Ausführen des Clientanalysetools unter Linux

Gilt für:

• Microsoft Defender für Endpunkt Plan 2
• Microsoft Defender XDR

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Wenn bei Defender für Endpunkt unter Linux Probleme mit der Zuverlässigkeit oder geräteintegrität auftreten und Sie sich an den Support wenden, werden Sie möglicherweise aufgefordert, das Ausgabepaket des Microsoft Defender for Endpoint Client Analyzer-Tools bereitzustellen. In diesem Artikel wird beschrieben, wie Sie das Clientanalysetool lokal auf dem Gerät oder zusammen mit einer Liveantwort verwenden. In beiden Fällen können Sie eine Python-basierte Lösung oder eine Binärversion ohne externe Python-Abhängigkeit verwenden.

Verwenden von Liveantworten in Defender für Endpunkt zum Sammeln von Supportprotokollen

Das XMDE-Client analyzer-Tool kann als Binär- oder Python-Paket heruntergeladen werden, das auf Linux-Computern extrahiert und ausgeführt werden kann. Beide Versionen der XMDE-Clientanalyse können während einer Live Response-Sitzung ausgeführt werden.

• Für die Installation ist das unzip Paket erforderlich.
• Für die Ausführung ist das acl Paket erforderlich.

Wichtig

Window verwendet die unsichtbaren Zeichen Wagenrücklauf und Zeilenvorschub, um das Ende einer Zeile und den Anfang einer neuen Zeile in einer Datei darzustellen, aber Linux-Systeme verwenden nur das unsichtbare Zeichen Zeilenvorschub am Ende der Dateizeilen. Wenn Sie die folgenden Skripts verwenden, kann dieser Unterschied unter Windows zu Fehlern und Fehlern der auszuführenden Skripts führen. Eine mögliche Lösung hierfür besteht darin, die Windows-Subsystem für Linux und das dos2unix Paket zu verwenden, um das Skript so zu formatieren, dass es dem Unix- und Linux-Formatstandard entspricht.

Installieren der XMDE-Clientanalyse

Laden Sie die XMDE-Clientanalyse herunter, und extrahieren Sie es. Sie können entweder die Binärversion oder die Python-Version wie folgt verwenden:

• Binärversion des Client Analyzer
• Python-Version von Client Analyzer

Aufgrund der eingeschränkten Befehle, die in der Liveantwort verfügbar sind, müssen die detaillierten Schritte in einem Bash-Skript ausgeführt werden. Durch aufteilen des Installations- und Ausführungsteils dieser Befehle ist es möglich, das Installationsskript einmal auszuführen und das Ausführungsskript mehrmals auszuführen.

Wichtig

In den Beispielskripts wird davon ausgegangen, dass der Computer über direkten Internetzugriff verfügt und den XMDE-Client Analyzer von Microsoft abrufen kann. Wenn der Computer keinen direkten Internetzugriff hat, müssen die Installationsskripts aktualisiert werden, um die XMDE-Clientanalyse von einem Speicherort abzurufen, auf den die Computer erfolgreich zugreifen können.

Installationsskript für binäre Clientanalyse

Das folgende Skript führt die ersten sechs Schritte der Ausführung der Binärversion des Client Analyzer aus. Nach Abschluss des Vorgangs ist die XMDE-Clientanalyse-Binärdatei im /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer Verzeichnis verfügbar.

1. Erstellen Sie eine Bash-Datei InstallXMDEClientAnalyzer.sh , und fügen Sie den folgenden Inhalt ein.

   #! /usr/bin/bash
   
   echo "Starting Client Analyzer Script. Running As:"
   whoami
   
   echo "Getting XMDEClientAnalyzerBinary"
   wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://go.microsoft.com/fwlink/?linkid=2297517
   echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c
   
   echo "Unzipping XMDEClientAnalyzerBinary.zip"
   unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary
   
   echo "Unzipping SupportToolLinuxBinary.zip"
   unzip -q /tmp/XMDEClientAnalyzerBinary/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
   
   echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
   
   

Installationsskript für die Python-Clientanalyse

Das folgende Skript führt die ersten sechs Schritte der Ausführung der Python-Version des Client Analyzer aus. Nach Abschluss des Vorgangs sind die Python-Skripts der XMDE-Clientanalyse im /tmp/XMDEClientAnalyzer Verzeichnis verfügbar.

