Kør klientanalysen på Windows

Gælder for:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2

Mulighed 1: Live-svar

Du kan indsamle supportlogge for Defender for Endpoint-analyse eksternt ved hjælp af Live Response.

Mulighed 2: Kør MDE klientanalyse lokalt

1. Download værktøjet MDE Client Analyzer eller værktøjet MDE Client Analyzer (prøveversion) til den Windows-enhed, du vil undersøge. Filen gemmes som standard i mappen Overførsler.

2. Udpak indholdet af MDEClientAnalyzer.zip til en tilgængelig mappe.

3. Åbn en kommandolinje med administratortilladelser:

   1. Gå til Start, og skriv cmd.

   2. Højreklik på Kommandoprompt, og vælg Kør som administrator.

4. Skriv følgende kommando, og tryk derefter på Enter:

   *DrivePath*\MDEClientAnalyzer.cmd
   

   Erstat DrivePath med den sti, hvor du udpakkede MDEClientAnalyzer, f.eks.:

   C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd
   

Ud over den forrige procedure kan du også indsamle analysesupportlogge ved hjælp af live-svar.

Bemærk!

På Windows 10 og 11, Windows Server 2019 og 2022 eller Windows Server 2012R2 og 2016, hvor den moderne unified løsning er installeret, kalder klientanalysescriptet til en eksekverbar fil, der kaldes MDEClientAnalyzer.exe for at køre forbindelsestestene til URL-adresser til cloudtjenesten.

På Windows 8.1, Windows Server 2016 eller en tidligere OS-udgave, hvor Microsoft Monitoring Agent (MMA) bruges til onboarding, kalder klientanalysescriptet til en eksekverbar fil, der kaldes MDEClientAnalyzerPreviousVersion.exe for at køre forbindelsestest for URL-adresser til kommando og kontrol (CnC), samtidig med at der også ringes til Microsoft Monitoring Agent-forbindelsesværktøjet TestCloudConnection.exe til URL-adresser til cyberdatakanaler.

Vigtige punkter, du skal være opmærksom på

Alle PowerShell-scripts og -moduler, der er inkluderet i analysen, er Signeret af Microsoft. Hvis filer er blevet ændret på nogen måde, forventes analysen at blive afsluttet med følgende fejl:

Hvis du får vist denne fejl, indeholder det issuerInfo.txt output detaljerede oplysninger om, hvorfor dette skete, og den pågældende fil:

Eksempelindhold efter ændring af MDEClientAnalyzer.ps1:

Resultatpakkeindhold på Windows

Bemærk!

De nøjagtige filer, der registreres, kan ændre sig afhængigt af faktorer som:

• Den version af Windows, som analysefunktionen køres på.
• Tilgængelighed af hændelseslogkanal på computeren.
• Starttilstanden for EDR-sensoren (assistenten stoppes, hvis maskinen endnu ikke er onboardet).
• Hvis der blev brugt en avanceret fejlfindingsparameter sammen med analysekommandoen.

Den udpakkede MDEClientAnalyzerResult.zip fil indeholder som standard de elementer, der er angivet i følgende tabel:

Mappe	Element	Beskrivelse
	MDEClientAnalyzer.htm	Dette er den primære HTML-outputfil, som indeholder de resultater og den vejledning, som analysescriptet, der kører på computeren, kan producere.
SystemInfoLogs	AddRemovePrograms.csv	Liste over x64-installeret software på x64 OS, der er indsamlet fra registreringsdatabasen
SystemInfoLogs	AddRemoveProgramsWOW64.csv	Liste over x86-installeret software på x64 OS, der er indsamlet fra registreringsdatabasen
SystemInfoLogs	CertValidate.log	Detaljeret resultat af certifikattilbagekaldelse udført ved at kalde til CertUtil
SystemInfoLogs	dsregcmd.txt	Output fra kørsel af dsregcmd. Dette indeholder oplysninger om computerens Microsoft Entra status.
SystemInfoLogs	IFEO.txt	Output af indstillinger for udførelse af billedfil , der er konfigureret på computeren
SystemInfoLogs	MDEClientAnalyzer.txt	Dette er detaljeret tekstfil, der vises med detaljer om udførelsen af analysescriptet.
SystemInfoLogs	MDEClientAnalyzer.xml	XML-format, der indeholder resultaterne fra analysescriptet
SystemInfoLogs	RegOnboardedInfoCurrent.Json	De onboardede computeroplysninger, der er indsamlet i JSON-format fra registreringsdatabasen
SystemInfoLogs	RegOnboardingInfoPolicy.Json	Konfigurationen af onboardingpolitikken, der er indsamlet i JSON-format fra registreringsdatabasen
SystemInfoLogs	SCHANNEL.txt	Oplysninger om SCHANNEL-konfiguration , der anvendes på den computer, som indsamles fra registreringsdatabasen
SystemInfoLogs	SessionManager.txt	Session Manager-specifikke indstillinger indsamles fra registreringsdatabasen
SystemInfoLogs	SSL_00010002.txt	Oplysninger om DEN SSL-konfiguration , der anvendes på den computer, der er indsamlet fra registreringsdatabasen
EventLogs	utc.evtx	Eksport af DiagTrack-hændelseslog
EventLogs	senseIR.evtx	Eksport af hændelsesloggen for automatiseret undersøgelse
EventLogs	sense.evtx	Eksport af hovedhændelsesloggen for sensor
EventLogs	OperationsManager.evtx	Eksport af Microsoft Monitoring Agent-hændelsesloggen
MdeConfigMgrLogs	SecurityManagementConfiguration.json	Konfigurationer, der er sendt fra MEM (Microsoft Endpoint Manager) til håndhævelse
MdeConfigMgrLogs	policies.json	Politikindstillinger, der skal gennemtvinges på enheden
MdeConfigMgrLogs	report_xxx.json	Tilsvarende håndhævelsesresultater

Se også

• Oversigt over klientanalyse
• Download og kør klientanalysen
• Dataindsamling til avanceret fejlfinding på Windows
• Forstå HTML-analyserapporten

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.