Felsöka sensorhälsa med Microsoft Defender för Endpoint Client Analyzer

Gäller för:

Microsoft Defender för Endpoint Client Analyzer (MDECA) kan vara användbar vid diagnos av sensorhälsa och tillförlitlighetsproblem på onboarded-enheter som kör antingen Windows, Linux eller macOS. Du kanske till exempel vill köra analysatorn på en dator som verkar vara felaktig enligt sensorstatusen (Inaktiv, Ingen sensordata eller Försämrad kommunikation) i säkerhetsportalen.

Förutom uppenbara sensorhälsaproblem kan MDECA samla in andra spårningar, loggar och diagnostisk information för felsökning av komplexa scenarier, till exempel:

Sekretesspolicy

  • Verktyget Microsoft Defender för slutpunktsklientanalys används regelbundet av Microsoft Support Services (CSS) för att samla in information som hjälper dig felsöka problem som kan uppstå med Microsoft Defender för Endpoint.

  • Insamlade data kan innehålla personligt identifierbar information och/eller känsliga data, till exempel IP-adresser, datornamn och användarnamn.

  • När datainsamlingen är klar sparar verktyget data lokalt på datorn i en undermapp och komprimerad zip-fil.

  • Inga data skickas automatiskt till Microsoft. Om du använder verktyget vid samarbete på ett supportproblem kan du bli ombedd att skicka komprimerade data till Microsoft CSS med hjälp av Secure File Exchange för att underlätta undersökningen av problemet.

Mer information om hur du använder secure Exchange finns i Artikeln om hur du använder secure file Exchange för att utbyta filer med Microsoft Support

Mer information om vår sekretesspolicy finns i Microsofts sekretesspolicy.

Krav

  • Innan du kör analysatorn rekommenderar vi att du ser till att din proxy- eller brandväggskonfiguration tillåter åtkomst till URL-adresser för Microsoft Defender för slutpunktstjänsten.

  • Analysanalysen kan köras på versioner av Windows, Linuxeller macOS, antingen före efter introduktionen till Microsoft Defender för Endpoint.

  • Om Windows-enheter kör analysatorn direkt på specifika datorer och inte via Live Response,bör SysInternals PsExec.exe tillåtas (minst tillfälligt) att köras. Analysverktyget anropar till PsExec.exe för att köra molnanslutningskontroller som lokalt system och efterlikna SENSE-tjänstens beteende.

    Anteckning

    Om du på Windows-enheter använder ASR-regeln (Attack Surface Reduction) blockera processskapanden som kommer från PSExec-och WMI-kommandon, kanske du tillfälligt vill inaktivera regeln eller konfigurera ett undantag för ASR-regeln så att analysverktyget kan köra anslutningskontroller till molnet som förväntat.