Microsoft Defender For Endpoint Article Series : Troubleshooting Koneksi Internet Pada Endpoint Menggunakan Client Analyzer

Artikel ini dibuat untuk membantu mengatasi berbagai permasalahan pada onboarding Microsoft Defender for Endpoint khususnya adalah masalah Jaringan Internet. Artikel akan update ketika penulis menemui permasalahan baru.

Client Analyzer hingga artikel ini ditulis pada bulan Juli 2022 mendukung Windows, Linux dan macOS.

Daftar Kegunaan Client Analyzer

• Mengecek kondisi sensor MDE ketika mengalami masalah (Inactive, No Sensor Data atau Impaired Communications)
• Mengecek koneksi internet pada perangkat apakah terhubung ke server MDE
• Salah satu cara mengatasi device tidak terdeteksi di MDE Device List
• Memverifikasi konfigurasi Whitelist Proxy pada endpoint
• Mengecek sensor MDE ketika gagal onboarding dari SCCM
• Melakukan Tracing, Mengumpulkan log, dan informasi diagnostik lainnya untuk skenario troubleshooting yang kompleks. Yang dikumpulkan (Application compatibility, performance, koneksi internet, unexpected behavior yang terkait dengan Endpoint DLP)

Studi Kasus : Endpoint Tidak Bisa Terhubung ke Dashboard di security.microsoft.com

Client menggunakan Proxy/Azure Cloud VM Windows. Untuk melihat list URL yang digunakan oleh MDE kunjungi link dibawah ini :

https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/configure-proxy-internet?view=o365-worldwide#enable-access-to-microsoft-defender-for-endpoint-service-urls-in-the-proxy-server

Whitelist URL untuk Proxy

Selalu Gunakan Client Analyzer untuk troubleshooting jaringan. Untuk Mengunduh Client Analyzer, gunakan link berikut :

Download the Microsoft Defender for Endpoint client analyzer | Microsoft Docs

Lalu ekstrak seluruh file kedalam satu folder yang sama.

Ekstraksi Client Analyzer

Jalankan menggunakan klik kanan > Run as Administrator > agree

License Agreement ClientAnalyzer

Tunggu proses hingga selesai

Client Analyzer mengumpulkan informasi

Hasil Client Analyzer

Hasil report Client Analyzer

Untuk Mempelajari cara membaca report Client Analyzer, dapat membaca artikel berikut Understand the client analyzer HTML report | Microsoft Docs

Hasil Testing

Hasil di CMD menunjukkan bahwa ada Error yang disebabkan oleh koneksi ke Server MDE tidak dapat dilakukan.

Client Analyzer menandakan bahwa Port/URL belum di Whitelist.

Hasil Pengecekan di Konfigurasi Network :

Port 80 di blokir semua, alhasil tidak dapat melakukan koneksi ke server MDE.

Sebagai pelengkap troubleshooting koneksi internet di endpoint, juga dapat melakukan pengujian koneksi menggunakan Microsoft Monitoring Agent (MMA).

Untuk Memverifikasi, Gunakan Juga tools dari Link berikut https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/configure-proxy-internet?view=o365-worldwide#verify-client-connectivity-to-microsoft-defender-for-endpoint-service-urls

Daftar Pustaka

Fix unhealthy sensors in Microsoft Defender for Endpoint | Microsoft Docs

Troubleshoot Microsoft Defender for Endpoint onboarding issues | Microsoft Docs

Run the client analyzer on Windows | Microsoft Docs

Troubleshoot sensor health using Microsoft Defender for Endpoint Client Analyzer | Microsoft Docs

https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/troubleshoot-security-config-mgt?view=o365-worldwide#run-microsoft-defender-for-endpoint-client-analyzer-on-windows