Sammeln von Supportprotokollen in Microsoft Defender for Endpoint mithilfe von Liveantworten

Gilt für:

• Microsoft Defender für Endpunkt Plan 2
• Microsoft Defender XDR

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Wenn Sie sich an den Support wenden, werden Sie möglicherweise aufgefordert, das Ausgabepaket des Microsoft Defender for Endpoint Client Analyzer-Tools anzugeben.

Dieser Artikel enthält Anweisungen zum Ausführen des Tools über Live Response unter Windows und auf Linux-Computern.

Windows

1. Laden Sie die erforderlichen Skripts aus dem Unterverzeichnis Tools des Microsoft Defender for Endpoint Client Analyzer herunter, und rufen Sie sie ab.

   Um beispielsweise die grundlegenden Sensor- und Geräteintegritätsprotokolle abzurufen, rufen Sie ab ..\Tools\MDELiveAnalyzer.ps1.

   • Wenn Sie zusätzliche Protokolle im Zusammenhang mit Microsoft Defender Antivirus benötigen, verwenden Sie ..\Tools\MDELiveAnalyzerAV.ps1.
   • Wenn Sie Microsoft Endpoint Data Loss Prevention-Protokolle benötigen, verwenden Sie ..\Tools\MDELiveAnalyzerDLP.ps1.
   • Wenn Sie Netzwerk- und Windows Filter Platform-bezogene Protokolle benötigen, verwenden Sie ..\Tools\MDELiveAnalyzerNet.ps1.
   • Wenn Sie Prozessmonitorprotokolle benötigen, verwenden Sie ..\Tools\MDELiveAnalyzerAppCompat.ps1.

2. Initiieren Sie eine Live Response-Sitzung auf dem Computer, den Sie untersuchen müssen.

3. Wählen Sie Datei in Bibliothek hochladen aus.

   

4. Wählen Sie Datei auswählen aus.

   

5. Wählen Sie die heruntergeladene Datei mit dem Namen aus MDELiveAnalyzer.ps1, und wählen Sie dann Bestätigen aus.

   

   Wiederholen Sie diesen Schritt für die MDEClientAnalyzerPreview.zip Datei.

6. Verwenden Sie während der LiveResponse-Sitzung die folgenden Befehle, um das Analysetool auszuführen und die resultierende Datei zu erfassen.

   Putfile MDEClientAnalyzerPreview.zip
   Run MDELiveAnalyzer.ps1
   GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDECA\MDEClientAnalyzerResult.zip"
   

   

Weitere Informationen

• Die neueste Vorschauversion von MDEClientAnalyzer kann hier heruntergeladen werden: https://aka.ms/MDEClientAnalyzerPreview.

• Wenn Sie nicht zulassen können, dass der Computer die oben genannte URL erreicht, laden Sie die Datei in die Bibliothek hoch MDEClientAnalyzerPreview.zip , bevor Sie das LiveAnalyzer-Skript ausführen:

  PutFile MDEClientAnalyzerPreview.zip -overwrite
  Run MDELiveAnalyzer.ps1
  GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDECA\MDEClientAnalyzerResult.zip"
  

• Weitere Informationen zum lokalen Sammeln von Daten auf einem Computer für den Fall, dass der Computer nicht mit Microsoft Defender for Endpoint Clouddiensten kommuniziert oder nicht wie erwartet in Microsoft Defender for Endpoint Portal angezeigt wird, finden Sie unter Überprüfen der Clientkonnektivität mit Microsoft Defender for Endpoint-Dienst-URLs.

• Wie in Beispielen für Liveantwortbefehle beschrieben, sollten Sie das & Symbol am Ende des Befehls verwenden, um Protokolle als Hintergrundaktion zu sammeln:

  Run MDELiveAnalyzer.ps1&
  

Linux

Das XMDE-Client analyzer-Tool kann als Binär- oder Python-Paket heruntergeladen werden, das auf Linux-Computern extrahiert und ausgeführt werden kann. Beide Versionen der XMDE-Clientanalyse können während einer Live Response-Sitzung ausgeführt werden.

