Ejecución del analizador de cliente en Linux

Se aplica a:

• Microsoft Defender para punto de conexión Plan 2
• Microsoft Defender XDR

¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

Si tiene problemas de confiabilidad o estado del dispositivo con Defender para punto de conexión en Linux y se pone en contacto con el soporte técnico, es posible que se le pida que proporcione el paquete de salida de la herramienta Microsoft Defender para punto de conexión Client Analyzer. En este artículo se describe cómo usar la herramienta de analizador de cliente localmente en el dispositivo o junto con la respuesta en vivo. En cualquier caso, puede usar una solución basada en Python o una versión binaria que no tenga ninguna dependencia externa de Python.

Uso de la respuesta activa en Defender para punto de conexión para recopilar registros de soporte técnico

La herramienta XMDE Client Analyzer se puede descargar como un paquete binario o de Python que se puede extraer y ejecutar en máquinas Linux. Ambas versiones del analizador de cliente XMDE se pueden ejecutar durante una sesión de respuesta dinámica.

• Para la instalación, se requiere el unzip paquete.
• Para la ejecución, se requiere el acl paquete.

Importante

La ventana usa los caracteres invisibles Retorno de carro y Fuente de línea para representar el final de una línea y el principio de una nueva línea en un archivo, pero los sistemas Linux solo usan el carácter invisible Fuente de línea al final de sus líneas de archivo. Cuando se usan los siguientes scripts, si se hace en Windows, esta diferencia puede dar lugar a errores y errores de los scripts que se van a ejecutar. Una posible solución a esto es usar el Subsistema de Windows para Linux y el dos2unix paquete para volver a formatear el script de modo que se alinee con el estándar de formato Unix y Linux.

Instalación del analizador de cliente XMDE

Descargue y extraiga el analizador de cliente XMDE. Puede usar la versión binaria o de Python, como se indica a continuación:

• Versión binaria del analizador de cliente
• Versión de Python del Analizador de cliente

Debido a los comandos limitados disponibles en respuesta dinámica, los pasos detallados deben ejecutarse en un script de Bash. Al dividir la parte de instalación y ejecución de estos comandos, es posible ejecutar el script de instalación una vez y ejecutar el script de ejecución varias veces.

Importante

Los scripts de ejemplo suponen que la máquina tiene acceso directo a Internet y puede recuperar el analizador de cliente XMDE de Microsoft. Si la máquina no tiene acceso directo a Internet, los scripts de instalación deben actualizarse para capturar el analizador de cliente XMDE desde una ubicación a la que las máquinas puedan acceder correctamente.

Script de instalación del analizador de cliente binario

El siguiente script realiza los seis primeros pasos de la versión En ejecución de la versión binaria del Analizador de cliente. Una vez completado, el binario xmde client analyzer está disponible en el /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer directorio.

1. Cree un archivo InstallXMDEClientAnalyzer.sh bash y pegue el siguiente contenido en él.

   #! /usr/bin/bash
   
   echo "Starting Client Analyzer Script. Running As:"
   whoami
   
   echo "Getting XMDEClientAnalyzerBinary"
   wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://go.microsoft.com/fwlink/?linkid=2297517
   echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c
   
   echo "Unzipping XMDEClientAnalyzerBinary.zip"
   unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary
   
   echo "Unzipping SupportToolLinuxBinary.zip"
   unzip -q /tmp/XMDEClientAnalyzerBinary/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
   
   echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
   
   

Script de instalación del analizador de cliente de Python

El siguiente script realiza los seis primeros pasos de la versión de Ejecución de la versión de Python del Analizador de cliente. Una vez completado, los scripts de Python del Analizador de cliente XMDE están disponibles en el /tmp/XMDEClientAnalyzer directorio.

1. Cree un archivo InstallXMDEClientAnalyzer.sh bash y pegue el siguiente contenido en él.

   #! /usr/bin/bash
   
   echo "Starting Client Analyzer Install Script. Running As:"
   whoami
   
   echo "Getting XMDEClientAnalyzer.zip"
   wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer 
   echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c  
   
   echo "Unzipping XMDEClientAnalyzer.zip"
   unzip -q XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer  
   
   echo "Setting execute permissions on mde_support_tool.sh script"
   cd /tmp/XMDEClientAnalyzer 
   chmod a+x mde_support_tool.sh  
   
   echo "Performing final support tool setup"
   ./mde_support_tool.sh
   
   

Ejecución de los scripts de instalación del analizador de cliente

1. Inicie una sesión de live response en la máquina que desea investigar.

2. Seleccione Cargar archivo en la biblioteca.

3. Seleccione Elegir archivo.

4. Seleccione el archivo descargado denominado InstallXMDEClientAnalyzer.shy, a continuación, seleccione Confirmar.

5. Mientras sigue en la sesión de LiveResponse, use los siguientes comandos para instalar el analizador:

   run InstallXMDEClientAnalyzer.sh
   

Ejecución del analizador de cliente XMDE

La respuesta dinámica no admite la ejecución directa del Analizador de cliente XMDE o Python, por lo que es necesario un script de ejecución.

Importante

En los scripts siguientes se supone que el Analizador de cliente XMDE se instaló con las mismas ubicaciones de los scripts mencionados anteriormente. Si su organización ha elegido instalar los scripts en una ubicación diferente, los scripts deben actualizarse para alinearse con la ubicación de instalación elegida por la organización.

Script de ejecución del analizador de cliente binario

La versión binaria del analizador de cliente acepta parámetros de línea de comandos para realizar distintas pruebas de análisis. Para proporcionar funcionalidades similares durante la respuesta en vivo, el script de ejecución aprovecha la $@ variable bash para pasar todos los parámetros de entrada proporcionados al script al analizador de cliente XMDE.

1. Cree un archivo MDESupportTool.sh bash y pegue el siguiente contenido en él.

   #! /usr/bin/bash
   
   echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
   cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
   
   echo "Running MDESupportTool"
   ./MDESupportTool $@
   
   

Script de ejecución del analizador de cliente de Python

La versión de Python del analizador de cliente acepta parámetros de línea de comandos para realizar distintas pruebas de análisis. Para proporcionar funcionalidades similares durante la respuesta en vivo, el script de ejecución aprovecha la $@ variable bash para pasar todos los parámetros de entrada proporcionados al script al analizador de cliente XMDE.

1. Cree un archivo MDESupportTool.sh bash y pegue el siguiente contenido en él.

   #! /usr/bin/bash  
   
   echo "cd /tmp/XMDEClientAnalyzer"
   cd /tmp/XMDEClientAnalyzer 
   
   echo "Running mde_support_tool"
   ./mde_support_tool.sh $@
   
   

Ejecución del script del analizador de cliente

Nota:

Si tiene una sesión activa de respuesta activa, puede omitir el paso 1.

1. Inicie una sesión de live response en la máquina que desea investigar.

2. Seleccione Cargar archivo en la biblioteca.

3. Seleccione Elegir archivo.

4. Seleccione el archivo descargado denominado MDESupportTool.shy, a continuación, seleccione Confirmar.

5. Mientras sigue en la sesión de respuesta en directo, use los siguientes comandos para ejecutar el analizador y recopilar el archivo resultante:

   run MDESupportTool.sh -parameters "--bypass-disclaimer -d"
   GetFile "/tmp/your_archive_file_name_here.zip"
   

Recopilación local de registros de soporte técnico de Microsoft Defender para punto de conexión

En esta sección se proporcionan instrucciones sobre cómo ejecutar la herramienta localmente en las máquinas Linux.

Ejecución de la versión binaria del analizador de cliente

Resumen

1. Obtenga de https://go.microsoft.com/fwlink/?linkid=2297517. O bien, si el servidor Linux tiene acceso a Internet, use wget para descargar el archivo:

   wget --quiet -O XMDEClientAnalyzerBinary.zip https://go.microsoft.com/fwlink/?linkid=2297517
   

2. Descomprima el archivo que se descarga y, a continuación, de los archivos extraídos descomprima de nuevo el SupportToolLinuxBinary.zip

   unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary
   

3. Ejecución del archivo binario

   sudo ./MDESupportTool -d --mdatp-log debug
   

4. Siga las instrucciones en pantalla y, a continuación, realice un seguimiento al final de la recopilación de registros; los registros se ubicarán en el /tmp directorio.

5. El conjunto de registros será propiedad del usuario raíz, por lo que es posible que necesite privilegios raíz para quitar el conjunto de registros.

