Endpoint yönetimi tarafında günlük operasyonlarda en çok zaman kaybettiren konulardan biri, farklı kontroller için farklı ekranlara, log dosyalarına ve PowerShell komutlarına gitmek zorunda kalmak. Microsoft Defender for Endpoint, Microsoft Intune, cihaz enrollment durumu, firewall, proxy, network ve event log kontrolleri çoğu zaman aynı troubleshooting akışının parçalarıdır.
Bu ihtiyaçtan yola çıkarak Endpoint Troubleshooter adında PowerShell tabanlı bir yardımcı araç geliştirdim.
Endpoint Troubleshooter, Windows cihazlar üzerinde çalışan, GUI arayüzüne sahip bir PowerShell modülüdür. Temel amacı; endpoint üzerinde Defender, MDE, Intune, enrollment, network, proxy, firewall ve log kontrollerini tek bir ekranda daha hızlı ve düzenli şekilde yapabilmektir.
Saha çalışmalarında veya müşteri ortamlarında endpoint troubleshooting yaparken genellikle şu kontrolleri ayrı ayrı yapmak gerekiyor:
- Microsoft Defender Antivirus durumu
- Defender engine, platform ve signature versiyonları
- Real-time protection, behavior monitoring, IOAV, Tamper Protection durumu
- Microsoft Defender for Endpoint Sense servis durumu
- MDE onboarding state
- MDE connectivity testleri
- Intune Management Extension servis durumu
- Intune sync tetikleme
dsregcmd /statusçıktısı- Azure AD Join / Domain Join / Tenant bilgisi
- MDM enrollment registry kontrolleri
- EnterpriseMgmt scheduled task kontrolleri
- Firewall profile ve blocked event kontrolleri
- Proxy ve network yapılandırması
- Defender / Sense / IME event logları
- Support bundle ve HTML report oluşturma
Bu kontrollerin hepsi yapılabilir, ancak genellikle farklı komutlar, farklı event log path’leri ve farklı registry alanları gerekir. Endpoint Troubleshooter bu süreci sadeleştirmek için tasarlandı.
Endpoint Troubleshooter Nedir?
Endpoint Troubleshooter, PowerShell ile geliştirilmiş bir GUI aracıdır. PowerShell Gallery üzerinden modül olarak kurulabilir ve tek komutla çalıştırılabilir.
Install-Module EndpointTroubleshooter -Scope CurrentUser
Start-EndpointTroubleshooter
Araç açıldığında sol menü üzerinden farklı troubleshooting alanlarına geçiş yapılabilir.
Execution policy kısıtı görülürse;
Set-ExecutionPolicy -Scope Process -ExecutionPolicy Bypass
çalıştırılmalıdır.
Ana Özellikler
1. Dashboard
Dashboard ekranı, cihazın genel sağlık durumunu hızlıca görmek için tasarlandı.
Bu ekranda özet olarak şunlar görüntülenir:
- Computer name
- Current user
- OS bilgisi
- Defender AV genel durumu
- MDE / Sense servis durumu
- Intune Management Extension durumu
- Azure AD Join / Domain Join bilgisi
- Tenant bilgisi
- Firewall profilleri
- Proxy bilgisi
- Son event özetleri
Bu ekran özellikle hızlı ön kontrol için faydalı. Cihazın genel olarak sağlıklı mı, yoksa detaylı inceleme gerekiyor mu hızlıca anlaşılabiliyor.
2. Defender Antivirus Kontrolleri
Defender Antivirus sekmesinde cihazdaki Microsoft Defender AV durumu görüntülenir.
Kontrol edilen bazı bilgiler:
- Engine Version
- Product / Platform Version
- Service Version
- Signature Version
- Running Mode
- Real-time Protection
- Behavior Monitor
- IOAV Protection
- Tamper Protection
- Last Quick Scan
- Exclusion Path / Process / Extension bilgileri
Bu ekran özellikle Defender AV’nin aktif/pasif durumu, imza güncelliği ve exclusion kontrolleri için kullanılabilir.
3. Microsoft Defender for Endpoint / Sense Kontrolleri
MDE tarafında en kritik kontrollerden biri cihazın onboard olup olmadığı ve Sense servisinin düzgün çalışıp çalışmadığıdır.
Bu bölümde:
- Sense service status
- Onboarding state
- Org ID / Tenant ID
- Device ID
- Proxy yapılandırması
- MDE connectivity testleri
- Recent Sense event logları
görüntülenebilir.
Ayrıca MDE connectivity test ile cihazın Microsoft Defender for Endpoint servislerine 443 üzerinden erişimi hızlıca kontrol edilebilir.
4. Attack Surface Reduction Kontrolleri
ASR kontrolleri için ayrı bir bölüm eklendi.
Bu ekranda cihazdaki ASR rule durumları listelenir:
- Block
- Audit
- Warn
- Disabled
- Not configured
Bu özellikle Intune veya GPO üzerinden gelen ASR policy’lerinin endpoint üzerinde nasıl göründüğünü kontrol etmek için faydalıdır.
5. Intune Management Extension Kontrolleri
Intune troubleshooting sırasında en sık bakılan bileşenlerden biri Intune Management Extension servisidir.
Bu bölümde:
- IME servis durumu
- IME installation folder
- IME version
- Last IME log write time
- EnterpriseMgmt scheduled task listesi
- Intune sync action
- IME restart action
- IME log folder shortcut
bulunur.
Özellikle policy/script/app deployment sorunlarında IME servis ve log kontrolleri hızlıca yapılabilir.
