Compartir a través de


Ejecutar el analizador de cliente en Windows

Se aplica a:

Opción 1: Respuesta activa

Puede recopilar los registros de soporte técnico del analizador de Defender para punto de conexión de forma remota mediante Live Response.

Opción 2: Ejecutar MDE Analizador de cliente localmente

  1. Descargue la herramienta MDE Client Analyzer o MDE herramienta Client Analyzer (versión preliminar) en el dispositivo Windows que quiera investigar. El archivo se guarda en la carpeta Descargas de forma predeterminada.

  2. Extraiga el contenido de MDEClientAnalyzer.zip en una carpeta disponible.

  3. Abra una línea de comandos con permisos de administrador:

    1. Vaya a Inicio y escriba cmd.

    2. Haga clic derecho en Símbolo del sistema y seleccione Ejecutar como administrador.

  4. Escriba el comando siguiente y presione Entrar:

    *DrivePath*\MDEClientAnalyzer.cmd
    

    Reemplace DrivePath por la ruta de acceso donde extrajo MDEClientAnalyzer, por ejemplo:

    C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd
    

Además del procedimiento anterior, también puede recopilar los registros de soporte técnico del analizador mediante la respuesta en vivo.

Nota:

En Windows 10 y 11, Windows Server 2019 y 2022, o Windows Server 2012R2 y 2016 con la solución unificada moderna instalada, el script del analizador de cliente llama a un archivo ejecutable llamado MDEClientAnalyzer.exe para ejecutar las pruebas de conectividad a las direcciones URL del servicio en la nube.

En Windows 8.1, Windows Server 2016 o cualquier edición del sistema operativo anterior en la que se usa Microsoft Monitoring Agent (MMA) para la incorporación, el script del analizador de cliente llama a un archivo ejecutable llamado MDEClientAnalyzerPreviousVersion.exe para ejecutar pruebas de conectividad para direcciones URL de comando y control (CnC) al mismo tiempo que llama a la herramienta TestCloudConnection.exe de conectividad del Agente de supervisión de Microsoft para direcciones URL de canal de datos cibernéticos.

Puntos importantes a tener en cuenta

Todos los scripts y módulos de PowerShell incluidos con el analizador están firmados por Microsoft. Si los archivos se modificaron de alguna manera, se espera que el analizador salga con el siguiente error:

Error del analizador de cliente

Si ve este error, la salida de issuerInfo.txt contiene información detallada sobre por qué ocurrió esto y el archivo afectado:

Información del emisor

Contenido de ejemplo después de modificar MDEClientAnalyzer.ps1:

El archivo ps1 modificado

Contenido del paquete de resultados en Windows

Nota:

Los archivos exactos capturados pueden cambiar en función de factores como:

  • Versión de las ventanas en las que se ejecuta el analizador.
  • Disponibilidad del canal del registro de eventos en la máquina.
  • El estado de inicio del sensor EDR (Sense se detiene si la máquina aún no está incorporada).
  • Si se usó un parámetro de solución de problemas avanzado con el comando analyzer.

De forma predeterminada, el archivo desempaquetado MDEClientAnalyzerResult.zip contiene los elementos enumerados en la tabla siguiente:

Folder Elemento Descripción
MDEClientAnalyzer.htm Este es el archivo de salida HTML principal, que contendrá los resultados y las instrucciones que puede generar el script del analizador que se ejecuta en la máquina.
SystemInfoLogs AddRemovePrograms.csv Lista de software instalado x64 en el sistema operativo x64 recopilado del registro
SystemInfoLogs AddRemoveProgramsWOW64.csv Lista de software x86 instalado en el sistema operativo x64 recopilado del registro
SystemInfoLogs CertValidate.log Resultado detallado de la revocación de certificados ejecutada mediante una llamada a CertUtil
SystemInfoLogs dsregcmd.txt Salida de la ejecución de dsregcmd. Esto proporciona detalles sobre el estado Microsoft Entra de la máquina.
SystemInfoLogs IFEO.txt Salida de las opciones de ejecución de archivos de imagen configuradas en el equipo
SystemInfoLogs MDEClientAnalyzer.txt Se trata de un archivo de texto detallado que muestra los detalles de la ejecución del script del analizador.
SystemInfoLogs MDEClientAnalyzer.xml Formato XML que contiene los resultados del script del analizador
SystemInfoLogs RegOnboardedInfoCurrent.Json La información de máquina incorporada recopilada en formato JSON del registro
SystemInfoLogs RegOnboardingInfoPolicy.Json La configuración de directiva de incorporación recopilada en formato JSON del registro
SystemInfoLogs SCHANNEL.txt Detalles sobre la configuración de SCHANNEL aplicada a la máquina tal como se recopila del registro
SystemInfoLogs SessionManager.txt La configuración específica del Administrador de sesiones se recopila del registro
SystemInfoLogs SSL_00010002.txt Detalles sobre la configuración SSL aplicada a la máquina recopilada del registro
EventLogs utc.evtx Exportación del registro de eventos de DiagTrack
EventLogs senseIR.evtx Exportación del registro de eventos de investigación automatizada
EventLogs sense.evtx Exportación del registro de eventos principal del sensor
EventLogs OperationsManager.evtx Exportación del registro de eventos de Microsoft Monitoring Agent
MdeConfigMgrLogs SecurityManagementConfiguration.json Configuraciones enviadas desde MEM (Microsoft Endpoint Manager) para su cumplimiento
MdeConfigMgrLogs policies.json Configuración de directivas que se aplicará en el dispositivo
MdeConfigMgrLogs report_xxx.json Resultados de cumplimiento correspondientes

Vea también

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.