1. Erstellen Sie eine Bash-Datei InstallXMDEClientAnalyzer.sh , und fügen Sie den folgenden Inhalt ein.

   #! /usr/bin/bash
   
   echo "Starting Client Analyzer Install Script. Running As:"
   whoami
   
   echo "Getting XMDEClientAnalyzer.zip"
   wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer 
   echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c  
   
   echo "Unzipping XMDEClientAnalyzer.zip"
   unzip -q XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer  
   
   echo "Setting execute permissions on mde_support_tool.sh script"
   cd /tmp/XMDEClientAnalyzer 
   chmod a+x mde_support_tool.sh  
   
   echo "Performing final support tool setup"
   ./mde_support_tool.sh
   
   

Ausführen der Installationsskripts für die Clientanalyse

1. Initiieren Sie eine Live Response-Sitzung auf dem Computer, den Sie untersuchen möchten.

2. Wählen Sie Datei in Bibliothek hochladen aus.

3. Wählen Sie Datei auswählen aus.

4. Wählen Sie die heruntergeladene Datei mit dem Namen aus InstallXMDEClientAnalyzer.sh, und wählen Sie dann Bestätigen aus.

5. Verwenden Sie während der LiveResponse-Sitzung die folgenden Befehle, um das Analysetool zu installieren:

   run InstallXMDEClientAnalyzer.sh
   

Ausführen des XMDE-Clientanalysetools

Die Liveantwort unterstützt nicht die direkte Ausführung von XMDE-Client Analyzer oder Python, sodass ein Ausführungsskript erforderlich ist.

Wichtig

Bei den folgenden Skripts wird davon ausgegangen, dass die XMDE-Clientanalyse mit denselben Speicherorten aus den zuvor erwähnten Skripts installiert wurde. Wenn Ihr organization sich dafür entschieden hat, die Skripts an einem anderen Speicherort zu installieren, müssen die Skripts so aktualisiert werden, dass sie am von Ihrem organization ausgewählten Installationsspeicherort ausgerichtet sind.

Ausführungsskript für binäre Clientanalyse

Die binärversion des Clientanalysetools akzeptiert Befehlszeilenparameter, um verschiedene Analysetests durchzuführen. Um ähnliche Funktionen während der Liveantwort bereitzustellen, nutzt das Ausführungsskript die $@ Bash-Variable, um alle Eingabeparameter zu übergeben, die für das Skript an die XMDE-Clientanalyse bereitgestellt werden.

1. Erstellen Sie eine Bash-Datei MDESupportTool.sh , und fügen Sie den folgenden Inhalt ein.

   #! /usr/bin/bash
   
   echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
   cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
   
   echo "Running MDESupportTool"
   ./MDESupportTool $@
   
   

Ausführen des Skripts für die Python-Clientanalyse

Die Python-Version des Clientanalysetools akzeptiert Befehlszeilenparameter, um verschiedene Analysetests durchzuführen. Um ähnliche Funktionen während der Liveantwort bereitzustellen, nutzt das Ausführungsskript die $@ Bash-Variable, um alle Eingabeparameter zu übergeben, die für das Skript an die XMDE-Clientanalyse bereitgestellt werden.

1. Erstellen Sie eine Bash-Datei MDESupportTool.sh , und fügen Sie den folgenden Inhalt ein.

   #! /usr/bin/bash  
   
   echo "cd /tmp/XMDEClientAnalyzer"
   cd /tmp/XMDEClientAnalyzer 
   
   echo "Running mde_support_tool"
   ./mde_support_tool.sh $@
   
   

Ausführen des Clientanalyseskripts

Hinweis

Wenn Sie über eine aktive Liveantwortsitzung verfügen, können Sie Schritt 1 überspringen.

