Asiakasanalysaattorin suorittaminen Linuxissa

Koskee seuraavia:

• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Jos sinulla on luotettavuus- tai laitekunto-ongelmia Defender for Endpoint on Linuxissa ja otat yhteyttä tukeen, sinua saatetaan pyytää tarjoamaan Microsoft Defender for Endpoint Client Analyzer -työkalun tulostepaketti. Tässä artikkelissa kerrotaan, miten voit käyttää asiakasanalysaattorityökalua paikallisesti laitteessa tai yhdessä reaaliaikaisen vastauksen kanssa. Kummassakin tapauksessa voit käyttää Python-pohjaista ratkaisua tai binaariversiota, jolla ei ole ulkoista Python-riippuvuutta.

Käytä reaaliaikaista vastausta Defender for Endpointissa tukilokien keräämiseen

XMDE Client Analyzer -työkalun voi ladata binaari - tai Python-pakettina , joka voidaan poimia ja suorittaa Linux-koneissa. Molemmat XMDE Client Analyzer -versiot voidaan suorittaa reaaliaikaisen vastausistunnon aikana.

• Asennusta unzip varten tarvitaan paketti.
• Suoritusta acl varten paketti on pakollinen.

Tärkeää

Ikkuna käyttää näkymättömiä Rivinvaihto- ja Rivisyöte-merkkejä edustamaan tiedoston yhden rivin loppua ja uuden rivin alkua, mutta Linux-järjestelmissä käytetään vain näkymätöntä viivasyötemerkkiä tiedostorivien lopussa. Jos käytät seuraavia komentosarjoja Windowsissa, tämä ero voi johtaa suoritettavien komentosarjojen virheisiin ja virheisiin. Mahdollinen ratkaisu tähän on käyttää Windows-alijärjestelmä Linuxille ja dos2unix pakettia komentosarjan uudelleenmuotoiluun niin, että se vastaa Unix- ja Linux-muotostandardia.

XMDE Client Analyzerin asentaminen

Lataa ja pura XMDE-asiakasanalysaattori. Voit käyttää joko binaariversiota tai Python-versiota seuraavasti:

• Asiakasanalysaattorin binaarinen versio
• Asiakasanalysaattorin Python-versio

Live-vastauksessa käytettävissä olevien rajoitettujen komentojen vuoksi yksityiskohtaiset vaiheet on suoritettava bash-komentosarjassa. Jakamalla näiden komentojen asennus- ja suoritusosan voit suorittaa asennuskomentosarjan kerran ja suorittaa suorituskomentosarjan useita kertoja.

Tärkeää

Esimerkkikomentosarjoissa oletetaan, että koneella on suora Internet-yhteys, ja ne voivat noutaa XMDE Client Analyzerin Microsoftilta. Jos tietokoneessa ei ole suoraa Internet-yhteyttä, asennuskomentosarjat on päivitettävä, jotta XMDE-asiakasanalysaattori voidaan noutaa sijainnista, jota tietokoneet voivat käyttää onnistuneesti.

Binaarisen asiakasanalysaattorin asennuskomentosarja

Seuraava komentosarja suorittaa Client Analyzerin binaariversion suorittamisen kuusi ensimmäistä vaihetta. Kun kaikki on valmista, XMDE Client Analyzer -binaari on käytettävissä hakemistosta /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer .

1. Luo bash-tiedosto InstallXMDEClientAnalyzer.sh ja liitä siihen seuraava sisältö.

   #! /usr/bin/bash
   
   echo "Starting Client Analyzer Script. Running As:"
   whoami
   
   echo "Getting XMDEClientAnalyzerBinary"
   wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://go.microsoft.com/fwlink/?linkid=2297517
   echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c
   
   echo "Unzipping XMDEClientAnalyzerBinary.zip"
   unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary
   
   echo "Unzipping SupportToolLinuxBinary.zip"
   unzip -q /tmp/XMDEClientAnalyzerBinary/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
   
   echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
   
   

Python-asiakasohjelman analysoinnin asennuskomentosarja

Seuraava komentosarja suorittaa Client Analyzerin Python-version suorittamisen kuusi ensimmäistä vaihetta. Kun kaikki on valmista, XMDE Client Analyzer Python -komentosarjat ovat käytettävissä hakemistosta /tmp/XMDEClientAnalyzer .

