排查Microsoft Defender for Endpoint实时响应问题

适用于:

希望体验 Defender for Endpoint? 注册免费试用版

本页提供用于排查实时响应问题的详细步骤。

实时响应会话期间无法访问文件

如果在实时响应会话期间尝试执行操作时遇到一条错误消息,指出无法访问该文件,则需要使用以下步骤来解决此问题。

  1. 复制以下脚本代码片段并将其保存为 PS1 文件:

    $copied_file_path=$args[0]
    $action=Copy-Item $copied_file_path -Destination $env:TEMP -PassThru -ErrorAction silentlyContinue
    
    if ($action){
         Write-Host "You copied the file specified in $copied_file_path to $env:TEMP Succesfully"
    }
    
    else{
        Write-Output "Error occoured while trying to copy a file, details:"
        Write-Output  $error[0].exception.message
    
    }
    
  2. 将脚本添加到实时响应库。

  3. 使用一个参数运行脚本:要复制的文件的文件路径。

  4. 导航到 TEMP 文件夹。

  5. 运行要对复制的文件执行的操作。

初始连接期间实时响应会话缓慢或延迟

实时响应利用 Windows 中 WNS 服务的 Defender for Endpoint 传感器注册。 如果实时响应出现连接问题,请确认以下详细信息:

  1. 不禁用 WpnService (Windows 推送通知系统服务) 。
  2. WpnService 与 WNS 云的连接不会通过组策略或 MDM 设置被禁用。 “关闭通知网络使用情况” 不应设置为“1”。

请参阅以下文章,以充分了解 WpnService 服务行为和要求: