步驟 3:驗證用戶端對 適用於端點的 Microsoft Defender 服務 URL 的連線
適用於:
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
檢查用戶端是否能夠使用適用於端點的Defender用戶端分析器連線到適用於端點的Defender服務 URL,以確保端點能夠與服務通訊遙測。
如需適用於端點的 Defender 用戶端分析器的詳細資訊,請參閱使用 適用於端點的 Microsoft Defender Client Analyzer 針對感測器健康情況進行疑難解答。
注意事項
您可以先在裝置上線和上線之後,先在裝置上執行適用於端點的 Defender 用戶端分析器。
- 在已上線至適用於端點的Defender的裝置上測試時,此工具會使用上線參數。
- 在尚未上線至適用於端點的 Defender 的裝置上測試時,此工具會使用美國、英國和歐盟的預設值。
針對簡化連線所提供的合併服務 URL (新租使用者) 的預設值,在測試尚未上線至適用於端點的 Defender 的裝置時,使用 執行mdeclientanalyzer.cmd-o <path to MDE onboarding package >。 命令會使用上線腳本中的地理參數來測試連線能力。 否則,預設的上線前測試會針對標準 URL 集合執行。 如需詳細資訊,請參閱下一節。
確認 Proxy 設定已成功完成。 然後,WinHTTP 可以探索並透過您環境中的 Proxy 伺服器進行通訊,然後 Proxy 伺服器允許流向適用於端點的 Defender 服務 URL 的流量。
下載適用於端點的 Defender 感測器執行所在的 適用於端點的 Microsoft Defender Client Analyzer 工具。
擷取裝置上 MDEClientAnalyzer.zip 的內容。
開啟提高權限的命令列:
- 轉至 [開始] 並鍵入「cmd」。
- 以滑鼠右鍵按一下 [命令提示字元],然後選取 [以系統管理員身分執行]。
輸入以下命令,再按 Enter:
HardDrivePath\MDEClientAnalyzer.cmd將 HardDrivePath 取代為下載 MDEClientAnalyzer 工具的路徑。 例如:
C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd此工具會建立並擷取資料夾中要在 HardDrivePath 中使用的 MDEClientAnalyzerResult.zip 檔。
開 啟MDEClientAnalyzerResult.txt ,並確認您已執行 Proxy 設定步驟,以啟用伺服器探索和服務 URL 的存取。
此工具會檢查適用於端點的Defender服務URL的連線能力。 確定適用於端點的Defender用戶端已設定為互動。 此工具會針對每個可能用來與適用於端點的 Defender 服務通訊的 URL,列印 MDEClientAnalyzerResult.txt檔案中 的結果。 例如:
Testing URL : https://xxx.microsoft.com/xxx 1 - Default proxy: Succeeded (200) 2 - Proxy auto discovery (WPAD): Succeeded (200) 3 - Proxy disabled: Succeeded (200) 4 - Named proxy: Doesn't exist 5 - Command line proxy: Doesn't exist
如果任何一個連線選項傳回 (200) 狀態,則適用於端點的 Defender 用戶端可以使用此連線方法正確地與測試的 URL 通訊。
但是,如果連線檢查結果顯示失敗,則會顯示 HTTP 錯誤 (請參閱 HTTP 狀態碼)。 然後,您可以使用在 Proxy 伺服器中啟用適用於端點的 Defender 服務 URL 存取中所示表格中的 URL。 可用的 URL 取決於上線程式期間選取的區域。
注意事項
線上分析器工具的雲端連線能力檢查與攻擊面縮小規則 封鎖源自 PSExec 和 WMI 命令的進程建立不相容。 您必須暫時停用此規則,才能執行連線工具。 或者,您可以在執行分析器時暫時新增 ASR 排除 專案。
在登錄中或透過 群組原則 設定 TelemetryProxyServer 時,適用於端點的 Defender 會回復,而無法存取定義的 Proxy。
測試與簡化的上線方法的連線能力
如果您在尚未上線至適用於端點的 Defender 的裝置上測試連線能力,請使用與新裝置和移轉裝置相關的簡化方法 () :
下載相關OS的簡化上線套件。
從上架套件中擷取.cmd。
請依照上一節中的指示下載用戶端分析器。
mdeclientanalyzer.cmd -o <path to onboarding cmd file>從 MDEClientAnalyzer 資料夾內執行 。 命令會使用上線腳本中的地理參數來測試連線能力。
如果您要使用簡化的上線套件,在已上線至適用於端點的 Defender 裝置上測試連線能力,請如常執行適用於端點的 Defender 用戶端分析器。 此工具會使用設定的上線參數來測試連線能力。
如需如何存取簡化上線腳本的詳細資訊,請參閱 使用簡化的裝置連線將裝置上線。
Microsoft Monitoring Agent (MMA) 服務 URL 連線
請參閱下列指引,以在使用舊版 Windows 的 Microsoft Monitoring Agent (MMA) 時,消除特定環境的通配符 (*) 需求。
使用 Microsoft Monitoring Agent (MMA 將先前的作業系統上線) 至適用於端點的 Defender (,如需詳細資訊,請參閱在適用於 端點的 Defender 上將舊版 Windows 上線,並將 Windows 伺服器 上線) 。
確定計算機已成功向 Microsoft Defender 入口網站報告。
從執行 TestCloudConnection.exe 工具
C:\Program Files\Microsoft Monitoring Agent\Agent來驗證連線能力,以及取得特定工作區的必要URL。請查看 適用於端點的 Microsoft Defender URL 清單,以取得您區域需求的完整清單 (請參閱服務 URL 電子表格) 。
、 和 *.agentsvc.azure-automation.net URL 端點中*.ods.opinsights.azure.com*.oms.opinsights.azure.com使用的通配符 (*) 可以取代為您的特定工作區識別符。 工作區標識碼專屬於您的環境和工作區。 您可以在租使用者的 [上線] 區段中找到 Microsoft Defender 入口網站。
*.blob.core.windows.net URL 端點可以取代為測試結果的 [防火牆規則: *.blob.core.windows.net] 區段中顯示的 URL。
注意事項
若要透過雲端 Microsoft Defender 上線,可以使用多個工作區。 您必須在每個工作區 (的上線計算機上執行 TestCloudConnection.exe 程式,以判斷工作區) 之間的 *.blob.core.windows.net URL 是否有任何變更。