1. Luo bash-tiedosto InstallXMDEClientAnalyzer.sh ja liitä siihen seuraava sisältö.

   #! /usr/bin/bash
   
   echo "Starting Client Analyzer Install Script. Running As:"
   whoami
   
   echo "Getting XMDEClientAnalyzer.zip"
   wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer 
   echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c  
   
   echo "Unzipping XMDEClientAnalyzer.zip"
   unzip -q XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer  
   
   echo "Setting execute permissions on mde_support_tool.sh script"
   cd /tmp/XMDEClientAnalyzer 
   chmod a+x mde_support_tool.sh  
   
   echo "Performing final support tool setup"
   ./mde_support_tool.sh
   
   

Suorita asiakasanalysaattorin asennuskomentosarjat

1. Aloita live-vastausistunto tietokoneessa, jonka haluat tutkia.

2. Valitse Lataa tiedosto kirjastoon.

3. Valitse Valitse tiedosto.

4. Valitse ladattu tiedosto nimeltä InstallXMDEClientAnalyzer.sh, ja valitse sitten Vahvista.

5. Kun olet vielä LiveResponse-istunnossa, asenna analysoija seuraavien komentojen avulla:

   run InstallXMDEClientAnalyzer.sh
   

XMDE-asiakasanalysaattorin suorittaminen

Reaaliaikainen vastaus ei tue XMDE-asiakasanalysaattorin tai Pythonin suorittamista suoraan, joten suorituskomentosarja on välttämätön.

Tärkeää

Seuraavissa komentosarjoissa oletetaan, että XMDE Client Analyzer on asennettu samoilla sijainnilla aiemmin mainituista komentosareista. Jos organisaatiosi on päättänyt asentaa komentosarjat eri sijaintiin, komentosarjat on päivitettävä, jotta ne vastaavat organisaatiosi valitsemaa asennussijaintia.

Binaarisen asiakkaan analysoinnin suorittaminen -komentosarja

Asiakasanalysaattorin binaariversio hyväksyy komentoriviparametrit eri analyysitestien suorittamiseksi. Samanlaisten ominaisuuksien tarjoamiseksi reaaliaikaisen vastauksen aikana suorituskomentosarja hyödyntää $@ bash-muuttujaa välittääkseen kaikki komentosarjaan annetut syöteparametrit XMDE-asiakasanalysaattoriin.

1. Luo bash-tiedosto MDESupportTool.sh ja liitä siihen seuraava sisältö.

   #! /usr/bin/bash
   
   echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
   cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
   
   echo "Running MDESupportTool"
   ./MDESupportTool $@
   
   

Python-asiakasohjelman analysoinnin suorittaminen -komentosarja

Asiakasanalysaattorin Python-versio hyväksyy komentoriviparametreja eri analyysitestien suorittamiseksi. Samanlaisten ominaisuuksien tarjoamiseksi reaaliaikaisen vastauksen aikana suorituskomentosarja hyödyntää $@ bash-muuttujaa välittääkseen kaikki komentosarjaan annetut syöteparametrit XMDE-asiakasanalysaattoriin.

1. Luo bash-tiedosto MDESupportTool.sh ja liitä siihen seuraava sisältö.

   #! /usr/bin/bash  
   
   echo "cd /tmp/XMDEClientAnalyzer"
   cd /tmp/XMDEClientAnalyzer 
   
   echo "Running mde_support_tool"
   ./mde_support_tool.sh $@
   
   

Asiakkaan analyzer-komentosarjan suorittaminen

Huomautus

Jos sinulla on aktiivinen reaaliaikainen vastausistunto, voit ohittaa vaiheen 1.

