分享方式:


步驟 3:驗證用戶端對 適用於端點的 Microsoft Defender 服務 URL 的連線

適用於:

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

檢查用戶端是否能夠使用適用於端點的Defender用戶端分析器連線到適用於端點的Defender服務 URL,以確保端點能夠與服務通訊遙測。

如需適用於端點的 Defender 用戶端分析器的詳細資訊,請參閱使用 適用於端點的 Microsoft Defender Client Analyzer 針對感測器健康情況進行疑難解答

注意事項

您可以先在裝置上線和上線之後,先在裝置上執行適用於端點的 Defender 用戶端分析器。

  • 在已上線至適用於端點的Defender的裝置上測試時,此工具會使用上線參數。
  • 在尚未上線至適用於端點的 Defender 的裝置上測試時,此工具會使用美國、英國和歐盟的預設值。
    針對簡化連線所提供的合併服務 URL (新租使用者) 的預設值,在測試尚未上線至適用於端點的 Defender 的裝置時,使用 執行 mdeclientanalyzer.cmd-o <path to MDE onboarding package >。 命令會使用上線腳本中的地理參數來測試連線能力。 否則,預設的上線前測試會針對標準 URL 集合執行。 如需詳細資訊,請參閱下一節。

確認 Proxy 設定已成功完成。 然後,WinHTTP 可以探索並透過您環境中的 Proxy 伺服器進行通訊,然後 Proxy 伺服器允許流向適用於端點的 Defender 服務 URL 的流量。

  1. 下載適用於端點的 Defender 感測器執行所在的 適用於端點的 Microsoft Defender Client Analyzer 工具

  2. 擷取裝置上 MDEClientAnalyzer.zip 的內容。

  3. 開啟提高權限的命令列:

    1. 轉至 [開始] 並鍵入「cmd」
    2. 以滑鼠右鍵按一下 [命令提示字元],然後選取 [以系統管理員身分執行]
  4. 輸入以下命令,再按 Enter

    HardDrivePath\MDEClientAnalyzer.cmd
    

    HardDrivePath 取代為下載 MDEClientAnalyzer 工具的路徑。 例如:

    C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd
    
  5. 此工具會建立並擷取資料夾中要在 HardDrivePath 中使用的 MDEClientAnalyzerResult.zip 檔。

  6. 啟MDEClientAnalyzerResult.txt ,並確認您已執行 Proxy 設定步驟,以啟用伺服器探索和服務 URL 的存取。

    此工具會檢查適用於端點的Defender服務URL的連線能力。 確定適用於端點的Defender用戶端已設定為互動。 此工具會針對每個可能用來與適用於端點的 Defender 服務通訊的 URL,列印 MDEClientAnalyzerResult.txt檔案中 的結果。 例如:

    Testing URL : https://xxx.microsoft.com/xxx
    1 - Default proxy: Succeeded (200)
    2 - Proxy auto discovery (WPAD): Succeeded (200)
    3 - Proxy disabled: Succeeded (200)
    4 - Named proxy: Doesn't exist
    5 - Command line proxy: Doesn't exist
    

如果任何一個連線選項傳回 (200) 狀態,則適用於端點的 Defender 用戶端可以使用此連線方法正確地與測試的 URL 通訊。

但是,如果連線檢查結果顯示失敗,則會顯示 HTTP 錯誤 (請參閱 HTTP 狀態碼)。 然後,您可以使用在 Proxy 伺服器中啟用適用於端點的 Defender 服務 URL 存取中所示表格中的 URL。 可用的 URL 取決於上線程式期間選取的區域。

注意事項

線上分析器工具的雲端連線能力檢查與攻擊面縮小規則 封鎖源自 PSExec 和 WMI 命令的進程建立不相容。 您必須暫時停用此規則,才能執行連線工具。 或者,您可以在執行分析器時暫時新增 ASR 排除 專案。

在登錄中或透過 群組原則 設定 TelemetryProxyServer 時,適用於端點的 Defender 會回復,而無法存取定義的 Proxy。

測試與簡化的上線方法的連線能力

如果您在尚未上線至適用於端點的 Defender 的裝置上測試連線能力,請使用與新裝置和移轉裝置相關的簡化方法 () :

  1. 下載相關OS的簡化上線套件。

  2. 從上架套件中擷取.cmd。

  3. 請依照上一節中的指示下載用戶端分析器。

  4. mdeclientanalyzer.cmd -o <path to onboarding cmd file>從 MDEClientAnalyzer 資料夾內執行 。 命令會使用上線腳本中的地理參數來測試連線能力。

如果您要使用簡化的上線套件,在已上線至適用於端點的 Defender 裝置上測試連線能力,請如常執行適用於端點的 Defender 用戶端分析器。 此工具會使用設定的上線參數來測試連線能力。

如需如何存取簡化上線腳本的詳細資訊,請參閱 使用簡化的裝置連線將裝置上線

Microsoft Monitoring Agent (MMA) 服務 URL 連線

請參閱下列指引,以在使用舊版 Windows 的 Microsoft Monitoring Agent (MMA) 時,消除特定環境的通配符 (*) 需求。

  1. 使用 Microsoft Monitoring Agent (MMA 將先前的作業系統上線) 至適用於端點的 Defender (,如需詳細資訊,請參閱在適用於 端點的 Defender 上將舊版 Windows 上線,並將 Windows 伺服器 上線) 。

  2. 確定計算機已成功向 Microsoft Defender 入口網站報告。

  3. 從執行 TestCloudConnection.exe 工具 C:\Program Files\Microsoft Monitoring Agent\Agent 來驗證連線能力,以及取得特定工作區的必要URL。

  4. 請查看 適用於端點的 Microsoft Defender URL 清單,以取得您區域需求的完整清單 (請參閱服務 URL 電子表格) 。

這是系統管理員 PowerShell。

、 和 *.agentsvc.azure-automation.net URL 端點中*.ods.opinsights.azure.com*.oms.opinsights.azure.com使用的通配符 (*) 可以取代為您的特定工作區識別符。 工作區標識碼專屬於您的環境和工作區。 您可以在租使用者的 [上線] 區段中找到 Microsoft Defender 入口網站。

*.blob.core.windows.net URL 端點可以取代為測試結果的 [防火牆規則: *.blob.core.windows.net] 區段中顯示的 URL。

注意事項

若要透過雲端 Microsoft Defender 上線,可以使用多個工作區。 您必須在每個工作區 (的上線計算機上執行 TestCloudConnection.exe 程式,以判斷工作區) 之間的 *.blob.core.windows.net URL 是否有任何變更。

下一步

將 Windows 客戶上線 Windows Server上線非 Windows 裝置