Voraussetzungen

• Für die Installation ist das unzip Paket erforderlich.

• Für die Ausführung ist das acl Paket erforderlich.

Wichtig

Window verwendet die unsichtbaren Zeichen Wagenrücklauf und Zeilenvorschub, um das Ende einer Zeile und den Anfang einer neuen Zeile in einer Datei darzustellen, aber Linux-Systeme verwenden nur das unsichtbare Zeichen Zeilenvorschub am Ende der Dateizeilen. Wenn Sie die folgenden Skripts verwenden, kann dieser Unterschied unter Windows zu Fehlern und Fehlern der auszuführenden Skripts führen. Eine mögliche Lösung hierfür besteht darin, die Windows-Subsystem für Linux und das dos2unix Paket zu verwenden, um das Skript so zu formatieren, dass es dem Unix- und Linux-Formatstandard entspricht.

Installieren der XMDE-Clientanalyse

Beide Versionen von XMDE Client Analyzer, binär und Python, ein eigenständiges Paket, das vor der Ausführung heruntergeladen und extrahiert werden muss, sowie die vollständigen Schritte für diesen Prozess finden Sie:

• Ausführen der Binärversion von Client Analyzer

• Ausführen der Python-Version von Client Analyzer

Aufgrund der eingeschränkten Befehle, die in Live Response verfügbar sind, müssen die detaillierten Schritte in einem Bash-Skript ausgeführt werden. Durch die Aufteilung des Installations- und Ausführungsteils dieser Befehle ist es möglich, das Installationsskript einmal auszuführen, während das Ausführungsskript mehrmals ausgeführt wird.

Wichtig

In den Beispielskripts wird davon ausgegangen, dass der Computer über direkten Internetzugriff verfügt und den XMDE-Client Analyzer von Microsoft abrufen kann. Wenn der Computer keinen direkten Internetzugriff hat, müssen die Installationsskripts aktualisiert werden, um die XMDE-Clientanalyse von einem Speicherort abzurufen, auf den die Computer erfolgreich zugreifen können.

Installationsskript für binary Client Analyzer

Das folgende Skript führt die ersten sechs Schritte der Ausführung der Binärversion des Client Analyzer aus. Nach Abschluss des Vorgangs ist die XMDE-Clientanalyse-Binärdatei im /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer Verzeichnis verfügbar.

1. Erstellen Sie eine Bash-Datei InstallXMDEClientAnalyzer.sh , und fügen Sie den folgenden Inhalt ein.

   #! /usr/bin/bash
   
   echo "Starting Client Analyzer Script. Running As:"
   whoami
   
   echo "Getting XMDEClientAnalyzerBinary"
   wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://go.microsoft.com/fwlink/?linkid=2297517
   echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c
   
   echo "Unzipping XMDEClientAnalyzerBinary.zip"
   unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary
   
   echo "Unzipping SupportToolLinuxBinary.zip"
   unzip -q /tmp/XMDEClientAnalyzerBinary/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
   
   echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
   
   

Installationsskript für Python Client Analyzer

Das folgende Skript führt die ersten sechs Schritte der Ausführung der Python-Version des Client Analyzer aus. Nach Abschluss des Vorgangs sind die Python-Skripts der XMDE-Clientanalyse im /tmp/XMDEClientAnalyzer Verzeichnis verfügbar.

1. Erstellen Sie eine Bash-Datei InstallXMDEClientAnalyzer.sh , und fügen Sie den folgenden Inhalt ein.

   #! /usr/bin/bash
   
   echo "Starting Client Analyzer Install Script. Running As:"
   whoami
   
   echo "Getting XMDEClientAnalyzer.zip"
   wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer 
   echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c  
   
   echo "Unzipping XMDEClientAnalyzer.zip"
   unzip -q XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer  
   
   echo "Setting execute permissions on mde_support_tool.sh script"
   cd /tmp/XMDEClientAnalyzer 
   chmod a+x mde_support_tool.sh  
   
   echo "Performing final support tool setup"
   ./mde_support_tool.sh
   
   

Ausführen der Client Analyzer-Installationsskripts

1. Initiieren Sie eine Live Response-Sitzung auf dem Computer, den Sie untersuchen müssen.

2. Wählen Sie Datei in Bibliothek hochladen aus.

3. Wählen Sie Datei auswählen aus.

4. Wählen Sie die heruntergeladene Datei mit dem Namen aus InstallXMDEClientAnalyzer.sh, und wählen Sie dann Bestätigen aus.

