Ejecutar el analizador de cliente en Windows

Se aplica a:

• Microsoft Defender para punto de conexión Plan 1
• Microsoft Defender para punto de conexión Plan 2

Opción 1: Respuesta activa

Puede recopilar los registros de soporte técnico del analizador de Defender para punto de conexión de forma remota mediante Live Response.

Opción 2: Ejecutar MDE Analizador de cliente localmente

1. Descargue la herramienta MDE Client Analyzer o MDE herramienta Client Analyzer (versión preliminar) en el dispositivo Windows que quiera investigar. El archivo se guarda en la carpeta Descargas de forma predeterminada.

2. Extraiga el contenido de MDEClientAnalyzer.zip en una carpeta disponible.

3. Abra una línea de comandos con permisos de administrador:

   1. Vaya a Inicio y escriba cmd.

   2. Haga clic derecho en Símbolo del sistema y seleccione Ejecutar como administrador.

4. Escriba el comando siguiente y presione Entrar:

   *DrivePath*\MDEClientAnalyzer.cmd
   

   Reemplace DrivePath por la ruta de acceso donde extrajo MDEClientAnalyzer, por ejemplo:

   C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd
   

Además del procedimiento anterior, también puede recopilar los registros de soporte técnico del analizador mediante la respuesta en vivo.

Nota:

En Windows 10 y 11, Windows Server 2019 y 2022, o Windows Server 2012R2 y 2016 con la solución unificada moderna instalada, el script del analizador de cliente llama a un archivo ejecutable llamado MDEClientAnalyzer.exe para ejecutar las pruebas de conectividad a las direcciones URL del servicio en la nube.

En Windows 8.1, Windows Server 2016 o cualquier edición del sistema operativo anterior en la que se usa Microsoft Monitoring Agent (MMA) para la incorporación, el script del analizador de cliente llama a un archivo ejecutable llamado MDEClientAnalyzerPreviousVersion.exe para ejecutar pruebas de conectividad para direcciones URL de comando y control (CnC) al mismo tiempo que llama a la herramienta TestCloudConnection.exe de conectividad del Agente de supervisión de Microsoft para direcciones URL de canal de datos cibernéticos.

Puntos importantes a tener en cuenta

Todos los scripts y módulos de PowerShell incluidos con el analizador están firmados por Microsoft. Si los archivos se modificaron de alguna manera, se espera que el analizador salga con el siguiente error:

Si ve este error, la salida de issuerInfo.txt contiene información detallada sobre por qué ocurrió esto y el archivo afectado:

Contenido de ejemplo después de modificar MDEClientAnalyzer.ps1:

Contenido del paquete de resultados en Windows

Nota:

Los archivos exactos capturados pueden cambiar en función de factores como:

• Versión de las ventanas en las que se ejecuta el analizador.
• Disponibilidad del canal del registro de eventos en la máquina.
• El estado de inicio del sensor EDR (Sense se detiene si la máquina aún no está incorporada).
• Si se usó un parámetro de solución de problemas avanzado con el comando analyzer.

De forma predeterminada, el archivo desempaquetado MDEClientAnalyzerResult.zip contiene los elementos enumerados en la tabla siguiente:

Folder	Elemento	Descripción
	MDEClientAnalyzer.htm	Este es el archivo de salida HTML principal, que contendrá los resultados y las instrucciones que puede generar el script del analizador que se ejecuta en la máquina.
SystemInfoLogs	AddRemovePrograms.csv	Lista de software instalado x64 en el sistema operativo x64 recopilado del registro
SystemInfoLogs	AddRemoveProgramsWOW64.csv	Lista de software x86 instalado en el sistema operativo x64 recopilado del registro
SystemInfoLogs	CertValidate.log	Resultado detallado de la revocación de certificados ejecutada mediante una llamada a CertUtil
SystemInfoLogs	dsregcmd.txt	Salida de la ejecución de dsregcmd. Esto proporciona detalles sobre el estado Microsoft Entra de la máquina.
SystemInfoLogs	IFEO.txt	Salida de las opciones de ejecución de archivos de imagen configuradas en el equipo
SystemInfoLogs	MDEClientAnalyzer.txt	Se trata de un archivo de texto detallado que muestra los detalles de la ejecución del script del analizador.
SystemInfoLogs	MDEClientAnalyzer.xml	Formato XML que contiene los resultados del script del analizador
SystemInfoLogs	RegOnboardedInfoCurrent.Json	La información de máquina incorporada recopilada en formato JSON del registro
SystemInfoLogs	RegOnboardingInfoPolicy.Json	La configuración de directiva de incorporación recopilada en formato JSON del registro
SystemInfoLogs	SCHANNEL.txt	Detalles sobre la configuración de SCHANNEL aplicada a la máquina tal como se recopila del registro
SystemInfoLogs	SessionManager.txt	La configuración específica del Administrador de sesiones se recopila del registro
SystemInfoLogs	SSL_00010002.txt	Detalles sobre la configuración SSL aplicada a la máquina recopilada del registro
EventLogs	utc.evtx	Exportación del registro de eventos de DiagTrack
EventLogs	senseIR.evtx	Exportación del registro de eventos de investigación automatizada
EventLogs	sense.evtx	Exportación del registro de eventos principal del sensor
EventLogs	OperationsManager.evtx	Exportación del registro de eventos de Microsoft Monitoring Agent
MdeConfigMgrLogs	SecurityManagementConfiguration.json	Configuraciones enviadas desde MEM (Microsoft Endpoint Manager) para su cumplimiento
MdeConfigMgrLogs	policies.json	Configuración de directivas que se aplicará en el dispositivo
MdeConfigMgrLogs	report_xxx.json	Resultados de cumplimiento correspondientes

Vea también

• Información general del Analizador de clientes
• Descargar y ejecutar el Analizador de clientes
• Recopilación de datos para solucionar problemas avanzados en Windows
• Comprender el informe HTML del analizador

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.