共用方式為

在 Windows 上執行用戶端分析器

  • 發行項

適用於:

選項 1:實時回應

您可以使用 即時回應,從遠端收集適用於端點的 Defender 分析器支持記錄。

選項 2:在本機執行 MDE Client Analyzer

  1. MDE Client Analyzer 工具Beta MDE Client Analyzer 工具下載到您想要調查的 Windows 裝置。

    根據預設,檔案會儲存到您的 Downloads 資料夾。

  2. 將 MDEClientAnalyzer.zip 的內容解壓縮至可用的資料夾。

  3. 開啟具有系統管理員權限的命令列:

    1. 轉至 [開始] 並鍵入「cmd」
    2. 以滑鼠右鍵按一下 [命令提示字元],然後選取 [以系統管理員身分執行]

  4. 輸入下列命令,然後按 Enter

    *DrivePath*\MDEClientAnalyzer.cmd

    以您擷取 MDEClientAnalyzer 的路徑取代 DrivePath ,例如:

    C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd

除了上一個程式之外,您也可以 使用即時回應來收集分析器支持記錄

注意事項

在 Windows 10 和 11、Windows Server 2019 和 2022 或已安裝新式整合解決方案的 Windows Server 2012R2 和 2016 上,用戶端分析器腳本會呼叫名為 MDEClientAnalyzer.exe 的可執行檔,以執行雲端服務 URL 的連線測試。

在 Windows 8.1 上,Windows Server 2016 或任何使用 Microsoft Monitoring Agent (MMA) 的舊版操作系統版本上線時,用戶端分析器腳本會呼叫名為 MDEClientAnalyzerPreviousVersion.exe 的可執行檔,以執行 Command and Control (CnC) URL 的連線測試,同時呼叫網路數據通道 URL 的 Microsoft Monitoring Agent 連線工具TestCloudConnection.exe

請注意重要要點

分析器隨附的所有 PowerShell 腳本和模組都是 Microsoft 簽署的。 如果檔案以任何方式修改,則分析器應該會結束,並出現下列錯誤:

用戶端分析器錯誤

如果您看到此錯誤,issuerInfo.txt 輸出會包含發生此事件原因和受影響檔案的詳細資訊:

簽發者資訊

修改 MDEClientAnalyzer.ps1 後的範例內容:

修改過的 ps1 檔案

Windows 上的結果套件內容

注意事項

擷取的確切檔案可能會根據下列因素而變更:

  • 執行分析器的視窗版本。
  • 計算機上的事件記錄檔通道可用性。
  • 如果機器尚未上線) ,則 EDR 感測器 (Sense 的開始狀態會停止。
  • 如果使用進階疑難解答參數搭配分析器命令。

根據預設,解壓縮的 MDEClientAnalyzerResult.zip 檔包含下列專案。

  • MDEClientAnalyzer.htm

    這是主要的 HTML 輸出檔案,其中包含分析器腳本可在機器上執行的結果和指引。

  • SystemInfoLogs [資料夾]

    • AddRemovePrograms.csv

      描述:從登錄收集的 x64 OS 上已安裝 x64 軟體的清單。

    • AddRemoveProgramsWOW64.csv

      描述:從登錄收集之 x64 OS 上已安裝的 x86 軟體清單。

      • CertValidate.log

        描述:呼叫 CertUtil 以執行的憑證撤銷詳細結果。

      • dsregcmd.txt

        描述:執行 dsregcmd 的輸出。 這會提供機器 Microsoft Entra 狀態的詳細數據。

      • IFEO.txt

        描述:在計算機上設定的 圖像檔執行選項 輸出

      • MDEClientAnalyzer.txt

        描述:這是詳細的文本檔,其中顯示分析器腳本執行的詳細數據。

      • MDEClientAnalyzer.xml

        描述:包含分析器文本結果的 XML 格式。

      • RegOnboardedInfoCurrent.Json

        描述:以 JSON 格式從登錄收集的上線計算機資訊。

    • RegOnboardingInfoPolicy.Json

      描述:以 JSON 格式從登錄收集的上線原則設定。

      • SCHANNEL.txt

        描述:套用至從登錄收集之計算機的 SCHANNEL 設定詳細數據。

      • SessionManager.txt

        描述:工作階段管理員特定設定會從登錄收集。

      • SSL_00010002.txt

        描述:套用至從登錄收集之計算機的 SSL 設定詳細數據。

  • EventLogs [資料夾]

    • utc.evtx

      描述:匯出 DiagTrack 事件記錄檔

    • senseIR.evtx

      描述:匯出自動化調查事件記錄檔

    • sense.evtx

      描述:匯出感測器主要事件記錄檔

    • OperationsManager.evtx

      描述:導出 Microsoft Monitoring Agent 事件記錄檔

  • MdeConfigMgrLogs [資料夾]

    • SecurityManagementConfiguration.json

      描述:從 MEM (Microsoft 端點管理員傳送的設定) 強制執行。

    • policies.json

      描述:要在裝置上強制執行的原則設定。

    • report_xxx.json

      描述:對應的強制執行結果。

另請參閱

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。