5. Verwenden Sie während der LiveResponse-Sitzung die folgenden Befehle, um das Analysetool zu installieren:

   run InstallXMDEClientAnalyzer.sh
   

Ausführen der XMDE-Clientanalyse

Live Response unterstützt die direkte Ausführung der XMDE-Clientanalyse oder Python nicht, sodass ein Ausführungsskript erforderlich ist.

Wichtig

Bei den folgenden Skripts wird davon ausgegangen, dass die XMDE-Clientanalyse mit denselben Speicherorten aus den zuvor erwähnten Skripts installiert wurde. Wenn Ihr organization sich für die Installation der Skripts an einem anderen Speicherort entschieden hat, müssen die folgenden Skripts aktualisiert werden, damit sie dem von Ihrem organization ausgewählten Installationsspeicherort entsprechen.

Ausführungsskript für binäre Clientanalyse

Das Binary Client Analyzer akzeptiert Befehlszeilenparameter, um verschiedene Analysetests durchzuführen. Um ähnliche Funktionen während der Liveantwort bereitzustellen, nutzt das Ausführungsskript die $@ Bash-Variable, um alle Eingabeparameter an das Skript an die XMDE-Clientanalyse zu übergeben.

1. Erstellen Sie eine Bash-Datei MDESupportTool.sh , und fügen Sie den folgenden Inhalt ein.

   #! /usr/bin/bash
   
   echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
   cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
   
   echo "Running MDESupportTool"
   ./MDESupportTool $@
   
   

Ausführen des Skripts für die Python-Clientanalyse

Die Python-Clientanalyse akzeptiert Befehlszeilenparameter, um verschiedene Analysetests durchzuführen. Um ähnliche Funktionen während der Liveantwort bereitzustellen, nutzt das Ausführungsskript die $@ Bash-Variable, um alle Eingabeparameter an das Skript an die XMDE-Clientanalyse zu übergeben.

1. Erstellen Sie eine Bash-Datei MDESupportTool.sh , und fügen Sie den folgenden Inhalt ein.

   #! /usr/bin/bash  
   
   echo "cd /tmp/XMDEClientAnalyzer"
   cd /tmp/XMDEClientAnalyzer 
   
   echo "Running mde_support_tool"
   ./mde_support_tool.sh $@
   
   

Ausführen des Client Analyzer-Skripts

Hinweis

Wenn Sie über eine aktive Live Response-Sitzung verfügen, können Sie Schritt 1 überspringen.

1. Initiieren Sie eine Live Response-Sitzung auf dem Computer, den Sie untersuchen müssen.

2. Wählen Sie Datei in Bibliothek hochladen aus.

3. Wählen Sie Datei auswählen aus.

4. Wählen Sie die heruntergeladene Datei mit dem Namen aus MDESupportTool.sh, und wählen Sie dann Bestätigen aus.

5. Verwenden Sie während der Live Response-Sitzung die folgenden Befehle, um das Analysetool auszuführen und die resultierende Datei zu sammeln.

   run MDESupportTool.sh -parameters "--bypass-disclaimer -d"
   GetFile "/tmp/your_archive_file_name_here.zip"
   

Siehe auch

• Client Analyzer – Überblick
• Herunterladen und Ausführen des Client Analyzer
• Ausführen des Client Analyzer unter Windows
• Ausführung des Client Analyzer unter macOS oder Linux
• Datensammlung für erweiterte Problembehandlung unter Windows
• Verstehen des HTML-Berichts des Analysetools

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.