Windows에서 클라이언트 분석기 실행

  • 아티클
  • 읽는 데 2분 걸림

적용 대상:

  1. 조사해야 하는 Windows 컴퓨터에 MDE 클라이언트 분석기 도구를 다운로드합니다.

  2. 컴퓨터에서 MDEClientAnalyzer.zip 내용을 추출합니다.

  3. 승격된 명령줄을 열기:

    1. 시작(으)로 이동하고 cmd 를 입력하십시오.
    2. 명령 프롬프트 을(를) 마우스 오른쪽 버튼으로 클릭하고 관리자(으)로 실행을 선택합니다.

  4. 다음 명령을 입력하고 Enter 를 누릅니다.

    HardDrivePath\MDEClientAnalyzer.cmd

    HardDrivePath를 도구가 추출된 경로로 바꿉다. 예를 들면 다음과 같습니다.

    C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd

위 외에도 라이브 응답을 사용하여 분석기 지원 로그를 수집하는 옵션도 있습니다.

참고

최신 통합 솔루션이 설치된 Windows 10/11, Windows Server 2019/2022 또는 Windows Server 2012R2/2016에서 클라이언트 분석기 스크립트는 클라우드 서비스 URL에 대한 연결 테스트를 실행하기 위해 호출 MDEClientAnalyzer.exe 된 실행 파일을 호출합니다.

Windows 8.1, Windows Server 2016 또는 MMA(Microsoft Monitoring Agent)가 온보딩에 사용되는 이전 OS 버전에서 클라이언트 분석기 스크립트는 CnC(명령 및 제어) URL에 대한 연결 테스트를 실행하는 동시에 사이버 데이터 채널 URL에 대한 Microsoft Monitoring Agent 연결 도구를 TestCloudConnection.exe 호출하는 실행 MDEClientAnalyzerPreviousVersion.exe 파일을 호출합니다.

분석기와 함께 포함된 모든 PowerShell 스크립트 및 모듈은 Microsoft 서명입니다. 파일이 어떤 방식으로든 수정된 경우 분석기는 다음 오류와 함께 종료될 것으로 예상됩니다.

클라이언트 분석기 오류

이 오류가 표시되면 issuerInfo.txt 출력에 발생한 이유와 영향을 받은 파일에 대한 자세한 정보가 포함됩니다.

발급자 정보

MDEClientAnalyzer.ps1 수정된 후의 예제 콘텐츠:

수정된 ps1 파일

Windows의 결과 패키지 콘텐츠

참고

캡처된 정확한 파일은 다음과 같은 요인에 따라 변경될 수 있습니다.

  • 분석기가 실행되는 창의 버전입니다.
  • 컴퓨터의 이벤트 로그 채널 가용성입니다.
  • EDR 센서의 시작 상태입니다(컴퓨터가 아직 온보딩되지 않은 경우 Sense가 중지됨).
  • 고급 문제 해결 매개 변수가 분석기 명령과 함께 사용된 경우

기본적으로 압축을 풀고 MDEClientAnalyzerResult.zip 파일에는 다음 항목이 포함됩니다.

  • MDEClientAnalyzer.htm

    이 파일은 컴퓨터에서 실행되는 분석기 스크립트가 생성할 수 있는 결과와 지침을 포함하는 주요 HTML 출력 파일입니다.

  • SystemInfoLogs [폴더]

    • AddRemovePrograms.csv

      설명: 레지스트리에서 수집된 x64 OS에 설치된 x64 소프트웨어 목록입니다.

    • AddRemoveProgramsWOW64.csv

      설명: 레지스트리에서 수집된 x64 OS에 설치된 x86 소프트웨어 목록입니다.

      • CertValidate.log

        설명: CertUtil로 호출하여 실행된 인증서 해지의 자세한 결과입니다.

      • dsregcmd.txt

        설명: dsregcmd 실행의 출력입니다. 그러면 컴퓨터의 Azure AD 상태에 대한 세부 정보가 제공됩니다.

      • IFEO.txt

        설명: 컴퓨터에 구성된 이미지 파일 실행 옵션 의 출력

      • MDEClientAnalyzer.txt

        설명: 분석기 스크립트 실행에 대한 세부 정보가 포함된 자세한 텍스트 파일입니다.

      • MDEClientAnalyzer.xml

        설명: 분석기 스크립트 결과를 포함하는 XML 형식입니다.

      • RegOnboardedInfoCurrent.Json

        설명: 레지스트리에서 JSON 형식으로 수집된 온보딩된 컴퓨터 정보입니다.

    • RegOnboardingInfoPolicy.Json

      설명: 레지스트리에서 JSON 형식으로 수집된 온보딩 정책 구성입니다.

      • SCHANNEL.txt

        설명: 레지스트리에서 수집된 컴퓨터에 적용되는 SCHANNEL 구성 에 대한 세부 정보입니다.

      • SessionManager.txt

        설명: 세션 관리자 특정 설정이 레지스트리에서 수집됩니다.

      • SSL_00010002.txt

        설명: 레지스트리에서 수집된 컴퓨터에 적용되는 SSL 구성 에 대한 세부 정보입니다.

  • EventLogs [폴더]

    • utc.evtx

      설명: DiagTrack 이벤트 로그 내보내기

    • senseIR.evtx

      설명: 자동화된 조사 이벤트 로그 내보내기

    • sense.evtx

      설명: 센서 주 이벤트 로그 내보내기

    • OperationsManager.evtx

      설명: Microsoft Monitoring Agent 이벤트 로그 내보내기

참고 항목