1. Aloita live-vastausistunto tietokoneessa, jonka haluat tutkia.

2. Valitse Lataa tiedosto kirjastoon.

3. Valitse Valitse tiedosto.

4. Valitse ladattu tiedosto nimeltä MDESupportTool.sh, ja valitse sitten Vahvista.

5. Kun olet vielä reaaliaikaisessa vastausistunnossa, suorita analyzer ja kerää tulokseksi saatava tiedosto seuraavien komentojen avulla:

   run MDESupportTool.sh -parameters "--bypass-disclaimer -d"
   GetFile "/tmp/your_archive_file_name_here.zip"
   

Kerää Microsoft Defender for Endpoint tukilokeja paikallisesti

Tässä osiossa on ohjeet työkalun suorittamiseen paikallisesti Linux-koneissa.

Suorita asiakasanalysaattorin binaariversio

Yhteenveto

1. Hanki kohteesta https://go.microsoft.com/fwlink/?linkid=2297517. Tai jos Linux-palvelimellasi on Internet-yhteys wget tiedoston lataamiseen:

   wget --quiet -O XMDEClientAnalyzerBinary.zip https://go.microsoft.com/fwlink/?linkid=2297517
   

2. Pura ladattu tiedosto ja pura sitten puretut tiedostot uudelleen SupportToolLinuxBinary.zip

   unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary
   

3. Suorita binaari

   sudo ./MDESupportTool -d --mdatp-log debug
   

4. Noudata näytön ohjeita ja seuraa sitten lokikokoelman lopussa lokien sijaintia /tmp hakemistossa.

5. Pääkäyttäjä omistaa lokijoukon, joten saatat tarvita pääoikeudet lokijoukon poistamiseen.

6. Lataa tukihenkilön tiedosto palvelimeen.

Tiedot

1. Lataa XMDE Client Analyzer Binary -työkalu linux-koneeseen, jota sinun on tutkittava.

   Jos käytät päätettä, lataa työkalu antamalla seuraava komento:

   wget --quiet -O XMDEClientAnalyzerBinary.zip https://go.microsoft.com/fwlink/?linkid=2297517
   

2. Tarkista lataus.

   echo '2A9BF0A6183831BE43C7BCB7917A40D772D226301B4CDA8EE4F258D00B6E4E97 XMDEClientAnalyzerBinary.zip' | sha256sum -c
   

3. Pura -kohteen sisältö XMDEClientAnalyzerBinary.zip laitteessa.

   Jos käytät päätettä, pura tiedostot antamalla seuraava komento:

   unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary
   

4. Vaihda työkalun hakemistoon antamalla seuraava komento:

   cd XMDEClientAnalyzerBinary
   

5. Kaksi uutta zip-tiedostoa on luotu:

   • SupportToolLinuxBinary.zip: Kaikille Linux-laitteille
   • SupportToolMacOSBinary.zip: Ohita Tämä Mac-laitteissa.

6. Pura tutkittavan Linux-koneen SupportToolLinuxBinary.zip.

    unzip -q SupportToolLinuxBinary.zip 
   

7. Luo diagnostiikkapaketti suorittamalla työkalu päätasona:

   sudo ./MDESupportTool -d
   

Python-pohjaisen asiakasanalysaattorin suorittaminen

Huomautus

• Analyzer on riippuvainen harvoista ylimääräisistä PIP-paketeista (decorator, , shdistro, lxmlja psutil), jotka asennetaan käyttöjärjestelmään pääkansiossa tulostuloksen tuottamiseksi. Jos kohdetta ei ole asennettu, analyzer yrittää noutaa sen Python-pakettien virallisesta säilöstä.
• Lisäksi työkalu edellyttää, että laitteeseen on tällä hetkellä asennettu Python-versio 3 tai uudempi versio.
• Jos laite on välityspalvelimen takana, voit välittää välityspalvelimen ympäristömuuttujana komentosarjaan mde_support_tool.sh . Esimerkki: https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh".

Varoitus

Python-pohjaisen asiakasanalysaattorin suorittaminen edellyttää PIP-pakettien asentamista, mikä voi aiheuttaa ongelmia ympäristössäsi. Ongelmien välttämiseksi on suositeltavaa asentaa paketit käyttäjän PIP-ympäristöön.