6. Cargue el archivo para el ingeniero de soporte técnico.

Detalles

1. Descargue la herramienta binaria XMDE Client Analyzer en la máquina Linux que necesita investigar.

   Si usa un terminal, descargue la herramienta escribiendo el siguiente comando:

   wget --quiet -O XMDEClientAnalyzerBinary.zip https://go.microsoft.com/fwlink/?linkid=2297517
   

2. Compruebe la descarga.

   echo '2A9BF0A6183831BE43C7BCB7917A40D772D226301B4CDA8EE4F258D00B6E4E97 XMDEClientAnalyzerBinary.zip' | sha256sum -c
   

3. Extraiga el contenido de XMDEClientAnalyzerBinary.zip en la máquina.

   Si usa un terminal, extraiga los archivos escribiendo el siguiente comando:

   unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary
   

4. Para cambiar al directorio de la herramienta, escriba el siguiente comando:

   cd XMDEClientAnalyzerBinary
   

5. Se generan dos nuevos archivos ZIP:

   • SupportToolLinuxBinary.zip: para todos los dispositivos Linux
   • SupportToolMacOSBinary.zip: en el caso de los dispositivos Mac, omita este.

6. Descomprima el SupportToolLinuxBinary.zip de la máquina Linux que desea investigar.

    unzip -q SupportToolLinuxBinary.zip 
   

7. Ejecute la herramienta como raíz para generar el paquete de diagnóstico:

   sudo ./MDESupportTool -d
   

Ejecución del analizador de cliente basado en Python

Nota:

• El analizador depende de algunos paquetes PIP adicionales (decorator, sh, distro, lxmly psutil) que se instalan en el sistema operativo cuando están en la raíz para generar la salida del resultado. Si no está instalado, el analizador intenta capturarlo del repositorio oficial de paquetes de Python.
• Además, la herramienta requiere actualmente la versión 3 de Python o posterior para instalarse en el dispositivo.
• Si el dispositivo está detrás de un proxy, simplemente puede pasar el servidor proxy como variable de entorno al mde_support_tool.sh script. Por ejemplo: https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh".

Advertencia

La ejecución del analizador de cliente basado en Python requiere la instalación de paquetes PIP, lo que puede causar algunos problemas en el entorno. Para evitar que se produzcan problemas, se recomienda instalar los paquetes en un entorno PIP de usuario.

1. Descargue la herramienta XMDE Client Analyzer en la máquina Linux que necesita investigar.

   Si usa un terminal, descargue la herramienta ejecutando el siguiente comando:

   wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer
   

2. Compruebe la descarga.

   echo '84C9718FF3D29DA0EEE650FB2FC0625549A05CD1228AC253DBB92C8B1D9F1D11 XMDEClientAnalyzer.zip' | sha256sum -c
   

3. Extraiga el contenido de XMDEClientAnalyzer.zip en la máquina.

   Si usa un terminal, extraiga los archivos mediante el siguiente comando:

   unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzer
   

4. Cambie el directorio a la ubicación extraída.

   cd XMDEClientAnalyzer
   

5. Conceda al ejecutable de la herramienta permiso:

   chmod a+x mde_support_tool.sh
   

6. Ejecute como un usuario no raíz para instalar las dependencias necesarias:

   ./mde_support_tool.sh
   

7. Para recopilar el paquete de diagnóstico real y generar el archivo de archivo de resultados, vuelva a ejecutarse como raíz:

   sudo ./mde_support_tool.sh -d
   

Opciones de línea de comandos

Líneas de comandos principales

Use el siguiente comando para obtener el diagnóstico de la máquina.

-h, --help            show this help message and exit
--output OUTPUT, -o OUTPUT
                      Output path to export report
--outdir OUTDIR       Directory where diagnostics file will be generated
--no-zip, -nz         If set a directory will be created instead of an archive file
--force, -f           Will overwrite if output directory exists
--diagnostic, -d      Collect extensive machine diagnostic information
--bypass-disclaimer   Do not display disclaimer banner
--interactive, -i     Interactive diagnostic
--delay DELAY, -dd DELAY
                      Set MDATP log level. If you use interactive or delay mode, the log level will set to debug automatically, and reset after 48h.
--mdatp-log {info,debug,verbose,error,trace,warning}
                      Set MDATP log level
--max-log-size MAX_LOG_SIZE
                      Maximum log file size in MB before rotating(Will restart mdatp)

Ejemplo de uso: sudo ./MDESupportTool -d

Nota:

La característica de autoreset de nivel de registro solo está disponible en la versión de cliente 2405 o más reciente.

Argumentos posicionales

Recopilación de información de rendimiento

Recopile un amplio seguimiento del rendimiento de la máquina para analizar un escenario de rendimiento que se pueda reproducir a petición.

-h, --help            show this help message and exit
--frequency FREQUENCY
                      profile at this frequency
--length LENGTH       length of time to collect (in seconds)

Ejemplo de uso: sudo ./MDESupportTool performance --frequency 2

Modo de exclusión

Agregue exclusiones para la supervisión auditada.

