Dela via

STEG 3: Verifiera klientanslutningen till Microsoft Defender för Endpoint-tjänst-URL:er

  • Artikel

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Kontrollera att klienter kan ansluta till Defender för Endpoint-tjänstens URL:er med hjälp av Defender för Endpoint Client Analyzer för att säkerställa att slutpunkter kan kommunicera telemetri till tjänsten.

Mer information om Defender för Endpoint Client Analyzer finns i Felsöka sensorhälsa med hjälp av Microsoft Defender för Endpoint Client Analyzer.

Obs!

Du kan köra Defender för Endpoint Client Analyzer på enheter före registrering och efter registrering.

  • När du testar på en enhet som registrerats i Defender för Endpoint använder verktyget registreringsparametrarna.
  • När du testar på en enhet som ännu inte har registrerats i Defender för Endpoint använder verktyget standardinställningarna för USA, Storbritannien och EU.
    Kör med -o <path to MDE onboarding package >för konsoliderade tjänst-URL:er som tillhandahålls av strömlinjeformad anslutning (standard för nya klienter) när du testar enheter som ännu inte har registrerats i Defender för Endpointmdeclientanalyzer.cmd. Kommandot använder geo-parametrar från registreringsskriptet för att testa anslutningen. Annars körs standardtestet för registrering mot standard-URL-uppsättningen. Mer information finns i följande avsnitt.

Kontrollera att proxykonfigurationen har slutförts. WinHTTP kan sedan identifiera och kommunicera via proxyservern i din miljö, och proxyservern tillåter sedan trafik till URL:erna för Defender för Endpoint-tjänsten.

  1. Ladda ned verktyget Microsoft Defender för Endpoint Client Analyzer där Defender för Endpoint-sensorn körs.

  2. Extrahera innehållet i MDEClientAnalyzer.zip på enheten.

  3. Öppna en upphöjd kommandorad:

    1. Gå till Start och skriv cmd.
    2. Högerklicka på Kommandotolken och välj Kör som administratör.

  4. Skriv följande kommando och tryck på Retur:

    HardDrivePath\MDEClientAnalyzer.cmd

    Ersätt HardDrivePath med sökvägen, där verktyget MDEClientAnalyzer laddades ned. Till exempel:

    C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd

  5. Verktyget skapar och extraherar MDEClientAnalyzerResult.zip-filen i mappen som ska användas i HardDrivePath.

  6. Öppna MDEClientAnalyzerResult.txt och kontrollera att du har utfört proxykonfigurationsstegen för att aktivera serveridentifiering och åtkomst till tjänstens URL:er.

    Verktyget kontrollerar anslutningen för URL:er för Defender för Endpoint-tjänsten. Kontrollera att Defender för Endpoint-klienten är konfigurerad för att interagera. Verktyget skriver ut resultatet i MDEClientAnalyzerResult.txt-filen för varje URL som potentiellt kan användas för att kommunicera med Defender för Endpoint-tjänsterna. Till exempel:

    Testing URL : https://xxx.microsoft.com/xxx
1 - Default proxy: Succeeded (200)
2 - Proxy auto discovery (WPAD): Succeeded (200)
3 - Proxy disabled: Succeeded (200)
4 - Named proxy: Doesn't exist
5 - Command line proxy: Doesn't exist

Om något av anslutningsalternativen returnerar statusen (200) kan Defender för Endpoint-klienten kommunicera med den testade URL:en korrekt med den här anslutningsmetoden.

Men om anslutningskontrollens resultat anger att ett fel uppstod, visas ett HTTP-fel (se HTTP-statuskoder). Du kan sedan använda URL:erna i tabellen som visas i Aktivera åtkomst till URL:er för Defender för Endpoint-tjänsten på proxyservern. Vilka URL:er som är tillgängliga för användning beror på vilken region som valts under registreringsprocessen.

Obs!

Anslutningsanalysverktygets molnanslutningskontroller är inte kompatibla med regeln Blockera processskapande av attackytan som kommer från PSExec- och WMI-kommandon. Du måste tillfälligt inaktivera den här regeln för att kunna köra anslutningsverktyget. Du kan också tillfälligt lägga till ASR-undantag när du kör analysatorn.

När TelemetryProxyServer har angetts i registret eller via grupprincip kommer Defender för Endpoint att återställas, och den kan inte komma åt den definierade proxyn.

Testa anslutningen till den strömlinjeformade onboarding-metoden

Om du testar anslutningen på en enhet som ännu inte har registrerats i Defender för Endpoint med hjälp av den strömlinjeformade metoden (relevant för både nya och migrerande enheter):

  1. Ladda ned det strömlinjeformade registreringspaketet för relevant operativsystem.

  2. Extrahera .cmd från registreringspaketet.

  3. Följ anvisningarna i föregående avsnitt för att ladda ned Client Analyzer.

  4. Kör mdeclientanalyzer.cmd -o <path to onboarding cmd file> inifrån mappen MDEClientAnalyzer. Kommandot använder geo-parametrar från registreringsskriptet för att testa anslutningen.

Om du testar anslutningen på en enhet som är registrerad på Defender för Endpoint med hjälp av det strömlinjeformade registreringspaketet kör du Defender för Endpoint Client Analyzer som vanligt. Verktyget använder de konfigurerade registreringsparametrarna för att testa anslutningen.

Mer information om hur du får åtkomst till strömlinjeformade registreringsskript finns i Registrera enheter med en strömlinjeformad enhetsanslutning.

Url-anslutningar för Tjänsten Microsoft Monitoring Agent (MMA)

Se följande vägledning för att eliminera kravet på jokertecken (*) för din specifika miljö när du använder Microsoft Monitoring Agent (MMA) för tidigare versioner av Windows.

  1. Registrera ett tidigare operativsystem med Microsoft Monitoring Agent (MMA) i Defender för Endpoint (mer information finns i Publicera tidigare versioner av Windows på Defender för Endpoint och Registrera Windows-servrar).

  2. Kontrollera att datorn rapporterar till Microsoft Defender-portalen.

  3. Kör TestCloudConnection.exe verktyget från C:\Program Files\Microsoft Monitoring Agent\Agent för att verifiera anslutningen och för att hämta de URL:er som krävs för din specifika arbetsyta.

  4. I listan Microsoft Defender för Endpoint URL:er finns en fullständig lista över krav för din region (se kalkylbladet för tjänst-URL:er).

Det här är administratörs-PowerShell.

Jokertecken (*) som används i *.ods.opinsights.azure.com, *.oms.opinsights.azure.comoch *.agentsvc.azure-automation.net URL-slutpunkter kan ersättas med ditt specifika arbetsyte-ID. Arbetsyte-ID:t är specifikt för din miljö och arbetsyta. Den finns i avsnittet Onboarding i din klientorganisation i Microsoft Defender-portalen.

*.blob.core.windows.net URL-slutpunkten kan ersättas med url:erna som visas i avsnittet "Brandväggsregel: *.blob.core.windows.net" i testresultaten.

Obs!

Vid registrering via Microsoft Defender för molnet kan flera arbetsytor användas. Du måste utföra TestCloudConnection.exe proceduren på den registrerade datorn från varje arbetsyta (för att avgöra om det finns några ändringar i URL:erna för *.blob.core.windows.net mellan arbetsytorna).

Nästa steg

Registrera Windows ClientOnboard Windows ServerOnboard-enheter som inte är Windows-enheter