Windows でクライアント アナライザーを実行する

適用対象:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2

オプション 1: ライブ応答

Defender for Endpoint アナライザーのサポート ログは、 ライブ応答を使用してリモートで収集できます。

オプション 2: クライアント アナライザー MDEローカルで実行する

1. 調査する Windows デバイスに MDE Client Analyzer ツールまたは Beta MDE Client Analyzer ツールをダウンロードします。

   ファイルは既定でダウンロード フォルダーに保存されます。

2. MDEClientAnalyzer.zip の内容を使用可能なフォルダーに抽出します。

3. 管理者のアクセス許可を持つコマンド ラインを開きます。

   1. [スタート] をクリックし、「cmd」と入力します。
   2. [コマンド プロンプト] を右クリックして [管理者として実行] を選択します。

4. 次のコマンドを入力し、 Enter キーを押します。

   *DrivePath*\MDEClientAnalyzer.cmd
   

   DrivePath は、次のように MDEClientAnalyzer を抽出したパスに置き換えます。

   C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd
   

前の手順に加えて、 ライブ応答を使用してアナライザー サポート ログを収集することもできます。

注:

Windows 10と 11、Windows Server 2019、2022、または最新の統合ソリューションがインストールされた Windows Server 2012R2 と 2016 では、クライアント アナライザー スクリプトが というMDEClientAnalyzer.exe実行可能ファイルを呼び出して、クラウド サービス URL への接続テストを実行します。

Windows 8.1、Windows Server 2016、または Microsoft Monitoring Agent (MMA) がオンボードに使用されている以前の OS エディションでは、クライアント アナライザー スクリプトは、コマンドおよび制御 (CnC) URL の接続テストを実行するために呼び出されたMDEClientAnalyzerPreviousVersion.exe実行可能ファイルを呼び出しながら、サイバー データ チャネル URL の Microsoft Monitoring Agent 接続ツールTestCloudConnection.exeを呼び出します。

留意すべき重要な点

アナライザーに含まれるすべての PowerShell スクリプトとモジュールは、Microsoft 署名済みです。 ファイルが何らかの方法で変更された場合、アナライザーは次のエラーで終了することが予想されます。

このエラーが発生した場合、issuerInfo.txt 出力には、これが発生した理由と影響を受けるファイルに関する詳細情報が含まれています。

MDEClientAnalyzer.ps1 が変更された後の内容の例:

Windows 上の結果パッケージの内容

注:

キャプチャされた正確なファイルは、次のような要因によって変わる可能性があります。

• アナライザーが実行されるウィンドウのバージョン。
• マシンでのイベント ログ チャネルの可用性。
• EDR センサーの開始状態 (マシンがまだオンボードされていない場合、センサーは停止します)。
• アナライザー コマンドで高度なトラブルシューティング パラメーターが使用された場合。

既定では、アンパックされた MDEClientAnalyzerResult.zip ファイルには次の項目が含まれます。

• MDEClientAnalyzer.htm

  これはメイン HTML 出力ファイルであり、コンピューターで実行されるアナライザー スクリプトで生成できる結果とガイダンスが含まれます。

• SystemInfoLogs [フォルダー]

  • AddRemovePrograms.csv

    説明: レジストリから収集された x64 OS にインストールされている x64 ソフトウェアの一覧。

  • AddRemoveProgramsWOW64.csv

    説明: レジストリから収集された x64 OS にインストールされている x86 ソフトウェアの一覧。

    • CertValidate.log

      説明: CertUtil を呼び出して実行された証明書失効の詳細な結果。

    • dsregcmd.txt

      説明: dsregcmd の実行からの出力。 これにより、マシンのMicrosoft Entra状態の詳細が表示されます。

    • IFEO.txt

      説明: マシンで構成された イメージ ファイル実行オプション の出力

    • MDEClientAnalyzer.txt

      説明: これは、アナライザー スクリプトの実行の詳細を示す詳細なテキスト ファイルです。

    • MDEClientAnalyzer.xml

      説明: アナライザー スクリプトの結果を含む XML 形式。

    • RegOnboardedInfoCurrent.Json

      説明: レジストリから JSON 形式で収集されたオンボードされたマシン情報。

  • RegOnboardingInfoPolicy.Json

    説明: レジストリから JSON 形式で収集されたオンボード ポリシー構成。

    • SCHANNEL.txt

      説明: レジストリから収集されたマシンに適用される SCHANNEL 構成 の詳細。

    • SessionManager.txt

      説明: セッション マネージャー固有の設定はレジストリから収集されます。

    • SSL_00010002.txt

      説明: レジストリから収集されたマシンに適用される SSL 構成 の詳細。

• EventLogs [フォルダー]

  • utc.evtx

    説明: DiagTrack イベント ログのエクスポート

  • senseIR.evtx

    説明: 自動調査イベント ログのエクスポート

  • sense.evtx

    説明: Sensor メイン イベント ログのエクスポート

  • OperationsManager.evtx

    説明: Microsoft Monitoring Agent イベント ログのエクスポート

• MdeConfigMgrLogs [フォルダー]

  • SecurityManagementConfiguration.json

    説明: MEM (Microsoft Endpoint Manager) から送信された構成。

  • policies.json

    説明: デバイスに適用されるポリシー設定。

  • report_xxx.json

    説明: 対応する適用結果。

関連項目

• クライアント アナライザーの概要
• クライアント アナライザーのダウンロードと実行
• Windows で高度なトラブルシューティングを行うためのデータ収集
• アナライザー HTML レポートの理解

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。