1. Initiieren Sie eine Live Response-Sitzung auf dem Computer, den Sie untersuchen möchten.

2. Wählen Sie Datei in Bibliothek hochladen aus.

3. Wählen Sie Datei auswählen aus.

4. Wählen Sie die heruntergeladene Datei mit dem Namen aus MDESupportTool.sh, und wählen Sie dann Bestätigen aus.

5. Verwenden Sie während der Liveantwortsitzung die folgenden Befehle, um das Analysetool auszuführen und die resultierende Datei zu sammeln:

   run MDESupportTool.sh -parameters "--bypass-disclaimer -d"
   GetFile "/tmp/your_archive_file_name_here.zip"
   

Lokales Sammeln von Microsoft Defender for Endpoint Supportprotokollen

Dieser Abschnitt enthält Anweisungen zum lokalen Ausführen des Tools auf den Linux-Computern.

Ausführen der Binärversion des Clientanalysetools

Zusammenfassung

1. Rufen Sie aus ab https://go.microsoft.com/fwlink/?linkid=2297517. Oder verwenden Sie, wenn Ihr Linux-Server über Internetzugriff verfügt wget , um die Datei herunterzuladen:

   wget --quiet -O XMDEClientAnalyzerBinary.zip https://go.microsoft.com/fwlink/?linkid=2297517
   

2. Entpacken Sie die heruntergeladene Datei, und entzippen Sie dann erneut die SupportToolLinuxBinary.zip

   unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary
   

3. Ausführen der Binärdatei

   sudo ./MDESupportTool -d --mdatp-log debug
   

4. Befolgen Sie die Anweisungen auf dem Bildschirm, und folgen Sie dann am Ende der Protokollsammlung. Die Protokolle befinden sich im /tmp Verzeichnis.

5. Der Protokollsatz befindet sich im Besitz des Stammbenutzers, sodass Sie möglicherweise Root-Berechtigungen benötigen, um den Protokollsatz zu entfernen.

6. Laden Sie die Datei für den Supporttechniker hoch.

Details

1. Laden Sie das XMDE Client Analyzer Binary-Tool auf den Linux-Computer herunter, den Sie untersuchen müssen.

   Wenn Sie ein Terminal verwenden, laden Sie das Tool herunter, indem Sie den folgenden Befehl eingeben:

   wget --quiet -O XMDEClientAnalyzerBinary.zip https://go.microsoft.com/fwlink/?linkid=2297517
   

2. Überprüfen Sie den Download.

   echo '2A9BF0A6183831BE43C7BCB7917A40D772D226301B4CDA8EE4F258D00B6E4E97 XMDEClientAnalyzerBinary.zip' | sha256sum -c
   

3. Extrahieren Sie den Inhalt von XMDEClientAnalyzerBinary.zip auf dem Computer.

   Wenn Sie ein Terminal verwenden, extrahieren Sie die Dateien, indem Sie den folgenden Befehl eingeben:

   unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary
   

4. Wechseln Sie zum Verzeichnis des Tools, indem Sie den folgenden Befehl eingeben:

   cd XMDEClientAnalyzerBinary
   

5. Es werden zwei neue ZIP-Dateien erstellt:

   • SupportToolLinuxBinary.zip: Für alle Linux-Geräte
   • SupportToolMacOSBinary.zip: Ignorieren Sie diese Option für Mac-Geräte.

6. Entzippen Sie die SupportToolLinuxBinary.zip für den Linux-Computer, den Sie untersuchen möchten.

    unzip -q SupportToolLinuxBinary.zip 
   

7. Führen Sie das Tool als Stamm aus, um ein Diagnosepaket zu generieren:

   sudo ./MDESupportTool -d
   

Ausführen der Python-basierten Clientanalyse

Hinweis

• Das Analysetool hängt von einigen zusätzlichen PIP-Paketen (decorator, , distro, lxmlund psutil) ab, shdie im Betriebssystem installiert sind, wenn sie sich im Stamm befinden, um die Ergebnisausgabe zu erzeugen. Wenn es nicht installiert ist, versucht das Analysetool, es aus dem offiziellen Repository für Python-Pakete abzurufen.
• Darüber hinaus muss für das Tool derzeit Python-Version 3 oder höher auf Ihrem Gerät installiert sein.
• Wenn sich Ihr Gerät hinter einem Proxy befindet, können Sie den Proxyserver einfach als Umgebungsvariable an das mde_support_tool.sh Skript übergeben. Beispiel: https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh".

Warnung

Die Ausführung des Python-basierten Clientanalysetools erfordert die Installation von PIP-Paketen, was zu Problemen in Ihrer Umgebung führen kann. Um Probleme zu vermeiden, wird empfohlen, die Pakete in einer PIP-Benutzerumgebung zu installieren.