Nota:

Esta funcionalidad solo existe para Linux.

  -h, --help            show this help message and exit
  -e <executable>, --exe <executable>
                        exclude by executable name, i.e: bash
  -p <process id>, --pid <process id>
                        exclude by process id, i.e: 911
  -d <directory>, --dir <directory>
                        exclude by target path, i.e: /var/foo/bar
  -x <executable> <directory>, --exe_dir <executable> <directory>
                        exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
  -q <q_size>, --queue <q_size>
                        set dispatcher q_depth size
  -r, --remove          remove exclusion file
  -s, --stat            get statistics about common executables
  -l, --list            list auditd rules
  -o, --override        Override the existing auditd exclusion rules file for mdatp
  -c <syscall number>, --syscall <syscall number>
                        exclude all process of the given syscall

Ejemplo de uso: sudo ./MDESupportTool exclude -d /var/foo/bar

Limitador de velocidad AuditD

Sintaxis que se puede usar para limitar el número de eventos notificados por el complemento auditD. Esta opción establece el límite de velocidad globalmente para AuditD, lo que provoca una caída en todos los eventos de auditoría. Cuando el limitador está habilitado, el número de eventos auditados se limita a 2500 eventos por segundo. Esta opción se puede usar en los casos en los que se ve un uso elevado de CPU del lado AuditD.

Nota:

Esta funcionalidad solo existe para Linux.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the rate limit with default values

Ejemplo de uso: sudo ./mde_support_tool.sh ratelimit -e true

Nota:

Esta funcionalidad debe usarse cuidadosamente, ya que limita el número de eventos notificados por el subsistema auditado en su conjunto. Esto también podría reducir el número de eventos para otros suscriptores.

AuditD omite reglas erróneas

Esta opción permite omitir las reglas erróneas agregadas en el archivo de reglas auditadas al cargarlas. Esta opción permite que el subsistema auditado continúe cargando reglas incluso si hay una regla errónea. Esta opción resume los resultados de la carga de las reglas. En segundo plano, esta opción ejecuta auditctl con la opción -c.

Nota:

Esta funcionalidad solo está disponible en Linux.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.

Ejemplo de uso: sudo ./mde_support_tool.sh skipfaultyrules -e true

Nota:

Esta funcionalidad omitirá las reglas erróneas. La regla defectuosa debe identificarse y corregirse aún más.

Contenido del paquete de resultados en Linux

Archivo	Descripción
report.html	El archivo de salida HTML principal que contiene los resultados y la guía de la ejecución de la herramienta de analizador de cliente en el dispositivo. Este archivo solo se genera cuando se ejecuta la versión basada en Python de la herramienta del analizador de cliente.
mde_diagnostic.zip	Misma salida de diagnóstico que se genera al ejecutar mdatp diagnostic create en Linux.
mde.xml	Salida XML que se genera durante la ejecución y se usa para compilar el archivo de informe html.
Processes_information.txt	Contiene los detalles de los procesos relacionados Microsoft Defender para punto de conexión en ejecución en el sistema.
Log.txt	Contiene los mismos mensajes de registro escritos en pantalla durante la recopilación de datos.
Health.txt	La misma salida de mantenimiento básica que se muestra al ejecutar el comando de mantenimiento mdatp .
Events.xml	Otro archivo XML usado por el analizador al compilar el informe HTML.
Audited_info.txt	Detalles sobre el servicio auditado y los componentes relacionados para el sistema operativo Linux .
perf_benchmark.tar.gz	Informes de pruebas de rendimiento. Solo verá este archivo si usa el parámetro de rendimiento.

Recursos adicionales

• Información general del Analizador de clientes

• Descargar y ejecutar el Analizador de clientes

• Ejecutar el Analizador de clientes en Windows

• Ejecutar el Analizador de clientes en macOS o Linux

• Recopilación de datos para solucionar problemas avanzados en Windows

• Comprender el informe HTML del analizador

Documentos de solución de problemas de Defender para punto de conexión en Linux

• Solución de problemas de instalación de Microsoft Defender para punto de conexión en Linux

• Investigar problemas de estado del agente

• Solución de problemas de conectividad en la nube para Microsoft Defender para punto de conexión en Linux

• Solución de problemas de rendimiento para Microsoft Defender para punto de conexión en Linux

• Solución de problemas de eventos o alertas que faltan para Microsoft Defender para punto de conexión en Linux

• Abordar falsos positivos/negativos en Microsoft Defender para punto de conexión

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.