1. Lataa XMDE Client Analyzer -työkalu Linux-koneeseen, jota sinun on tutkittava.

   Jos käytät päätettä, lataa työkalu suorittamalla seuraava komento:

   wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer
   

2. Tarkista lataus.

   echo '84C9718FF3D29DA0EEE650FB2FC0625549A05CD1228AC253DBB92C8B1D9F1D11 XMDEClientAnalyzer.zip' | sha256sum -c
   

3. Pura -kohteen sisältö XMDEClientAnalyzer.zip laitteessa.

   Jos käytät päätetiedostoa, pura tiedostot seuraavalla komennolla:

   unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzer
   

4. Vaihda hakemisto purettuun sijaintiin.

   cd XMDEClientAnalyzer
   

5. Anna työkalun suoritusoikeudet:

   chmod a+x mde_support_tool.sh
   

6. Asenna tarvittavat riippuvuudet suorittamalla ei-juurettomana käyttäjänä:

   ./mde_support_tool.sh
   

7. Jos haluat kerätä todellisen diagnostiikkapaketin ja luoda tulosarkistotiedoston, suorita uudelleen pääkansiona:

   sudo ./mde_support_tool.sh -d
   

Komentorivin asetukset

Ensisijaiset komentorivit

Hae tietokoneen diagnostiikka käyttämällä seuraavaa komentoa.

-h, --help            show this help message and exit
--output OUTPUT, -o OUTPUT
                      Output path to export report
--outdir OUTDIR       Directory where diagnostics file will be generated
--no-zip, -nz         If set a directory will be created instead of an archive file
--force, -f           Will overwrite if output directory exists
--diagnostic, -d      Collect extensive machine diagnostic information
--bypass-disclaimer   Do not display disclaimer banner
--interactive, -i     Interactive diagnostic
--delay DELAY, -dd DELAY
                      Set MDATP log level. If you use interactive or delay mode, the log level will set to debug automatically, and reset after 48h.
--mdatp-log {info,debug,verbose,error,trace,warning}
                      Set MDATP log level
--max-log-size MAX_LOG_SIZE
                      Maximum log file size in MB before rotating(Will restart mdatp)

Käyttöesimerkki: sudo ./MDESupportTool -d

Huomautus

Lokitason automaattisen uudelleenmäärittelyn ominaisuus on käytettävissä vain versiossa 2405 tai uudemman asiakasversiona.

Positionaaliset argumentit

Kerää suorituskykytietoja

Kerää laaja koneen suorituskyvyn seuranta, jotta voidaan analysoida suorituskykyskenaariota, joka voidaan toistaa pyydettäessä.

-h, --help            show this help message and exit
--frequency FREQUENCY
                      profile at this frequency
--length LENGTH       length of time to collect (in seconds)

Käyttöesimerkki: sudo ./MDESupportTool performance --frequency 2

Pois jätettävien tila

Lisää poissulkemisia valvotun valvonnan kannalta.

Huomautus

Tämä toiminto on olemassa vain Linuxissa.

  -h, --help            show this help message and exit
  -e <executable>, --exe <executable>
                        exclude by executable name, i.e: bash
  -p <process id>, --pid <process id>
                        exclude by process id, i.e: 911
  -d <directory>, --dir <directory>
                        exclude by target path, i.e: /var/foo/bar
  -x <executable> <directory>, --exe_dir <executable> <directory>
                        exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
  -q <q_size>, --queue <q_size>
                        set dispatcher q_depth size
  -r, --remove          remove exclusion file
  -s, --stat            get statistics about common executables
  -l, --list            list auditd rules
  -o, --override        Override the existing auditd exclusion rules file for mdatp
  -c <syscall number>, --syscall <syscall number>
                        exclude all process of the given syscall

Käyttöesimerkki: sudo ./MDESupportTool exclude -d /var/foo/bar

AuditD-koronrajoitus

Syntaksi, jonka avulla voidaan rajoittaa auditD-laajennuksen raportoimien tapahtumien määrää. Tämä asetus määrittää AuditD:n nopeusrajoituksen maailmanlaajuisesti, jolloin kaikki valvontatapahtumat laskevat. Kun rajoitin on käytössä, valvottavien tapahtumien määrä on rajoitettu 2500 tapahtumaan sekunnissa. Tätä vaihtoehtoa voidaan käyttää tapauksissa, joissa AuditD-puolelta tulee näkyviin suuri suoritinkäyttö.

