时,该工具将使用载入参数。
- 在尚未载入到 Defender for Endpoint 的设备上进行测试时,该工具将使用美国、英国和欧盟的默认值。
对于简化连接提供的合并服务 URL, (默认为新租户) ,在测试设备尚未载入 Defender for Endpoint 时,使用-o <path to MDE onboarding package >运行mdeclientanalyzer.cmd。 该命令将使用载入脚本中的地理参数来测试连接性。 否则,默认的预载入测试针对标准 URL 集运行。 有关更多详细信息,请参阅以下部分。
验证代理配置是否已成功完成。 然后,WinHTTP 可以通过环境中的代理服务器发现和通信,然后代理服务器将允许流量发送到 Defender for Endpoint 服务 URL。
下载运行 Defender for Endpoint 传感器的 Microsoft Defender for Endpoint 客户端分析器工具。
提取设备上 MDEClientAnalyzer.zip 的内容。
打开提升的命令行:
- 转到“开始”并键入“cmd”。
- 右键单击“命令提示符”,然后选择“以管理员身份运行”。
输入以下命令,再按 Enter:
HardDrivePath\MDEClientAnalyzer.cmd将 HardDrivePath 替换为下载 MDEClientAnalyzer 工具的路径。 例如:
C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd该工具在 文件夹中创建并提取 MDEClientAnalyzerResult.zip 文件,以在 HardDrivePath 中使用。
打开 MDEClientAnalyzerResult.txt 并验证是否已执行代理配置步骤,以启用服务器发现和访问服务 URL。
该工具检查 Defender for Endpoint 服务 URL 的连接。 确保 Defender for Endpoint 客户端配置为交互。 该工具在 MDEClientAnalyzerResult.txt 文件中输出每个 URL 的结果,这些 URL 可能用于与 Defender for Endpoint 服务通信。 例如:
Testing URL : https://xxx.microsoft.com/xxx 1 - Default proxy: Succeeded (200) 2 - Proxy auto discovery (WPAD): Succeeded (200) 3 - Proxy disabled: Succeeded (200) 4 - Named proxy: Doesn't exist 5 - Command line proxy: Doesn't exist
如果任一连接选项返回 (200) 状态,则 Defender for Endpoint 客户端可以使用此连接方法与测试的 URL 正确通信。
但是,如果连接检查结果显示失败,则会显示 HTTP 错误(请参阅 HTTP 状态代码)。 然后,可以使用在 代理服务器中启用对 Defender for Endpoint 服务 URL 的访问中显示的表中的 URL。 可用的 URL 取决于在载入过程中选择的区域。
注意
连接分析器工具的云连接性检查与攻击面减少规则 阻止源自 PSExec 和 WMI 命令的进程创建不兼容。 需要暂时禁用此规则才能运行连接工具。 或者,可以在运行分析器时暂时添加 ASR 排除 项。
在注册表中或通过 组策略 设置 TelemetryProxyServer 时,Defender for Endpoint 将回退,无法访问定义的代理。
测试与简化的载入方法的连接
如果在尚未使用简化方法载入 Defender for Endpoint 的设备上测试连接, (与新设备和迁移设备) 相关:
下载适用于相关 OS 的简化载入包。
从载入包中提取.cmd。
按照上一部分中的说明下载客户端分析器。
从 MDEClientAnalyzer 文件夹中运行
mdeclientanalyzer.cmd -o <path to onboarding cmd file>。 该命令使用载入脚本中的地理参数来测试连接性。
如果使用简化的载入包在载入到 Defender for Endpoint 的设备上测试连接性,请像平时一样运行 Defender for Endpoint 客户端分析器。 该工具使用配置的载入参数来测试连接性。
有关如何访问简化的载入脚本的详细信息,请参阅 使用简化的设备连接载入设备。
Microsoft Monitoring Agent (MMA) 服务 URL 连接
请参阅以下指南,以便在将 Microsoft Monitoring Agent (MMA) 用于早期版本的 Windows 时,消除特定环境的通配符 (*) 要求。
使用 Microsoft Monitoring Agent (MMA) 载入以前的操作系统到 Defender for Endpoint (有关详细信息,请参阅 在 Defender for Endpoint 上载入以前版本的 Windows 和 载入 Windows 服务器) 。
确保计算机已成功向Microsoft Defender门户报告。
从
C:\Program Files\Microsoft Monitoring Agent\Agent运行 TestCloudConnection.exe 工具以验证连接性,并获取特定工作区所需的 URL。查看Microsoft Defender for Endpoint URL 列表,了解区域要求的完整列表, (请参阅服务 URL 电子表格) 。
、 和 *.agentsvc.azure-automation.net URL 终结点中使用的*.ods.opinsights.azure.com*.oms.opinsights.azure.com通配符 (*) 可以替换为特定的工作区 ID。 工作区 ID 特定于环境和工作区。 可以在Microsoft Defender门户中租户的“载入”部分找到它。
*.blob.core.windows.net URL 终结点可以替换为测试结果的“防火墙规则:*.blob.core.windows.net”部分中显示的 URL。
注意
在通过 Microsoft Defender for Cloud 加入的情况下,可以使用多个工作区。 需要从每个工作区 (在载入的计算机上执行 TestCloudConnection.exe 过程,以确定工作区) 之间的 *.blob.core.windows.net URL 是否有任何更改。
后续步骤
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