提示
觀看此影片以取得用戶端分析器的概觀: 適用於端點的 Defender 用戶端分析器概觀
您有兩個選項可在 Windows 上執行適用於端點的 Defender 用戶端分析器:
- 使用即時回應
- 在裝置上本機執行用戶端分析器
選項 1:即時回應
您可以使用 即時回應從遠端收集適用於端點的 Defender 分析器支援記錄。
選項 2:在本機執行 MDE 用戶端分析器
下載 MDE 用戶端分析器工具 或 MDE 用戶端分析器工具 ( 預覽要調查的 Windows 裝置的) 。 預設情況下,該檔案會儲存到您的下載資料夾中。
將 的內容
MDEClientAnalyzer.zip解壓縮到可用的資料夾中。開啟具有管理員權限的命令列:
轉至 [開始] 並鍵入「cmd」。
以滑鼠右鍵按一下 [命令提示字元],然後選取 [以系統管理員身分執行]。
鍵入下列命令,然後按 Enter:
*DrivePath*\MDEClientAnalyzer.cmd將 DrivePath 取代為您擷取 MDEClientAnalyzer 的路徑,例如:
C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd
除了上一個程序之外,您還可以使用即時回應來收集分析器支援日誌。
注意事項
在 Windows 10 和 11、Windows Server 2019 和 2022 或安裝新式統一解決方案的 Windows Server 2012R2 和 2016 上,用戶端分析器腳本會呼叫呼叫MDEClientAnalyzer.exe可執行檔,以執行雲端服務 URL 的連線測試。
在 Windows 8.1、Windows Server 2016 或任何先前的作業系統版本上,其中使用 Microsoft Monitoring Agent (MMA) 進行上線,用戶端分析器 Script 會呼叫呼叫執行檔MDEClientAnalyzerPreviousVersion.exe,以執行 CnC) URL (指令與控制的連線功能測試,同時也Microsoft呼叫 Cyber Data 通道 URL 的 Monitoring Agent 連線功能工具TestCloudConnection.exe。
提示
觀看此影片以深入瞭解上線問題: 適用於端點的 Defender 用戶端分析器上線問題
請注意重要要點
分析器隨附的所有 PowerShell 腳本和模組都是 Microsoft 簽署的。 如果檔案以任何方式修改,則分析器預期會結束,並顯示下列錯誤:
如果您看到此錯誤,issuerInfo.txt 輸出包含有關發生此情況的原因和受影響檔案的詳細資訊:
修改 MDEClientAnalyzer.ps1 後的內容範例:
Windows 上的結果套件內容
注意事項
擷取的確切檔案可能會因以下因素而變更:
- 執行分析器的 Windows 版本。
- 計算機上的事件記錄檔通道可用性。
- 如果機器尚未上線) ,則 EDR 感應器 (Sense 的啟動狀態會停止。
- 如果進階疑難排解參數與分析器指令搭配使用。
依預設,解壓縮的 MDEClientAnalyzerResult.zip 檔案包含下表中列出的項目:
| 資料夾 | 項目 | 描述 |
|---|---|---|
MDEClientAnalyzer.htm |
這是主要的 HTML 輸出檔,其中包含在機器上執行的分析器 Script 可以產生的發現項目和指引。 | |
SystemInfoLogs |
AddRemovePrograms.csv |
從登錄收集的 x64 作業系統上安裝的 x64 軟體清單 |
SystemInfoLogs |
AddRemoveProgramsWOW64.csv |
從登錄收集的 x64 操作系統上安裝的 x86 軟件列表 |
SystemInfoLogs |
CertValidate.log |
呼叫 CertUtil 所執行憑證撤銷的詳細結果 |
SystemInfoLogs |
dsregcmd.txt |
執行 dsregcmd 的輸出。 這會提供機器 Microsoft Entra 狀態的詳細數據。 |
SystemInfoLogs |
IFEO.txt |
本機上設定的 影像檔案執行選項 的輸出 |
SystemInfoLogs |
MDEClientAnalyzer.txt |
這是詳細的文字檔,顯示分析器指令碼執行的詳細資料。 |
SystemInfoLogs |
MDEClientAnalyzer.xml |
包含分析器指令碼發現項目的 XML 格式 |
SystemInfoLogs |
RegOnboardedInfoCurrent.Json |
從登錄以 JSON 格式收集的已上線電腦資訊 |
SystemInfoLogs |
RegOnboardingInfoPolicy.Json |
從登錄以 JSON 格式收集的上線原則組態 |
SystemInfoLogs |
SCHANNEL.txt |
套用至從登錄收集之計算機的 SCHANNEL 設定 詳細數據 |
SystemInfoLogs |
SessionManager.txt |
從登錄收集會話管理員特定設定 |
SystemInfoLogs |
SSL_00010002.txt |
套用至從登錄收集之電腦的 SSL 組態 的詳細資料 |
EventLogs |
utc.evtx |
匯出 DiagTrack 事件記錄檔 |
EventLogs |
senseIR.evtx |
匯出自動調查事件記錄檔 |
EventLogs |
sense.evtx |
匯出感應器主要事件記錄檔 |
EventLogs |
OperationsManager.evtx |
匯出 Microsoft Monitoring Agent 事件記錄檔 |
MdeConfigMgrLogs |
SecurityManagementConfiguration.json |
從 MEM (傳送的組態Microsoft Endpoint Manager) 強制執行 |
MdeConfigMgrLogs |
policies.json |
要在裝置上強制執行的原則設定 |
MdeConfigMgrLogs |
report_xxx.json |
對應的執行結果 |
另請參閱
提示
想要深入了解? 在我們的技術社區中與Microsoft安全社區Engage:適用於端點的 Microsoft Defender技術社區。