共用方式為

步驟 3:驗證客戶端與 適用於端點的 Microsoft Defender 服務網址的連線

  • 適用於: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

請檢查用戶端是否能使用 Defender for Endpoint 用戶端分析器連接 Defender for Endpoint 服務的 URL,以確保用戶端能將遙測資料傳送給服務。

欲了解更多關於 Defender for Endpoint 用戶端分析器的資訊,請參閱使用 適用於端點的 Microsoft Defender 適用於端點的 Microsoft Defender 用戶端分析器故障

注意事項

你可以在裝置上執行 Defender for Endpoint 客戶端分析器,無論是在上線前還是上線後。

  • 在安裝到 Defender for Endpoint 的裝置上測試時,工具會使用啟動參數。
  • 當尚未正式導入 Defender for Endpoint 的裝置上測試時,該工具會使用美國、英國和歐盟的預設值。
    對於新租戶 (簡化連接所提供的整合服務網址,) ,測試尚未導入 Defender for Endpoint 的裝置時,請使用 mdeclientanalyzer.cmd-o <path to MDE onboarding package >。 指令會利用啟動腳本中的地理參數來測試連線性。 否則,預設的入門前測試會針對標準 URL 設定執行。 詳情請見以下章節。

確認代理設定是否成功完成。 WinHTTP 接著能透過你環境中的代理伺服器發現並通訊,代理伺服器再允許流量傳送到 Defender for Endpoint 服務的網址。

  1. 下載適用於端點的 Microsoft Defender Client Analyzer 工具,該工具正運行 Defender for Endpoint 感測器。

  2. 從裝置上提取 MDEClientAnalyzer.zip 內容。

  3. 開啟提高權限的命令列:

    1. 轉至 [開始] 並鍵入「cmd」
    2. 以滑鼠右鍵按一下 [命令提示字元],然後選取 [以系統管理員身分執行]

  4. 輸入以下命令,再按 Enter

    HardDrivePath\MDEClientAnalyzer.cmd

    HardDrivePath 替換成下載 MDEClientAnalyzer 工具的路徑。 例如:

    C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd

  5. 該工具會建立並解壓資料夾中的 MDEClientAnalyzerResult.zip 檔案,用於 HardDrivePath

  6. 打開 MDEClientAnalyzerResult.txt 並確認你已經完成代理設定步驟,以啟用伺服器發現並存取服務網址。

    該工具會檢查 Defender for Endpoint 服務 URL 的連線性。 確保 Defender for Endpoint 用戶端已設定為互動功能。 工具會將結果列印在每個可能用於與 Defender for Endpoint 服務通訊的 URL 的 MDEClientAnalyzerResult.txt 檔案中。 例如:

    Testing URL : https://xxx.microsoft.com/xxx
1 - Default proxy: Succeeded (200)
2 - Proxy auto discovery (WPAD): Succeeded (200)
3 - Proxy disabled: Succeeded (200)
4 - Named proxy: Doesn't exist
5 - Command line proxy: Doesn't exist

如果任一連接選項回傳 (200) 狀態,Defender for Endpoint 用戶端就能透過此連線方式正確與測試的 URL 通訊。

但是,如果連線檢查結果顯示失敗,則會顯示 HTTP 錯誤 (請參閱 HTTP 狀態碼)。 接著你可以在 代理伺服器中啟用 Defender for Endpoint 服務 URL 的表格中使用這些網址。 可用的網址依入職過程中所選地區而異。

注意事項

連接分析工具的雲端連線檢查與源 自 PSExec 和 WMI 指令的攻擊面減少規則區塊程序不相容。 你需要暫時停用此規則,才能執行連接工具。 或者,你也可以在執行分析儀時暫時加入 ASR 排除 項目。

當 TelemetryProxyServer 在登錄檔或群組原則中設定時,Defender for Endpoint 會回退,無法存取定義的代理。

測試與簡化入職流程的連接性

如果你正在測試尚未導入 Defender for Endpoint 的裝置,採用簡化方式 (對新裝置和遷移裝置都相關) :

  1. 下載針對相關作業系統的簡化入職套件。

  2. 從入職套件中提取.cmd。

  3. 請依照前一節的指示下載 Client Analyzer。

  4. mdeclientanalyzer.cmd -o <path to onboarding cmd file> MDEClientAnalyzer 資料夾執行。 該指令利用入職腳本中的地理參數來測試連線性。

如果你正在測試使用 簡化版 Defender for Endpoint 的裝置連線,請照常執行 Defender for Endpoint 客戶端分析器。 該工具利用設定的入職參數來測試連線。

欲了解更多如何存取簡化的入職腳本,請參閱 使用簡化裝置連接的裝置入門

Microsoft 監控代理 (MMA) 服務 URL 連線

請參閱以下指引,以消除在使用先前 Windows 版本 Microsoft 監控代理程式 (MMA) 時,針對特定環境的萬用符 (*) 要求。

  1. 將先前作業系統安裝 Microsoft 監控代理程式 (MMA) 導入 Defender for Endpoint。 欲了解更多資訊,請參閱 Onboard Windows Server 2016 及 Windows Server 2012 R2

  2. 確保機器成功回報至 Microsoft Defender 入口網站。

  3. 執行 TestCloudConnection.exe C:\Program Files\Microsoft Monitoring Agent\Agent 工具來驗證連線,並取得你特定工作區所需的網址。

  4. 請參閱適用於端點的 Microsoft Defender網址清單以了解您所在地區的完整需求 (參考服務網址試算表) 。

這是管理員版的 PowerShell。

萬用字元在 、 和 *.oms.opinsights.azure.com*.agentsvc.azure-automation.net URL 端點中使用的萬用字元 (*) *.ods.opinsights.azure.com可以替換成你專屬的工作區 ID。 Workspace ID 是針對你的環境和工作區而設的。 它可以在 Microsoft Defender 入口網站的租戶入職頁面中找到。

*.blob.core.windows.net URL 端點可被測試結果中「防火牆規則:*.blob.core.windows.net」區塊中顯示的網址取代。

注意事項

以 適用於雲端的 Microsoft Defender 的導入為例,可以使用多個工作空間。 你需要在每個工作區 (的機上執行 TestCloudConnection.exe 程序,以判斷工作區間的 *.blob.core.windows.net URL 是否有變動) 。

下一步

  • Last updated on