1. Laden Sie das XMDE-Client analyzer-Tool auf den Linux-Computer herunter, den Sie untersuchen müssen.

   Wenn Sie ein Terminal verwenden, laden Sie das Tool herunter, indem Sie den folgenden Befehl ausführen:

   wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer
   

2. Überprüfen Sie den Download.

   echo '84C9718FF3D29DA0EEE650FB2FC0625549A05CD1228AC253DBB92C8B1D9F1D11 XMDEClientAnalyzer.zip' | sha256sum -c
   

3. Extrahieren Sie den Inhalt von XMDEClientAnalyzer.zip auf dem Computer.

   Wenn Sie ein Terminal verwenden, extrahieren Sie die Dateien mit dem folgenden Befehl:

   unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzer
   

4. Ändern Sie Ihr Verzeichnis in den extrahierten Speicherort.

   cd XMDEClientAnalyzer
   

5. Erteilen Sie dem Tool die Berechtigung ausführbare Datei:

   chmod a+x mde_support_tool.sh
   

6. Führen Sie als Nicht-Root-Benutzer aus, um erforderliche Abhängigkeiten zu installieren:

   ./mde_support_tool.sh
   

7. Führen Sie erneut als Stamm aus, um das tatsächliche Diagnosepaket zu erfassen und die Ergebnisarchivdatei zu generieren:

   sudo ./mde_support_tool.sh -d
   

Befehlszeilenoptionen

Primäre Befehlszeilen

Verwenden Sie den folgenden Befehl, um die Computerdiagnose abzurufen.

-h, --help            show this help message and exit
--output OUTPUT, -o OUTPUT
                      Output path to export report
--outdir OUTDIR       Directory where diagnostics file will be generated
--no-zip, -nz         If set a directory will be created instead of an archive file
--force, -f           Will overwrite if output directory exists
--diagnostic, -d      Collect extensive machine diagnostic information
--bypass-disclaimer   Do not display disclaimer banner
--interactive, -i     Interactive diagnostic
--delay DELAY, -dd DELAY
                      Set MDATP log level. If you use interactive or delay mode, the log level will set to debug automatically, and reset after 48h.
--mdatp-log {info,debug,verbose,error,trace,warning}
                      Set MDATP log level
--max-log-size MAX_LOG_SIZE
                      Maximum log file size in MB before rotating(Will restart mdatp)

Verwendungsbeispiel: sudo ./MDESupportTool -d

Hinweis

Das Feature "Autoreset" auf Protokollebene ist nur in der Clientversion 2405 oder höher verfügbar.

Positionsargumente

Sammeln von Leistungsinformationen

Sammeln Sie eine umfangreiche Ablaufverfolgung der Computerleistung für die Analyse eines Leistungsszenarios, das bei Bedarf reproduziert werden kann.

-h, --help            show this help message and exit
--frequency FREQUENCY
                      profile at this frequency
--length LENGTH       length of time to collect (in seconds)

Verwendungsbeispiel: sudo ./MDESupportTool performance --frequency 2

Ausschlussmodus

Fügen Sie Ausschlüsse für die überwachte Überwachung hinzu.

Hinweis

Diese Funktionalität ist nur für Linux vorhanden.

  -h, --help            show this help message and exit
  -e <executable>, --exe <executable>
                        exclude by executable name, i.e: bash
  -p <process id>, --pid <process id>
                        exclude by process id, i.e: 911
  -d <directory>, --dir <directory>
                        exclude by target path, i.e: /var/foo/bar
  -x <executable> <directory>, --exe_dir <executable> <directory>
                        exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
  -q <q_size>, --queue <q_size>
                        set dispatcher q_depth size
  -r, --remove          remove exclusion file
  -s, --stat            get statistics about common executables
  -l, --list            list auditd rules
  -o, --override        Override the existing auditd exclusion rules file for mdatp
  -c <syscall number>, --syscall <syscall number>
                        exclude all process of the given syscall

Verwendungsbeispiel: sudo ./MDESupportTool exclude -d /var/foo/bar

AuditD-Ratenbegrenzung

Syntax, die verwendet werden kann, um die Anzahl der ereignisse zu begrenzen, die vom auditD-Plug-In gemeldet werden. Diese Option legt die Ratenbegrenzung global für AuditD fest, was zu einem Rückgang aller Überwachungsereignisse führt. Wenn der Grenzwert aktiviert ist, ist die Anzahl der überwachten Ereignisse auf 2500 Ereignisse/Sekunde beschränkt. Diese Option kann in Fällen verwendet werden, in denen eine hohe CPU-Auslastung aufseiten von AuditD angezeigt wird.