6. Identity & Enrollment Kontrolleri
Bu bölümde cihazın identity ve enrollment durumu kontrol edilir.
Temel olarak dsregcmd /status çıktısı parse edilir ve önemli alanlar GUI üzerinden gösterilir:
- AzureAdJoined
- DomainJoined
- Tenant Name
- Tenant ID
- Device ID
- MDM URL
Ayrıca registry altındaki enrollment bilgileri de görüntülenir.
Bu ekran Hybrid Join, Azure AD Join veya Intune enrollment troubleshooting için kullanılabilir.
7. Network, Proxy ve Firewall Kontrolleri
Endpoint troubleshooting senaryolarında network ve proxy tarafı çoğu zaman kritik rol oynar.
Araç içerisinde:
- IP configuration
- DNS server bilgileri
- WinHTTP proxy
- User proxy registry bilgileri
- TCP test
- Firewall profile status
- Firewall blocked event logları
- WFP capture başlatma
gibi kontroller bulunur.
Özellikle MDE connectivity, Intune communication veya uygulama erişim sorunlarında bu bölüm hızlı ön analiz sağlar.
Tools and Actions Bölümü
Araç içindeki en pratik bölümlerden biri Tools and Actions ekranı.
Bu bölümde operasyonel aksiyonlar tek ekranda toplandı.
Administrative Actions
Bu alanda:
- Refresh All Checks
- Restart Sense
- Restart WinDefend
- Export HTML Report
- Collect Support Bundle
- Performance Analyzer
- MDE Client Analyzer
aksiyonları bulunur.
Support Bundle ile önemli log ve çıktılar tek bir klasörde toplanıp ZIP haline getirilebilir.


Current Signature Information
Bu bölüm Defender imza ve platform bilgisini gösterir:
- AV Signature Version
- AV Signature Age
- AV Signature Last Updated
- Engine Version
- Platform Version
- Product Status
Bu bilgiler özellikle Defender signature veya platform güncelliği kontrolünde faydalı olur.
Latest Microsoft Versions
Bu bölüm Microsoft tarafındaki en güncel Defender engine, platform ve signature bilgilerini kontrol etmek için eklendi.
Amaç, cihazdaki mevcut versiyon ile Microsoft’un yayınladığı latest versiyon bilgisini aynı ekranda karşılaştırabilmek.
Defender Performance Analyzer
Endpoint üzerinde Defender kaynaklı performans sorunları yaşandığında en faydalı araçlardan biri Defender Performance Analyzer’dır.
Endpoint Troubleshooter içerisinde bu özellik için GUI üzerinden kayıt başlatma ve rapor görüntüleme aksiyonları eklendi.
Araç şu aksiyonları destekler:
- Belirli süre için performance recording başlatma
- Performance report oluşturma
- Top file / extension / process / scan analizleri
Bu özellikle yüksek CPU, uzun scan süresi veya belirli dosya/process kaynaklı performans sorunlarını analiz etmek için kullanılabilir.
MDE Client Analyzer
MDE Client Analyzer da araca dahil edildi.
Bu buton üzerinden MDE Client Analyzer indirilebilir ve çalıştırılabilir. Analyzer tamamlandığında çıktı klasörü üzerinden detaylı inceleme yapılabilir.
MDE Client Analyzer özellikle şu senaryolarda faydalıdır:
- MDE onboarding sorunları
- Sensor health problemleri
- Connectivity sorunları
- Sense servis davranışları
- Telemetry / diagnostic data toplama
HTML Report ve Support Bundle
Araç üzerinden tek tıkla HTML report oluşturulabilir.
Report içerisinde temel olarak:
- Overview
- Defender status
- Defender exclusions
- MDE connectivity
- Network bilgileri
- Proxy bilgileri
yer alır.
Support Bundle ise troubleshooting sırasında paylaşılması gerekebilecek log ve çıktıları tek klasörde toplar. Bu özellikle support case veya iç analiz süreçlerinde işleri kolaylaştırır.
Kurulum
Endpoint Troubleshooter PowerShell Gallery üzerinden kurulabilir.
Install-Module EndpointTroubleshooter -Scope CurrentUser
Eğer cihazda PowerShell Gallery repository güvenilir değilse aşağıdaki onay ekranı gelebilir. Onay verdikten sonra kurulum devam eder.
Admin olarak tüm kullanıcılar için kurmak istersen:
Install-Module EndpointTroubleshooter -Scope AllUsers
Kurulumdan sonra uygulamayı başlatmak için:
Start-EndpointTroubleshooter
Bazı aksiyonlar servis restart, event log, registry veya system path erişimi gerektirdiği için aracı Run as Administrator ile çalıştırmak önerilir.
Yeni sürüm çıktığında güncellemek için:
Update-Module EndpointTroubleshooter
Notlar ve Sınırlamalar
Bu araç resmi bir Microsoft ürünü değildir. Endpoint troubleshooting süreçlerini hızlandırmak için geliştirilmiş yardımcı bir PowerShell aracıdır.
Bazı değerler cihaz konfigürasyonuna göre boş gelebilir. Örneğin:
- Cihaz MDE’ye onboard değilse bazı MDE alanları boş olabilir.
- Cihaz Intune enrolled değilse IME veya EnterpriseMgmt task bilgileri görünmeyebilir.
- Proxy yapılandırılmadıysa proxy alanı “Not configured” görünebilir.
- Performance Analyzer sonuçları, kayıt sırasında gerçekleşen Defender aktivitesine bağlıdır.









































