Compartir a través de


Recopilación de registros de soporte técnico en Microsoft Defender para punto de conexión mediante respuesta dinámica

Se aplica a:

¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

Al ponerse en contacto con el soporte técnico, es posible que se le pida que proporcione el paquete de salida de la herramienta Microsoft Defender para punto de conexión Client Analyzer.

En este artículo se proporcionan instrucciones sobre cómo ejecutar la herramienta a través de Live Response en máquinas Windows y Linux.

Windows

  1. Descargue y capture los scripts necesarios disponibles desde el subdirectorio Herramientas de Microsoft Defender para punto de conexión Client Analyzer.

    Por ejemplo, para obtener los registros básicos de estado del dispositivo y del sensor, capture ..\Tools\MDELiveAnalyzer.ps1.

  2. Inicie una sesión de live response en la máquina que necesita investigar.

  3. Seleccione Cargar archivo en la biblioteca.

    El archivo de carga

  4. Seleccione Elegir archivo.

    Botón elegir archivo-1

  5. Seleccione el archivo descargado denominado MDELiveAnalyzer.ps1y, a continuación, seleccione Confirmar.

    Botón elegir archivo-2

    Repita este paso para el MDEClientAnalyzerPreview.zip archivo.

  6. Mientras sigue en la sesión de LiveResponse, use los siguientes comandos para ejecutar el analizador y recopilar el archivo resultante.

    Putfile MDEClientAnalyzerPreview.zip
    Run MDELiveAnalyzer.ps1
    GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDECA\MDEClientAnalyzerResult.zip"
    

    Imagen de los comandos.

Información adicional

  • La versión preliminar más reciente de MDEClientAnalyzer se puede descargar aquí: https://aka.ms/MDEClientAnalyzerPreview.

  • Si no puede permitir que la máquina alcance la dirección URL anterior, cargue MDEClientAnalyzerPreview.zip el archivo en la biblioteca antes de ejecutar el script LiveAnalyzer:

    PutFile MDEClientAnalyzerPreview.zip -overwrite
    Run MDELiveAnalyzer.ps1
    GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDECA\MDEClientAnalyzerResult.zip"
    
  • Para obtener más información sobre cómo recopilar datos localmente en una máquina en caso de que la máquina no se comunique con Microsoft Defender para punto de conexión servicios en la nube o no aparezca en Microsoft Defender para punto de conexión portal según lo previsto, consulte Comprobación de la conectividad de cliente con Microsoft Defender para punto de conexión direcciones URL del servicio.

  • Como se describe en Ejemplos de comandos de respuesta dinámica, es posible que desee usar el & símbolo al final del comando para recopilar registros como una acción en segundo plano:

    Run MDELiveAnalyzer.ps1&
    

Linux

La herramienta XMDE Client Analyzer se puede descargar como un paquete binario o de Python que se puede extraer y ejecutar en máquinas Linux. Ambas versiones del analizador de cliente XMDE se pueden ejecutar durante una sesión de respuesta dinámica.

Requisitos previos

  • Para la instalación, se requiere el unzip paquete.

  • Para la ejecución, se requiere el acl paquete.

Importante

La ventana usa los caracteres invisibles Retorno de carro y Fuente de línea para representar el final de una línea y el principio de una nueva línea en un archivo, pero los sistemas Linux solo usan el carácter invisible Fuente de línea al final de sus líneas de archivo. Cuando se usan los siguientes scripts, si se hace en Windows, esta diferencia puede dar lugar a errores y errores de los scripts que se van a ejecutar. Una posible solución a esto es usar el Subsistema de Windows para Linux y el dos2unix paquete para volver a formatear el script de modo que se alinee con el estándar de formato Unix y Linux.

Instalación del analizador de cliente XMDE

Ambas versiones de XMDE Client Analyzer, binary y Python, un paquete autocontenido que se debe descargar y extraer antes de ejecutarse, y se puede encontrar el conjunto completo de pasos para este proceso:

Debido a los comandos limitados disponibles en Live Response, los pasos detallados deben ejecutarse en un script de Bash y, al dividir la parte de instalación y ejecución de estos comandos, es posible ejecutar el script de instalación una vez, mientras se ejecuta el script de ejecución varias veces.

Importante

Los scripts de ejemplo suponen que la máquina tiene acceso directo a Internet y puede recuperar el analizador de cliente XMDE de Microsoft. Si la máquina no tiene acceso directo a Internet, los scripts de instalación deberán actualizarse para capturar el analizador de cliente XMDE desde una ubicación a la que las máquinas puedan acceder correctamente.

Script de instalación del Analizador de cliente binario

El siguiente script realiza los seis primeros pasos de la versión En ejecución de la versión binaria del Analizador de cliente. Una vez completado, el binario xmde client analyzer está disponible en el /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer directorio.

