Shromažďování protokolů podpory v Microsoft Defender for Endpoint pomocí živé odpovědi

Platí pro:

• Plán 2 pro Microsoft Defender pro koncový bod
• Microsoft Defender XDR

Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Při kontaktování podpory se může zobrazit výzva k zadání výstupního balíčku nástroje Microsoft Defender for Endpoint Client Analyzer.

Tento článek obsahuje pokyny ke spuštění nástroje prostřednictvím funkce Live Response ve Windows a na počítačích s Linuxem.

Windows

1. Stáhněte a načtěte požadované skripty dostupné v podadresáři NástrojeMicrosoft Defender for Endpoint Client Analyzeru.

   Pokud například chcete získat základní protokoly o stavu senzoru a zařízení, načtěte ..\Tools\MDELiveAnalyzer.ps1.

   • Pokud potřebujete další protokoly související s Microsoft Defender Antivirus, použijte ..\Tools\MDELiveAnalyzerAV.ps1.
   • Pokud potřebujete protokoly související s prevencí ztráty dat koncového bodu Microsoftu , použijte ..\Tools\MDELiveAnalyzerDLP.ps1.
   • Pokud potřebujete protokoly související se sítí a platformou Windows Filter Platform , použijte ..\Tools\MDELiveAnalyzerNet.ps1.
   • Pokud potřebujete protokoly monitorování procesů , použijte ..\Tools\MDELiveAnalyzerAppCompat.ps1.

2. Na počítači, který potřebujete prozkoumat, zahajte relaci živé odpovědi .

3. Vyberte Nahrát soubor do knihovny.

   

4. Vyberte Zvolit soubor.

   

5. Vyberte stažený soubor s názvem MDELiveAnalyzer.ps1a pak vyberte Potvrdit.

   

   Opakujte tento krok pro MDEClientAnalyzerPreview.zip soubor.

6. Ještě v relaci LiveResponse pomocí následujících příkazů spusťte analyzátor a shromážděte výsledný soubor.

   Putfile MDEClientAnalyzerPreview.zip
   Run MDELiveAnalyzer.ps1
   GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDECA\MDEClientAnalyzerResult.zip"
   

   

Další informace

• Nejnovější verzi Preview mdeClientAnalyzeru si můžete stáhnout tady: https://aka.ms/MDEClientAnalyzerPreview.

• Další informace o shromažďování dat místně na počítači v případě, že počítač nekomunikuje s Microsoft Defender for Endpoint cloudovými službami nebo se nezobrazuje na portálu Microsoft Defender for Endpoint podle očekávání, najdete v tématu Ověření připojení klienta k adresy URL služby Microsoft Defender for Endpoint.

• Jak je popsáno v příkladech příkazů živé odpovědi, můžete použít & symbol na konci příkazu ke shromažďování protokolů jako akce na pozadí:

  Run MDELiveAnalyzer.ps1&
  

Linux

Nástroj XMDE Client Analyzer je možné stáhnout jako binární nebo pythonový balíček, který je možné extrahovat a spustit na počítačích s Linuxem. Obě verze analyzátoru klienta XMDE lze spustit během relace živé odpovědi.

Požadavky

• Pro instalaci se unzip balíček vyžaduje.

• Ke spuštění se acl vyžaduje balíček.

Důležité

Okno používá znak Návrat řádku a čárový kanál neviditelné znaky, které představují konec jednoho řádku a začátek nového řádku v souboru, ale systémy Linux používají pouze neviditelný znak kanálu řádků na konci řádků souboru. Pokud používáte následující skripty, může tento rozdíl vést k chybám a selháním skriptů, které se mají spustit. Potenciálním řešením je využít Subsystém Windows pro Linux a dos2unix balíček k přeformátování skriptu tak, aby odpovídal standardu formátu Unix a Linux.

Instalace analyzátoru klienta XMDE

Obě verze analyzátoru klienta XMDE, binární a Python, samostatný balíček, který se musí před spuštěním stáhnout a extrahovat, a kompletní sadu kroků pro tento proces najdete:

• Spuštění binární verze analyzátoru klienta

• Spuštění verze Pythonu nástroje Client Analyzer

Vzhledem k omezeným příkazům dostupným v živé odpovědi musí být podrobné kroky provedeny ve skriptu Bash a rozdělením instalační a spouštěcí části těchto příkazů je možné spustit instalační skript jednou a spustit spouštěcí skript několikrát.

Důležité

Ukázkové skripty předpokládají, že počítač má přímý přístup k internetu a může načíst analyzátor klienta XMDE od Microsoftu. Pokud počítač nemá přímý přístup k internetu, bude potřeba aktualizovat instalační skripty, aby načítá analyzátor klienta XMDE z umístění, ke kterým mají počítače úspěšně přístup.

Instalační skript analyzátoru binárního klienta

Následující skript provede prvních šest kroků spuštění binární verze analyzátoru klienta. Po dokončení je z adresáře k dispozici binární soubor analyzátoru /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer klienta XMDE.

