排查Microsoft Defender for Endpoint实时响应问题
适用于:
希望体验 Defender for Endpoint? 注册免费试用版。
本页提供了排查实时响应问题的详细步骤。
在实时响应会话期间无法访问文件
如果在实时响应会话期间尝试执行操作时遇到错误消息,指出无法访问该文件,请执行以下步骤来解决此问题。
复制以下脚本代码片段并将其另存为 PS1 文件:
$copied_file_path=$args[0] $action=Copy-Item $copied_file_path -Destination $env:TEMP -PassThru -ErrorAction silentlyContinue if ($action){ Write-Host "You copied the file specified in $copied_file_path to $env:TEMP Successfully" } else{ Write-Output "Error occurred while trying to copy a file, details:" Write-Output $error[0].exception.message }将脚本添加到实时响应库。
使用一个参数运行脚本:要复制的文件的文件路径。
导航到 TEMP 文件夹。
对复制的文件运行要执行的操作。
初始连接期间实时响应会话缓慢或延迟
实时响应在 Windows 中使用 Defender for Endpoint 传感器注册到 WNS 服务。 如果实时响应存在连接问题,请确认以下详细信息:
未禁用 WpnService (Windows 推送通知系统服务) 。
WpnService 与 WNS 云的连接不会通过组策略或 MDM 设置禁用。 不应将“关闭通知网络使用情况” 设置为
1。
请参阅以下文章,充分了解 WpnService 服务行为和要求:
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区。