Kjør klientanalyse på Windows

Gjelder for:

• Microsoft Defender for endepunkt plan 1
• Microsoft Defender for endepunkt plan 2

Alternativ 1: Direkte svar

Du kan samle inn støttelogger for Defender for Endpoint Analyzer eksternt ved hjelp av Live Response.

Alternativ 2: Kjør MDE Client Analyzer lokalt

1. Last ned verktøyet MDE Client Analyzer eller Beta MDE Client Analyzer til Windows-enheten du vil undersøke.

   Filen lagres som standard i Nedlastinger-mappen.

2. Pakk ut innholdet i MDEClientAnalyzer.zip til en tilgjengelig mappe.

3. Åpne en kommandolinje med administratortillatelser:

   1. Gå til Start og skriv inn cmd.
   2. Høyreklikk ledeteksten, og velg Kjør som administrator.

4. Skriv inn følgende kommando, og trykk deretter ENTER:

   *DrivePath*\MDEClientAnalyzer.cmd
   

   Erstatt DrivePath med banen der du pakket ut MDEClientAnalyzer, for eksempel:

   C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd
   

I tillegg til den forrige prosedyren, kan du også samle inn støtteloggene for analyseverktøyet ved hjelp av direkte respons..

Obs!

På Windows 10 og 11, Windows Server 2019 og 2022 eller Windows Server 2012R2 og 2016 med den moderne enhetlige løsningen installert, kaller klientanalyseskriptet inn i en kjørbar fil kalt MDEClientAnalyzer.exe for å kjøre tilkoblingstestene til nettadresser for skytjenesten.

På Windows 8.1, Windows Server 2016 eller en tidligere OS-utgave der Microsoft Monitoring Agent (MMA) brukes til pålasting, kaller klientanalyseskriptet inn i en kjørbar fil kalt MDEClientAnalyzerPreviousVersion.exe til å kjøre tilkoblingstester for kommando- og kontrolladresser (CnC) samtidig som de kaller inn tilkoblingsverktøyet TestCloudConnection.exe for Microsoft Monitoring Agent for nettadresser for Cyber Data-kanalen.

Viktige punkter å huske på

Alle PowerShell-skript og -moduler som er inkludert i analyseren, er Microsoft-signert. Hvis filene ble endret på noen måte, forventes analyseren å avslutte med følgende feil:

Hvis du ser denne feilen, inneholder issuerInfo.txt utdata detaljert informasjon om hvorfor dette skjedde og den berørte filen:

Eksempelinnhold etter at MDEClientAnalyzer.ps1 er endret:

Innhold i resultatpakke i Windows

Obs!

De nøyaktige filene som fanges opp, kan endres avhengig av faktorer som:

• Windows-versjonen som analyseren kjøres på.
• Tilgjengelighet for hendelsesloggkanal på maskinen.
• Starttilstanden til EDR-sensoren (Sense stoppes hvis maskinen ennå ikke er pålastet).
• Hvis en avansert feilsøkingsparameter ble brukt med analysekommandoen.

Som standard inneholder den utpakkede MDEClientAnalyzerResult.zip filen følgende elementer.

• MDEClientAnalyzer.htm

  Dette er den viktigste HTML-utdatafilen, som vil inneholde resultatene og veiledningen som analyseskriptet kjører på maskinen kan produsere.

• SystemInfoLogs [Mappe]

  • AddRemovePrograms.csv

    Beskrivelse: Liste over x64 installert programvare på x64 OS samlet inn fra registeret.

  • AddRemoveProgramsWOW64.csv

    Beskrivelse: Liste over x86 installert programvare på x64 OS samlet inn fra registeret.

    • CertValidate.log

      Beskrivelse: Detaljert resultat fra sertifikatopphevelser utført ved å kalle inn CertUtil.

    • dsregcmd.txt

      Beskrivelse: Utdata fra å kjøre dsregcmd. Dette gir detaljer om Microsoft Entra status for maskinen.

    • IFEO.txt

      Beskrivelse: Utdata for utføring av bildefil som er konfigurert på maskinen

    • MDEClientAnalyzer.txt

      Beskrivelse: Dette er detaljert tekstfil som vises med detaljer om kjøringen av analyseskriptet.

    • MDEClientAnalyzer.xml

      Beskrivelse: XML-format som inneholder resultatene fra analyseskriptet.

    • RegOnboardedInfoCurrent.Json

      Beskrivelse: Den innebygde maskininformasjonen som samles inn i JSON-format fra registeret.

  • RegOnboardingInfoPolicy.Json

    Beskrivelse: Konfigurasjonen av pålastingspolicyen samlet i JSON-format fra registeret.

    • SCHANNEL.txt

      Beskrivelse: Detaljer om SCHANNEL-konfigurasjon brukt på maskinen som er samlet inn fra registeret.

    • SessionManager.txt

      Beskrivelse: Spesifikke innstillinger for Øktbehandling samles inn fra registeret.

    • SSL_00010002.txt

      Beskrivelse: Detaljer om SSL-konfigurasjon brukt på maskinen som er samlet inn fra registeret.

• EventLogs [Mappe]

  • utc.evtx

    Beskrivelse: Eksport av Hendelseslogg for DiagTrack

  • senseIR.evtx

    Beskrivelse: Eksport av hendelsesloggen for automatisert undersøkelse

  • sense.evtx

    Beskrivelse: Eksport av sensorens hovedhendelseslogg

  • OperationsManager.evtx

    Beskrivelse: Eksport av hendelsesloggen for Microsoft Monitoring Agent

• MdeConfigMgrLogs [Mappe]

  • SecurityManagementConfiguration.json

    Beskrivelse: Konfigurasjoner sendt fra MEM (Microsoft Endpoint Manager) for håndhevelse.

  • policies.json

    Beskrivelse: Policyinnstillinger som skal håndheves på enheten.

  • report_xxx.json

    Beskrivelse: Tilsvarende håndhevelsesresultater.

Se også

• Oversikt over klientanalyse
• Last ned og kjør klientanalyse
• Datainnsamling for avansert feilsøking i Windows
• Forstå HTML-rapporten for analysering

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.