1. Vytvořte soubor InstallXMDEClientAnalyzer.sh Bash a vložte do něj následující obsah.

   #! /usr/bin/bash
   
   echo "Starting Client Analyzer Script. Running As:"
   whoami
   
   echo "Getting XMDEClientAnalyzerBinary"
   wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://go.microsoft.com/fwlink/?linkid=2297517
   echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c
   
   echo "Unzipping XMDEClientAnalyzerBinary.zip"
   unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary
   
   echo "Unzipping SupportToolLinuxBinary.zip"
   unzip -q /tmp/XMDEClientAnalyzerBinary/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
   
   echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
   
   

Instalační skript analyzátoru klienta Pythonu

Následující skript provede prvních šest kroků spuštění verze Pythonu klientského analyzátoru. Po dokončení budou skripty Pythonu nástroje XMDE Client Analyzer dostupné z /tmp/XMDEClientAnalyzer adresáře.

1. Vytvořte soubor InstallXMDEClientAnalyzer.sh Bash a vložte do něj následující obsah.

   #! /usr/bin/bash
   
   echo "Starting Client Analyzer Install Script. Running As:"
   whoami
   
   echo "Getting XMDEClientAnalyzer.zip"
   wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer 
   echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c  
   
   echo "Unzipping XMDEClientAnalyzer.zip"
   unzip -q XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer  
   
   echo "Setting execute permissions on mde_support_tool.sh script"
   cd /tmp/XMDEClientAnalyzer 
   chmod a+x mde_support_tool.sh  
   
   echo "Performing final support tool setup"
   ./mde_support_tool.sh
   
   

Spuštění instalačních skriptů analyzátoru klienta

1. Na počítači, který potřebujete prozkoumat, zahajte relaci živé odpovědi .

2. Vyberte Nahrát soubor do knihovny.

3. Vyberte Zvolit soubor.

4. Vyberte stažený soubor s názvem InstallXMDEClientAnalyzer.sha pak vyberte Potvrdit.

5. Dokud jste ještě v relaci LiveResponse, nainstalujte analyzátor pomocí následujících příkazů:

   run InstallXMDEClientAnalyzer.sh
   

Spuštění analyzátoru klienta XMDE

Live Response nepodporuje přímé spuštění analyzátoru klienta XMDE nebo Pythonu, takže je nutný spouštěcí skript.

Důležité

Následující skripty předpokládají, že nástroj XMDE Client Analyzer byl nainstalován pomocí stejných umístění ze skriptů uvedených výše. Pokud se vaše organizace rozhodla nainstalovat skripty do jiného umístění, je potřeba aktualizovat následující skripty tak, aby odpovídaly zvolenému umístění instalace vaší organizace.

Skript spuštění analyzátoru binárního klienta

Binary Client Analyzer přijímá parametry příkazového řádku k provádění různých analytických testů. Aby bylo možné zajistit podobné funkce během dynamické odezvy, skript spuštění využívá proměnnou $@ Bash k předání všech vstupních parametrů zadaných skriptu do analyzátoru klienta XMDE.

1. Vytvořte soubor MDESupportTool.sh Bash a vložte do něj následující obsah.

   #! /usr/bin/bash
   
   echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
   cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
   
   echo "Running MDESupportTool"
   ./MDESupportTool $@
   
   

Skript spuštění analyzátoru klienta Pythonu

Python Client Analyzer přijímá parametry příkazového řádku k provádění různých analytických testů. Aby bylo možné zajistit podobné funkce během dynamické odezvy, skript spuštění využívá proměnnou $@ Bash k předání všech vstupních parametrů zadaných skriptu do analyzátoru klienta XMDE.

1. Vytvořte soubor MDESupportTool.sh Bash a vložte do něj následující obsah.

   #! /usr/bin/bash  
   
   echo "cd /tmp/XMDEClientAnalyzer"
   cd /tmp/XMDEClientAnalyzer 
   
   echo "Running mde_support_tool"
   ./mde_support_tool.sh $@
   
   

Spuštění skriptu analyzátoru klienta

Poznámka

Pokud máte aktivní relaci Live Response, můžete krok 1 přeskočit.

1. Na počítači, který potřebujete prozkoumat, zahajte relaci živé odpovědi .

2. Vyberte Nahrát soubor do knihovny.

3. Vyberte Zvolit soubor.

4. Vyberte stažený soubor s názvem MDESupportTool.sha pak vyberte Potvrdit.

5. Když jste ještě v relaci Live Response, pomocí následujících příkazů spusťte analyzátor a shromážděte výsledný soubor.

   run MDESupportTool.sh -parameters "--bypass-disclaimer -d"
   GetFile "/tmp/your_archive_file_name_here.zip"
   

Viz také

• Přehled nástroje Client Analyzer
• Stažení a spuštění nástroje Client Analyzer
• Spuštění nástroje Client Analyzer ve Windows
• Spuštění nástroje Client Analyzer v systému macOS nebo Linux
• Shromažďování dat pro pokročilé řešení potíží ve Windows
• Pochopení sestavy analyzátoru HTML

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.