Поделиться через

Запуск анализатора клиента в Windows

  • Статья

Область применения:

Вариант 1. Ответ в реальном времени

Журналы поддержки анализатора Defender для конечной точки можно собирать удаленно с помощью динамического ответа.

Вариант 2. Локальный запуск MDE клиентского анализатора

  1. Скачайте средство MDE клиентского анализатора или бета-версию средства MDE клиентского анализатора на устройство Windows, которое вы хотите исследовать.

    По умолчанию файл сохраняется в папке "Загрузки".

  2. Извлеките содержимое MDEClientAnalyzer.zip в доступную папку.

  3. Откройте командную строку с разрешениями администратора:

    1. В меню Пуск введите cmd.
    2. Щелкните правой кнопкой мыши пункт Командная строка и выберите команду Запуск от имени администратора.

  4. Введите следующую команду и нажмите клавишу ВВОД:

    *DrivePath*\MDEClientAnalyzer.cmd

    Замените DrivePath путем, по которому вы извлекли MDEClientAnalyzer, например:

    C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd

В дополнение к предыдущей процедуре можно также собирать журналы поддержки анализатора с помощью динамического ответа.

Примечание.

В Windows 10 и 11, Windows Server 2019 и 2022 или Windows Server 2012R2 и 2016 с установленным современным единым решением скрипт анализатора клиента вызывает исполняемый файл MDEClientAnalyzer.exe для выполнения тестов подключения к URL-адресам облачной службы.

В Windows 8.1, Windows Server 2016 или любой предыдущей версии ОС, в которой для подключения используется Microsoft Monitoring Agent (MMA), скрипт клиентского анализатора вызывает исполняемый файл с именем MDEClientAnalyzerPreviousVersion.exe для запуска тестов подключения для URL-адресов команд и управления (CnC), а также вызывает средство подключения TestCloudConnection.exe Microsoft Monitoring Agent для URL-адресов каналов cyber Data.

Важные моменты, которые следует учитывать

Все скрипты и модули PowerShell, включенные в анализатор, подписаны корпорацией Майкрософт. Если файлы были каким-либо образом изменены, анализатор должен выйти со следующей ошибкой:

Ошибка клиентского анализатора

Если вы видите эту ошибку, выходные данные issuerInfo.txt содержат подробные сведения о том, почему это произошло, и затронутый файл:

Сведения об издателе

Пример содержимого после изменения MDEClientAnalyzer.ps1:

Измененный ps1-файл

Содержимое пакета результатов в Windows

Примечание.

Точные захваченные файлы могут изменяться в зависимости от таких факторов, как:

  • Версия окон, в которых выполняется анализатор.
  • Доступность канала журнала событий на компьютере.
  • Состояние запуска датчика EDR (контроль останавливается, если компьютер еще не подключен).
  • Если с командой анализатора использовался расширенный параметр устранения неполадок.

По умолчанию неупакованный файл MDEClientAnalyzerResult.zip содержит следующие элементы.

  • MDEClientAnalyzer.htm

    Это main выходной HTML-файл, который будет содержать результаты и рекомендации, которые могут быть получены скриптом анализатора, выполняемым на компьютере.

  • SystemInfoLogs [Папка]

    • AddRemovePrograms.csv

      Описание: список установленного программного обеспечения x64 в ОС x64, собранный из реестра.

    • AddRemoveProgramsWOW64.csv

      Описание: список установленного программного обеспечения x86 в ОС x64, собранный из реестра.

      • CertValidate.log

        Описание: подробный результат отзыва сертификата, выполненного путем вызова в CertUtil.

      • dsregcmd.txt

        Описание: выходные данные выполнения dsregcmd. Здесь содержатся сведения о состоянии Microsoft Entra компьютера.

      • IFEO.txt

        Описание: выходные данные параметров выполнения файла образа , настроенных на компьютере

      • MDEClientAnalyzer.txt

        Описание: это подробный текстовый файл с подробными сведениями о выполнении скрипта анализатора.

      • MDEClientAnalyzer.xml

        Описание: формат XML, содержащий результаты скрипта анализатора.

      • RegOnboardedInfoCurrent.Json

        Описание: сведения о подключенном компьютере, собираемые в формате JSON из реестра.

    • RegOnboardingInfoPolicy.Json

      Описание: конфигурация политики подключения, собранная в формате JSON из реестра.

      • SCHANNEL.txt

        Описание: сведения о конфигурации SCHANNEL , применяемой к компьютеру, например из реестра.

      • SessionManager.txt

        Описание. Определенные параметры диспетчера сеансов собираются из реестра.

      • SSL_00010002.txt

        Описание: сведения о конфигурации SSL , примененной к компьютеру, полученному из реестра.

  • EventLogs [Папка]

    • utc.evtx

      Описание: экспорт журнала событий DiagTrack

    • senseIR.evtx

      Описание. Экспорт журнала событий автоматического исследования

    • sense.evtx

      Описание: экспорт журнала событий main датчика

    • OperationsManager.evtx

      Описание. Экспорт журнала событий агента мониторинга Майкрософт

  • MdeConfigMgrLogs [Папка]

    • SecurityManagementConfiguration.json

      Описание: конфигурации, отправленные из MEM (Microsoft Endpoint Manager) для принудительного применения.

    • policies.json

      Описание: параметры политик, применяемые на устройстве.

    • report_xxx.json

      Описание: соответствующие результаты принудительного применения.

См. также

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.