Huomautus

Tämä toiminto on olemassa vain Linuxissa.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the rate limit with default values

Käyttöesimerkki: sudo ./mde_support_tool.sh ratelimit -e true

Huomautus

Tätä toimintoa tulee käyttää huolellisesti rajoittamaan valvotun alijärjestelmän raportoimien tapahtumien määrää kokonaisuutena. Tämä voi vähentää myös muiden tilaajien tapahtumien määrää.

AuditD ohita virheellinen sääntö

Tämän asetuksen avulla voit ohittaa valvotut säännöt -tiedostoon lisätyt vialliset säännöt niiden lataamisen aikana. Tämän asetuksen avulla valvottu alijärjestelmä voi jatkaa sääntöjen lataamista, vaikka sääntö olisi virheellinen. Tämä asetus tekee yhteenvedon sääntöjen lataamisen tuloksista. Taustalla tämä vaihtoehto suorittaa auditctl-komennon -c-vaihtoehdon kanssa.

Huomautus

Tämä toiminto on käytettävissä vain Linuxissa.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.

Käyttöesimerkki: sudo ./mde_support_tool.sh skipfaultyrules -e true

Huomautus

Tämä toiminto ohittaa virheellisen säännön. Virheellinen sääntö on sitten tunnistettava ja korjattava tarkemmin.

Tulospaketin sisältö Linuxissa

Tiedosto	Kuvaus
report.html	Tärkein HTML-tulostetiedosto, joka sisältää asiakasanalysointityökalun suorittamisen havainnot ja ohjeet laitteessa. Tämä tiedosto luodaan vain, kun suoritetaan asiakasanalysointityökalun Python-pohjaista versiota.
mde_diagnostic.zip	Sama diagnostiikkatuloste, joka luodaan, kun mdatp-diagnostiikka luodaanLinuxissa.
mde.xml	XML-tuloste, joka luodaan suorituksen aikana ja jota käytetään HTML-raporttitiedoston luomiseen.
Processes_information.txt	Sisältää järjestelmän käynnissä olevien Microsoft Defender for Endpoint prosessien tiedot.
Log.txt	Sisältää samat lokiviestit, jotka kirjoitetaan näyttöön tietojen keräämisen aikana.
Health.txt	Sama peruskuntotuloste, joka näytetään mdatp-kuntokomentoa suoritettaessa.
Events.xml	Toinen XML-tiedosto, jota analysoija käyttää HTML-raporttia luotaessa.
Audited_info.txt	Tietoja Linux-käyttöjärjestelmän valvotusta palvelusta ja siihen liittyvistä osista.
perf_benchmark.tar.gz	Suorituskyvyn testiraportit. Näet tämän tiedoston vain, jos käytät suorituskykyparametria.

Tutustu myös seuraaviin ohjeartikkeleihin:

• Asiakkaan analysointitoiminnon yleiskatsaus

• Lataa ja suorita asiakkaan analysointitoiminto

• Suorita asiakkaan analysointitoiminto Windowsissa

• Suorita asiakkaan analysointitoiminto macOS:ssä tai Linuxissa

• Tietojen kerääminen Windowsin edistynyttä vianmääritystä varten

• Tietoja analysointitoiminnon HTML-raportista

Defender for Endpoint Linuxin tiedostojen vianmäärityksessä

• Microsoft Defender for Endpoint Linux-asennusongelmien vianmääritys

• Tutki agentin kunto-ongelmia

• Linuxin Microsoft Defender for Endpoint pilvipalveluyhteysongelmien vianmääritys

• Linux-Microsoft Defender for Endpoint suorituskykyongelmien vianmääritys

• Linux-Microsoft Defender for Endpoint puuttuvien tapahtumien tai ilmoitusten ongelmien vianmääritys

• Virheellisten positiivisten ja negatiivisten esiintymien korjaaminen Microsoft Defender for Endpointissa

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.