Hinweis

Diese Funktionalität ist nur für Linux vorhanden.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the rate limit with default values

Verwendungsbeispiel: sudo ./mde_support_tool.sh ratelimit -e true

Hinweis

Diese Funktionalität sollte sorgfältig verwendet werden, da die Anzahl der Ereignisse begrenzt wird, die vom überwachten Subsystem als Ganzes gemeldet werden. Dies könnte auch die Anzahl der Ereignisse für andere Abonnenten reduzieren.

AuditD skip faulty rules (AuditD skip faulty rules)

Mit dieser Option können Sie die fehlerhaften Regeln überspringen, die in der Überwachungsregeldatei beim Laden hinzugefügt wurden. Mit dieser Option kann das überwachte Subsystem weiterhin Regeln laden, auch wenn eine fehlerhafte Regel vorhanden ist. Diese Option fasst die Ergebnisse des Ladens der Regeln zusammen. Im Hintergrund führt diese Option auditctl mit der Option -c aus.

Hinweis

Diese Funktionalität ist nur unter Linux verfügbar.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.

Verwendungsbeispiel: sudo ./mde_support_tool.sh skipfaultyrules -e true

Hinweis

Diese Funktion überspringt die fehlerhaften Regeln. Die fehlerhafte Regel muss dann weiter identifiziert und behoben werden.

Inhalt des Ergebnispakets unter Linux

Datei	Beschreibung
report.html	Die Standard HTML-Ausgabedatei, die die Ergebnisse und Anleitungen zur Ausführung des Clientanalysetools auf dem Gerät enthält. Diese Datei wird nur generiert, wenn die Python-basierte Version des Clientanalysetools ausgeführt wird.
mde_diagnostic.zip	Dieselbe Diagnoseausgabe, die beim Ausführen von mdatp diagnostic create unter Linux generiert wird.
mde.xml	XML-Ausgabe, die während der Ausführung generiert wird und zum Erstellen der HTML-Berichtsdatei verwendet wird.
Processes_information.txt	Enthält die Details der ausgeführten Microsoft Defender for Endpoint zugehörigen Prozesse auf dem System.
Log.txt	Enthält dieselben Protokollmeldungen, die während der Datensammlung auf dem Bildschirm geschrieben wurden.
Health.txt	Die gleiche grundlegende Integritätsausgabe, die beim Ausführen des Befehls mdatp health angezeigt wird.
Events.xml	Eine weitere XML-Datei, die vom Analysetool beim Erstellen des HTML-Berichts verwendet wird.
Audited_info.txt	Details zu überwachten Diensten und zugehörigen Komponenten für das Linux-Betriebssystem .
perf_benchmark.tar.gz	Der Leistungstest meldet. Diese Datei wird nur angezeigt, wenn Sie den Leistungsparameter verwenden.

Siehe auch

• Client Analyzer – Überblick

• Herunterladen und Ausführen des Client Analyzer

• Ausführen des Client Analyzer unter Windows

• Ausführung des Client Analyzer unter macOS oder Linux

• Datensammlung für erweiterte Problembehandlung unter Windows

• Verstehen des HTML-Berichts des Analysetools

Dokumente zur Problembehandlung in Defender für Endpunkt unter Linux

• Behandeln von Installationsproblemen für Microsoft Defender for Endpoint unter Linux

• Untersuchen von Problemen mit der Agent-Integrität

• Behandeln von Problemen mit der Cloudkonnektivität für Microsoft Defender for Endpoint unter Linux

• Behandeln von Leistungsproblemen für Microsoft Defender for Endpoint unter Linux

• Behandeln von Problemen mit fehlenden Ereignissen oder Warnungen für Microsoft Defender for Endpoint unter Linux

• Adressiert falsch positive/negative Ergebnisse in Microsoft Defender für Endpunkt

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.