排查Microsoft Defender for Endpoint实时响应问题

适用于：

• Microsoft Defender for Endpoint 计划 1
• Microsoft Defender for Endpoint 计划 2
• Microsoft Defender XDR

希望体验 Defender for Endpoint？ 注册免费试用版。

本页提供了排查实时响应问题的详细步骤。

在实时响应会话期间无法访问文件

如果在实时响应会话期间尝试执行操作时遇到错误消息，指出无法访问该文件，请执行以下步骤来解决此问题。

1. 复制以下脚本代码片段并将其另存为 PS1 文件：

   $copied_file_path=$args[0]
   $action=Copy-Item $copied_file_path -Destination $env:TEMP -PassThru -ErrorAction silentlyContinue
   
   if ($action){
        Write-Host "You copied the file specified in $copied_file_path to $env:TEMP Successfully"
   }
   
   else{
       Write-Output "Error occurred while trying to copy a file, details:"
       Write-Output  $error[0].exception.message
   
   }
   

2. 将脚本添加到实时响应库。

3. 使用一个参数运行脚本：要复制的文件的文件路径。

4. 导航到 TEMP 文件夹。

5. 对复制的文件运行要执行的操作。

初始连接期间实时响应会话缓慢或延迟

实时响应在 Windows 中使用 Defender for Endpoint 传感器注册到 WNS 服务。 如果实时响应存在连接问题，请确认以下详细信息：

1. 未禁用 WpnService (Windows 推送通知系统服务) 。

2. WpnService 与 WNS 云的连接不会通过组策略或 MDM 设置禁用。 不应将“关闭通知网络使用情况” 设置为 1。

请参阅以下文章，充分了解 WpnService 服务行为和要求：

• Windows 推送通知服务 (WNS) 概述
• 支持 WNS 流量的企业防火墙和代理配置
• Microsoft 推送通知服务 (MPNS) 公共 IP 范围

提示

想要了解更多信息？ Engage技术社区中的 Microsoft 安全社区：Microsoft Defender for Endpoint技术社区。