De Client Analyzer uitvoeren in Windows

Van toepassing op:

• Plan 1 voor Microsoft Defender voor Eindpunt
• Plan 2 voor Microsoft Defender voor Eindpunt

Optie 1: Live-reactie

U kunt de ondersteuningslogboeken van Defender for Endpoint Analyzer op afstand verzamelen met behulp van Live Response.

Optie 2: MDE Client Analyzer lokaal uitvoeren

1. Download het hulpprogramma MDE Client Analyzer of het hulpprogramma Beta MDE Client Analyzer op het Windows-apparaat dat u wilt onderzoeken.

   Het bestand wordt standaard opgeslagen in de map Downloads.

2. Pak de inhoud van MDEClientAnalyzer.zip uit naar een beschikbare map.

3. Open een opdrachtregel met beheerdersmachtigingen:

   1. Go to Start and type cmd.
   2. Klik met de rechtermuisknop op Opdrachtprompt en selecteer Als beheerder uitvoeren.

4. Typ de volgende opdracht en druk op Enter:

   *DrivePath*\MDEClientAnalyzer.cmd
   

   Vervang DrivePath door het pad waar u MDEClientAnalyzer hebt uitgepakt, bijvoorbeeld:

   C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd
   

Naast de vorige procedure kunt u ook de analyseondersteuningslogboeken verzamelen met behulp van een live-antwoord.

Opmerking

Op Windows 10 en 11, Windows Server 2019 en 2022 of Windows Server 2012R2 en 2016 met de moderne geïntegreerde oplossing geïnstalleerd, roept het clientanalysescript een uitvoerbaar bestand aan met de naam MDEClientAnalyzer.exe om de connectiviteitstests met cloudservice-URL's uit te voeren.

Op Windows 8.1, Windows Server 2016 of een eerdere editie van het besturingssysteem waar Microsoft Monitoring Agent (MMA) wordt gebruikt voor onboarding, roept het clientanalysescript een uitvoerbaar bestand aan met de naam MDEClientAnalyzerPreviousVersion.exe om connectiviteitstests uit te voeren voor CnC-URL's (Command and Control), terwijl het connectiviteitsprogramma van Microsoft Monitoring Agent TestCloudConnection.exe wordt aangeroepen voor URL's van cybergegevenskanaal.

Belangrijke punten om rekening mee te houden

Alle PowerShell-scripts en -modules die deel uitmaken van de analyse, zijn door Microsoft ondertekend. Als bestanden op een of andere manier zijn gewijzigd, wordt verwacht dat de analyzer wordt afgesloten met de volgende fout:

Als u deze fout ziet, bevat de uitvoer van de issuerInfo.txt gedetailleerde informatie over waarom dit is gebeurd en het betrokken bestand:

Voorbeeldinhoud nadat MDEClientAnalyzer.ps1 is gewijzigd:

Inhoud van het resultaatpakket in Windows

Opmerking

De exacte bestanden die zijn vastgelegd, kunnen veranderen, afhankelijk van factoren zoals:

• De versie van windows waarop de analyzer wordt uitgevoerd.
• Beschikbaarheid van gebeurtenislogboekkanaal op de computer.
• De beginstatus van de EDR-sensor (Inzicht wordt gestopt als de machine nog niet is onboarded).
• Als er een geavanceerde parameter voor probleemoplossing is gebruikt met de opdracht analyzer.

Standaard bevat het uitgepakte MDEClientAnalyzerResult.zip-bestand de volgende items.

• MDEClientAnalyzer.htm

  Dit is het belangrijkste HTML-uitvoerbestand, dat de bevindingen en richtlijnen bevat die het analysescript op de computer kan produceren.

• SystemInfoLogs [Map]

  • AddRemovePrograms.csv

    Beschrijving: Lijst met x64 geïnstalleerde software op x64 OS verzameld uit het register.

  • AddRemoveProgramsWOW64.csv

    Beschrijving: Lijst met x86 geïnstalleerde software op x64 OS verzameld uit het register.

    • CertValidate.log

      Beschrijving: gedetailleerd resultaat van certificaatintrekking uitgevoerd door CertUtil aan te roepen.

    • dsregcmd.txt

      Beschrijving: Uitvoer van het uitvoeren van dsregcmd. Dit geeft details over de Microsoft Entra status van de machine.

    • IFEO.txt

      Beschrijving: Uitvoer van opties voor het uitvoeren van afbeeldingsbestanden die zijn geconfigureerd op de computer

    • MDEClientAnalyzer.txt

      Beschrijving: dit is een uitgebreid tekstbestand dat wordt weergegeven met details van de uitvoering van het analysescript.

    • MDEClientAnalyzer.xml

      Beschrijving: XML-indeling met de resultaten van het analysescript.

    • RegOnboardedInfoCurrent.Json

      Beschrijving: de informatie van de onboarding-machine die in JSON-indeling uit het register is verzameld.

  • RegOnboardingInfoPolicy.Json

    Beschrijving: de configuratie van het onboardingbeleid die in JSON-indeling is verzameld uit het register.

    • SCHANNEL.txt

      Beschrijving: details over de SCHANNEL-configuratie die is toegepast op de computer, zoals verzameld uit het register.

    • SessionManager.txt

      Beschrijving: specifieke instellingen voor Sessiebeheer worden verzameld uit het register.

    • SSL_00010002.txt

      Beschrijving: details over de SSL-configuratie die is toegepast op de computer die is verzameld uit het register.

• EventLogs [Map]

  • utc.evtx

    Beschrijving: Export van DiagTrack-gebeurtenislogboek

  • senseIR.evtx

    Beschrijving: Export van het gebeurtenislogboek voor geautomatiseerd onderzoek

  • sense.evtx

    Beschrijving: Exporteren van het hoofd gebeurtenislogboek van de sensor

  • OperationsManager.evtx

    Beschrijving: Export van het Microsoft Monitoring Agent-gebeurtenislogboek

• MdeConfigMgrLogs [Map]

  • SecurityManagementConfiguration.json

    Beschrijving: configuraties die zijn verzonden vanuit MEM (Microsoft Endpoint Manager) voor afdwinging.

  • policies.json

    Beschrijving: Beleidsinstellingen die moeten worden afgedwongen op het apparaat.

  • report_xxx.json

    Beschrijving: overeenkomende afdwingingsresultaten.

Zie ook

• Overzicht van Client Analyzer
• Download en voer de Client Analyzer
• Verzamelen van gegevens voor geavanceerde probleemoplossing in Windows
• Understand the analyzer HTML report

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.