  1. Cree un archivo InstallXMDEClientAnalyzer.sh bash y pegue el siguiente contenido en él.

    #! /usr/bin/bash
    
    echo "Starting Client Analyzer Script. Running As:"
    whoami
    
    echo "Getting XMDEClientAnalyzerBinary"
    wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://go.microsoft.com/fwlink/?linkid=2297517
    echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c
    
    echo "Unzipping XMDEClientAnalyzerBinary.zip"
    unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary
    
    echo "Unzipping SupportToolLinuxBinary.zip"
    unzip -q /tmp/XMDEClientAnalyzerBinary/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
    
    echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
    
    

Script de instalación del Analizador de cliente de Python

El siguiente script realiza los seis primeros pasos de la versión de Ejecución de la versión de Python del Analizador de cliente. Una vez completado, los scripts de Python del Analizador de cliente XMDE están disponibles en el /tmp/XMDEClientAnalyzer directorio.

  1. Cree un archivo InstallXMDEClientAnalyzer.sh bash y pegue el siguiente contenido en él.

    #! /usr/bin/bash
    
    echo "Starting Client Analyzer Install Script. Running As:"
    whoami
    
    echo "Getting XMDEClientAnalyzer.zip"
    wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer 
    echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c  
    
    echo "Unzipping XMDEClientAnalyzer.zip"
    unzip -q XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer  
    
    echo "Setting execute permissions on mde_support_tool.sh script"
    cd /tmp/XMDEClientAnalyzer 
    chmod a+x mde_support_tool.sh  
    
    echo "Performing final support tool setup"
    ./mde_support_tool.sh
    
    

Ejecución de los scripts de instalación del analizador de cliente

  1. Inicie una sesión de live response en la máquina que necesita investigar.

  2. Seleccione Cargar archivo en la biblioteca.

  3. Seleccione Elegir archivo.

  4. Seleccione el archivo descargado denominado InstallXMDEClientAnalyzer.shy, a continuación, seleccione Confirmar.

  5. Mientras sigue en la sesión de LiveResponse, use los siguientes comandos para instalar el analizador:

    run InstallXMDEClientAnalyzer.sh
    

Ejecución del analizador de cliente XMDE

Live Response no admite la ejecución directa del Analizador de cliente XMDE o Python, por lo que es necesario un script de ejecución.

Importante

En los scripts siguientes se supone que el Analizador de cliente XMDE se instaló con las mismas ubicaciones de los scripts mencionados anteriormente. Si su organización ha elegido instalar los scripts en una ubicación diferente, los siguientes scripts deben actualizarse para alinearse con la ubicación de instalación elegida por la organización.

Script de ejecución del Analizador de cliente binario

El Analizador de cliente binario acepta parámetros de línea de comandos para realizar diferentes pruebas de análisis. Para proporcionar funcionalidades similares durante live response, el script de ejecución aprovecha la $@ variable bash para pasar todos los parámetros de entrada proporcionados al script al analizador de cliente XMDE.

  1. Cree un archivo MDESupportTool.sh bash y pegue el siguiente contenido en él.

    #! /usr/bin/bash
    
    echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
    cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
    
    echo "Running MDESupportTool"
    ./MDESupportTool $@
    
    

Script de ejecución del Analizador de cliente de Python

El Analizador de cliente de Python acepta parámetros de línea de comandos para realizar distintas pruebas de análisis. Para proporcionar funcionalidades similares durante live response, el script de ejecución aprovecha la $@ variable bash para pasar todos los parámetros de entrada proporcionados al script al analizador de cliente XMDE.

  1. Cree un archivo MDESupportTool.sh bash y pegue el siguiente contenido en él.

    #! /usr/bin/bash  
    
    echo "cd /tmp/XMDEClientAnalyzer"
    cd /tmp/XMDEClientAnalyzer 
    
    echo "Running mde_support_tool"
    ./mde_support_tool.sh $@
    
    

Ejecución del script del analizador de cliente

Nota:

Si tiene una sesión activa de Live Response, puede omitir el paso 1.

  1. Inicie una sesión de live response en la máquina que necesita investigar.

  2. Seleccione Cargar archivo en la biblioteca.

  3. Seleccione Elegir archivo.

  4. Seleccione el archivo descargado denominado MDESupportTool.shy, a continuación, seleccione Confirmar.

  5. Mientras sigue en la sesión de respuesta dinámica, use los siguientes comandos para ejecutar el analizador y recopilar el archivo resultante.

    run MDESupportTool.sh -parameters "--bypass-disclaimer -d"
    GetFile "/tmp/your_archive_file_name_here.zip"
    

Recursos adicionales

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.