Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Sugerencia
Vea este vídeo para obtener información general sobre el analizador de cliente: Información general del analizador de cliente de Defender para punto de conexión
Tiene dos opciones para ejecutar el analizador de cliente de Defender para punto de conexión en Windows:
- Uso de la respuesta en directo
- Ejecución local del analizador de cliente en el dispositivo
Opción 1: Respuesta activa
Puede recopilar los registros de soporte técnico del analizador de Defender para punto de conexión de forma remota mediante Live Response.
Opción 2: Ejecutar el analizador de cliente MDE localmente
Descargue la herramienta MDE Client Analyzer o la herramienta MDE Client Analyzer (versión preliminar) en el dispositivo Windows que quiera investigar. El archivo se guarda en la carpeta Descargas de forma predeterminada.
Extraiga el contenido de
MDEClientAnalyzer.zipen una carpeta disponible.Abra una línea de comandos con permisos de administrador:
Vaya a Inicio y escriba cmd.
Haga clic derecho en Símbolo del sistema y seleccione Ejecutar como administrador.
Escriba el comando siguiente y presione Entrar:
*DrivePath*\MDEClientAnalyzer.cmdReemplace DrivePath por la ruta de acceso donde extrajo MDEClientAnalyzer, por ejemplo:
C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd
Además del procedimiento anterior, también puede recopilar los registros de soporte técnico del analizador mediante la respuesta en vivo.
Nota:
En Windows 10 y 11, Windows Server 2019 y 2022, o Windows Server 2012R2 y 2016 con la solución unificada moderna instalada, el script del analizador de cliente llama a un archivo ejecutable llamado MDEClientAnalyzer.exe para ejecutar las pruebas de conectividad a las direcciones URL del servicio en la nube.
En Windows 8.1, Windows Server 2016 o cualquier edición del sistema operativo anterior en la que se usa Microsoft Monitoring Agent (MMA) para la incorporación, el script del analizador de cliente llama a un archivo ejecutable llamado MDEClientAnalyzerPreviousVersion.exe para ejecutar pruebas de conectividad para direcciones URL de comando y control (CnC) al mismo tiempo que llama a la herramienta TestCloudConnection.exe de conectividad del Agente de supervisión de Microsoft para direcciones URL de canal de datos cibernéticos.
Sugerencia
Vea este vídeo para obtener más información sobre los problemas de incorporación: Problemas de incorporación del analizador de cliente de Defender para punto de conexión
Puntos importantes a tener en cuenta
Todos los scripts y módulos de PowerShell incluidos con el analizador están firmados por Microsoft. Si los archivos se modificaron de alguna manera, se espera que el analizador salga con el siguiente error:
Si ve este error, la salida de issuerInfo.txt contiene información detallada sobre por qué ocurrió esto y el archivo afectado:
Contenido de ejemplo después de modificar MDEClientAnalyzer.ps1:
Contenido del paquete de resultados en Windows
Nota:
Los archivos exactos capturados pueden cambiar en función de factores como:
- Versión de las ventanas en las que se ejecuta el analizador.
- Disponibilidad del canal del registro de eventos en la máquina.
- El estado de inicio del sensor EDR (Sense se detiene si la máquina aún no está incorporada).
- Si se usó un parámetro de solución de problemas avanzado con el comando analyzer.
De forma predeterminada, el archivo desempaquetado MDEClientAnalyzerResult.zip contiene los elementos enumerados en la tabla siguiente:
| Folder | Elemento | Descripción |
|---|---|---|
MDEClientAnalyzer.htm |
Este es el archivo de salida HTML principal, que contiene los resultados y las instrucciones que puede generar el script del analizador que se ejecuta en la máquina. | |
SystemInfoLogs |
AddRemovePrograms.csv |
Lista de software instalado x64 en el sistema operativo x64 recopilado del registro |
SystemInfoLogs |
AddRemoveProgramsWOW64.csv |
Lista de software x86 instalado en el sistema operativo x64 recopilado del registro |
SystemInfoLogs |
CertValidate.log |
Resultado detallado de la revocación de certificados ejecutada mediante una llamada a CertUtil |
SystemInfoLogs |
dsregcmd.txt |
Salida de la ejecución de dsregcmd. Esto proporciona detalles sobre el estado Microsoft Entra de la máquina. |
SystemInfoLogs |
IFEO.txt |
Salida de las opciones de ejecución de archivos de imagen configuradas en el equipo |
SystemInfoLogs |
MDEClientAnalyzer.txt |
Se trata de un archivo de texto detallado que muestra los detalles de la ejecución del script del analizador. |
SystemInfoLogs |
MDEClientAnalyzer.xml |
Formato XML que contiene los resultados del script del analizador |
SystemInfoLogs |
RegOnboardedInfoCurrent.Json |
La información de máquina incorporada recopilada en formato JSON del registro |
SystemInfoLogs |
RegOnboardingInfoPolicy.Json |
La configuración de directiva de incorporación recopilada en formato JSON del registro |
SystemInfoLogs |
SCHANNEL.txt |
Detalles sobre la configuración de SCHANNEL aplicada a la máquina tal como se recopila del registro |
SystemInfoLogs |
SessionManager.txt |
La configuración específica del Administrador de sesiones se recopila del registro |
SystemInfoLogs |
SSL_00010002.txt |
Detalles sobre la configuración SSL aplicada a la máquina recopilada del registro |
EventLogs |
utc.evtx |
Exportación del registro de eventos de DiagTrack |
EventLogs |
senseIR.evtx |
Exportación del registro de eventos de investigación automatizada |
EventLogs |
sense.evtx |
Exportación del registro de eventos principal del sensor |
EventLogs |
OperationsManager.evtx |
Exportación del registro de eventos de Microsoft Monitoring Agent |
MdeConfigMgrLogs |
SecurityManagementConfiguration.json |
Configuraciones enviadas desde MEM (Microsoft Endpoint Manager) para su cumplimiento |
MdeConfigMgrLogs |
policies.json |
Configuración de directivas que se aplicará en el dispositivo |
MdeConfigMgrLogs |
report_xxx.json |
Resultados de cumplimiento correspondientes |
Vea también
- Información general del Analizador de clientes
- Recopilación de datos para solucionar problemas avanzados en Windows
- Comprender el informe HTML del analizador
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.