Spuštění nástroje Client Analyzer ve Windows

Platí pro:

• Plán 1 pro Microsoft Defender for Endpoint
• Plán 2 pro Microsoft Defender pro koncový bod

Možnost 1: Živá odpověď

Protokoly podpory analyzátoru Defenderu for Endpoint můžete shromažďovat vzdáleně pomocí live response.

Možnost 2: Místní spuštění nástroje MDE Client Analyzer

1. Do zařízení s Windows, které chcete prozkoumat, si stáhněte nástroj MDE Client Analyzer nebo Beta MDE Client Analyzer.

   Soubor se ve výchozím nastavení uloží do složky Stažené soubory.

2. Otevřete složku Stažené soubory, klikněte pravým tlačítkem na MDEClientAnalyzer.zipa pak vyberte Vlastnosti.

3. Extrahujte obsah MDEClientAnalyzer.zip do dostupné složky.

4. Otevřete příkazový řádek s oprávněními správce:

   1. Přejděte na Start a zadejte cmd.
   2. Klikněte pravým tlačítkem na Příkazový řádek a vyberte Spustit jako správce.

5. Zadejte následující příkaz a stiskněte enter:

   *DrivePath*\MDEClientAnalyzer.cmd
   

   Nahraďte DrivePath cestou, kam jste extrahovali MDEClientAnalyzer, například:

   C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd
   

Kromě předchozího postupu můžete také shromáždit protokoly podpory analyzátoru pomocí živé odpovědi.

Poznámka

Na Windows 10 a 11, Windows Server 2019 a 2022 nebo Windows Server 2012R2 a 2016 s nainstalovaným moderním jednotným řešením volá skript analyzátoru klienta spustitelný soubor s názvem MDEClientAnalyzer.exe ke spuštění testů připojení k adresám URL cloudové služby.

V Windows 8.1, Windows Server 2016 nebo jakékoli předchozí edici operačního systému, kde se k onboardingu používá Microsoft Monitoring Agent (MMA), volá skript analyzátoru klienta spustitelný soubor s názvem MDEClientAnalyzerPreviousVersion.exe ke spuštění testů připojení pro adresy URL příkazů a řízení (CnC) a zároveň volá nástroj TestCloudConnection.exe pro připojení Microsoft Monitoring Agenta pro adresy URL kanálů Cyber Data.

Důležité body, které byste měli mít na paměti

Všechny powershellové skripty a moduly, které jsou součástí analyzátoru, jsou podepsané Microsoftem. Pokud byly soubory nějakým způsobem změněny, očekává se, že se analyzátor ukončí s následující chybou:

Pokud se zobrazí tato chyba, výstup issuerInfo.txt obsahuje podrobné informace o tom, proč k tomu došlo, a o ovlivněném souboru:

Příklad obsahu po úpravě MDEClientAnalyzer.ps1:

Výsledný obsah balíčku ve Windows

Poznámka

Přesné zachycené soubory se můžou změnit v závislosti na faktorech, jako jsou:

• Verze windows, ve kterých je analyzátor spuštěn.
• Dostupnost kanálu protokolu událostí na počítači.
• Počáteční stav senzoru EDR (inteligentní se zastaví, pokud počítač ještě není nasazený).
• Pokud byl s příkazem analyzeru použit pokročilý parametr řešení potíží.

Rozbalený soubor MDEClientAnalyzerResult.zip ve výchozím nastavení obsahuje následující položky.

• MDEClientAnalyzer.htm

  Toto je hlavní výstupní soubor HTML, který bude obsahovat zjištění a pokyny, které může vytvořit skript analyzátoru spuštěný na počítači.

• SystemInfoLogs [Složka]

  • AddRemovePrograms.csv

    Popis: Seznam softwaru nainstalovaného na platformě x64 v operačním systému x64 shromážděného z registru.

  • AddRemoveProgramsWOW64.csv

    Popis: Seznam softwaru nainstalovaného na platformě x86 v operačním systému x64 shromážděného z registru.

    • CertValidate.log

      Popis: Podrobný výsledek odvolání certifikátu provedeného voláním nástroje CertUtil.

    • dsregcmd.txt

      Popis: Výstup ze spuštění příkazu dsregcmd. Poskytuje podrobnosti o stavu Microsoft Entra počítače.

    • IFEO.txt

      Popis: Výstup možností spuštění souboru obrázku nakonfigurovaných na počítači

    • MDEClientAnalyzer.txt

      Popis: Jedná se o podrobný textový soubor s podrobnostmi o spuštění skriptu analyzátoru.

    • MDEClientAnalyzer.xml

      Popis: Formát XML obsahující zjištěné skripty analyzátoru.

    • RegOnboardedInfoCurrent.Json

      Popis: Informace o nasazených počítačích shromážděné z registru ve formátu JSON.

  • RegOnboardingInfoPolicy.Json

    Popis: Konfigurace zásad onboardingu shromážděná z registru ve formátu JSON.

    • SCHANNEL.txt

      Popis: Podrobnosti o konfiguraci SCHANNEL použité na počítač, jako je shromažďování z registru.

    • SessionManager.txt

      Popis: Nastavení specifická pro Správce relací se shromáždí z registru.

    • SSL_00010002.txt

      Popis: Podrobnosti o konfiguraci SSL použité na počítač shromážděný z registru.

• EventLogs [Složka]

  • utc.evtx

    Popis: Export protokolu událostí DiagTrack

  • senseIR.evtx

    Popis: Export protokolu událostí automatizovaného šetření

  • sense.evtx

    Popis: Export hlavního protokolu událostí senzoru

  • OperationsManager.evtx

    Popis: Export protokolu událostí microsoft monitoring agenta

• MdeConfigMgrLogs [Složka]

  • SecurityManagementConfiguration.json

    Popis: Konfigurace odeslané z MEM (Microsoft Endpoint Manager) k vynucení.

  • policies.json

    Popis: Nastavení zásad, která se mají vynucovat na zařízení.

  • report_xxx.json

    Popis: Odpovídající výsledky vynucení.

Viz také

• Přehled nástroje Client Analyzer
• Stažení a spuštění nástroje Client Analyzer
• Shromažďování dat pro pokročilé řešení potíží ve Windows
• Pochopení sestavy analyzátoru HTML

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.