使用 Microsoft Defender for Endpoint 客户端分析器排查传感器运行状况问题

适用于:

在运行 Windows、Linux 或 macOS 的载入设备上诊断传感器运行状况或可靠性问题时,Microsoft Defender for Endpoint客户端分析器 (MDECA) 非常有用。 例如,你可能希望在根据安全门户中显示的 传感器运行状况状态 (非活动、无传感器数据或通信受损) 显示不正常的计算机上运行分析器。

除了明显的传感器运行状况问题,MDECA 还可以收集其他跟踪、日志和诊断信息,以便对复杂方案进行故障排除,例如:

隐私声明

  • Microsoft 客户支持服务 (CSS) 定期使用 Microsoft Defender for Endpoint 客户端分析器工具来收集有助于排查Microsoft Defender for Endpoint可能遇到的问题的信息。

  • 收集的数据可能包含个人身份信息 (PII) 和/或敏感数据,例如 (但不限于) IP 地址、电脑名称和用户名。

  • 数据收集完成后,该工具会将数据保存在计算机上的本地子文件夹和压缩 zip 文件中。

  • 不会自动向 Microsoft 发送任何数据。 如果在协作处理支持问题期间使用该工具,系统可能会要求你使用安全文件交换将压缩数据发送到 Microsoft CSS,以方便调查问题。

有关安全文件交换的详细信息,请参阅如何使用安全文件交换与 Microsoft 支持部门

有关我们的隐私声明的详细信息,请参阅 Microsoft 隐私声明

要求

  • 在运行分析器之前,我们建议确保代理或防火墙配置允许访问Microsoft Defender for Endpoint服务 URL

  • 在载入到 Microsoft Defender for Endpoint 之前,分析器可以在受支持的 WindowsLinuxmacOS 版本上运行。

  • 对于 Windows 设备,如果直接在特定计算机上运行分析器,而不是通过 实时响应远程运行,则应允许 SysInternals PsExec.exe (至少暂时) 运行。 分析器调用 PsExec.exe 工具,以本地系统的形式运行云连接检查,并模拟 SENSE 服务的行为。

    注意

    在 Windows 设备上,如果使用攻击面减少规则 阻止源自 PSExec 和 WMI 命令的进程创建,则可能希望暂时 配置 ASR 规则的排除。 (可选)可以将规则设置为 审核 ,也可以禁用该规则。 通过进行这些配置,分析器可以运行到云的连接检查,而不会受到阻止。

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区