Eseguire l'analizzatore client in Windows

  • Articolo

Si applica a:

Opzione 1: Risposta dinamica

È possibile raccogliere i log di supporto dell'analizzatore di Defender per endpoint in remoto usando Live Response.

Opzione 2: Eseguire MDE Client Analyzer in locale

  1. Scaricare lo strumento analizzatore client MDE o lo strumento Beta MDE Client Analyzer nel dispositivo Windows che si vuole analizzare.

    Il file viene salvato nella cartella Download per impostazione predefinita.

  2. Estrarre il contenuto di MDEClientAnalyzer.zip in una cartella disponibile.

  3. Aprire una riga di comando con autorizzazioni di amministratore:

    1. Passare a Start e digitare cmd.
    2. Fare clic con il pulsante destro del mouse su Prompt dei comandi e scegliere Esegui come amministratore.

  4. Digitare il comando seguente e quindi premere INVIO:

    *DrivePath*\MDEClientAnalyzer.cmd

    Sostituire DrivePath con il percorso in cui è stato estratto MDEClientAnalyzer, ad esempio:

    C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd

Oltre alla procedura precedente, è anche possibile raccogliere i log di supporto dell'analizzatore usando la risposta dinamica.

Nota

In Windows 10 e 11, Windows Server 2019 e 2022 o Windows Server 2012R2 e 2016 con la soluzione unificata moderna installata, lo script dell'analizzatore client chiama in un file eseguibile chiamato MDEClientAnalyzer.exe per eseguire i test di connettività agli URL del servizio cloud.

In Windows 8.1, Windows Server 2016 o qualsiasi edizione precedente del sistema operativo in cui viene usato Microsoft Monitoring Agent (MMA) per l'onboarding, lo script dell'analizzatore client chiama in un file eseguibile chiamato MDEClientAnalyzerPreviousVersion.exe per eseguire i test di connettività per gli URL di comando e controllo (CnC) e allo stesso tempo chiama lo strumento TestCloudConnection.exe di connettività di Microsoft Monitoring Agent per gli URL del canale Cyber Data.

Punti importanti da tenere a mente

Tutti gli script e i moduli di PowerShell inclusi nell'analizzatore sono firmati da Microsoft. Se i file sono stati modificati in qualche modo, l'analizzatore dovrebbe uscire con l'errore seguente:

Errore dell'analizzatore client

Se viene visualizzato questo errore, l'output issuerInfo.txt contiene informazioni dettagliate sul motivo per cui si è verificato e sul file interessato:

Informazioni sull'autorità di certificazione

Contenuto di esempio dopo la modifica di MDEClientAnalyzer.ps1:

File ps1 modificato

Contenuto del pacchetto dei risultati in Windows

Nota

I file esatti acquisiti possono cambiare a seconda di fattori come:

  • Versione delle finestre in cui viene eseguito l'analizzatore.
  • Disponibilità del canale del log eventi nel computer.
  • Stato di avvio del sensore EDR (Sense viene arrestato se il computer non è ancora stato caricato).
  • Se è stato usato un parametro di risoluzione dei problemi avanzato con il comando dell'analizzatore.

Per impostazione predefinita, il file MDEClientAnalyzerResult.zip decompresso contiene gli elementi seguenti.

  • MDEClientAnalyzer.htm

    Questo è il file di output HTML principale, che conterrà i risultati e le indicazioni che lo script dell'analizzatore può produrre nel computer.

  • SystemInfoLogs [Cartella]

    • AddRemovePrograms.csv

      Descrizione: elenco del software installato x64 nel sistema operativo x64 raccolto dal Registro di sistema.

    • AddRemoveProgramsWOW64.csv

      Descrizione: elenco del software installato x86 nel sistema operativo x64 raccolto dal Registro di sistema.

      • CertValidate.log

        Descrizione: risultato dettagliato della revoca del certificato eseguita chiamando CertUtil.

      • dsregcmd.txt

        Descrizione: output dall'esecuzione di dsregcmd. Vengono fornite informazioni dettagliate sullo stato Microsoft Entra del computer.

      • IFEO.txt

        Descrizione: Output delle opzioni di esecuzione del file di immagine configurate nel computer

      • MDEClientAnalyzer.txt

        Descrizione: file di testo dettagliato che mostra i dettagli dell'esecuzione dello script dell'analizzatore.

      • MDEClientAnalyzer.xml

        Descrizione: formato XML contenente i risultati dello script dell'analizzatore.

      • RegOnboardedInfoCurrent.Json

        Descrizione: informazioni sul computer di cui è stato caricato raccolte in formato JSON dal Registro di sistema.

    • RegOnboardingInfoPolicy.Json

      Descrizione: configurazione dei criteri di onboarding raccolti in formato JSON dal Registro di sistema.

      • SCHANNEL.txt

        Descrizione: dettagli sulla configurazione SCHANNEL applicata al computer raccolto dal Registro di sistema.

      • SessionManager.txt

        Descrizione: le impostazioni specifiche di Session Manager vengono raccolte dal Registro di sistema.

      • SSL_00010002.txt

        Descrizione: dettagli sulla configurazione SSL applicata al computer raccolto dal Registro di sistema.

  • EventLogs [Cartella]

    • utc.evtx

      Descrizione: Esportazione del log eventi di DiagTrack

    • senseIR.evtx

      Descrizione: Esportazione del registro eventi di indagine automatizzata

    • sense.evtx

      Descrizione: Esportazione del log eventi principale del sensore

    • OperationsManager.evtx

      Descrizione: Esportazione del registro eventi di Microsoft Monitoring Agent

  • MdeConfigMgrLogs [Cartella]

    • SecurityManagementConfiguration.json

      Descrizione: configurazioni inviate da MEM (Microsoft Endpoint Manager) per l'imposizione.

    • policies.json

      Descrizione: impostazioni dei criteri da applicare al dispositivo.

    • report_xxx.json

      Descrizione: risultati dell'imposizione corrispondenti.

Vedere anche

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.