Jaa


Asiakasanalysaattorin suorittaminen macOS:ssä ja Linuxissa

XMDEClientAnalyzerin avulla diagnosoidaan Microsoft Defender for Endpoint kunto- tai luotettavuusongelmia joko Linux- tai macOS-laitteissa.

Voit suorittaa asiakasanalysointityökalun kahdella tavalla:

  1. Binaariversion käyttäminen (ei ulkoista Python-riippuvuutta)
  2. Python-pohjaisen ratkaisun käyttäminen

Suoritetaan asiakasanalysaattorin binaariversiota

  1. Lataa XMDE Client Analyzer Binary -työkalu macOS- tai Linux-koneeseen, jota sinun on tutkittava.
    Jos käytät päätettä, lataa työkalu antamalla seuraava komento:

    wget --quiet -O XMDEClientAnalyzerBinary.zip https://go.microsoft.com/fwlink/?linkid=2297517
    
  2. Tarkista lataus.

    • Linux
    echo '2A9BF0A6183831BE43C7BCB7917A40D772D226301B4CDA8EE4F258D00B6E4E97 XMDEClientAnalyzerBinary.zip' | sha256sum -c
    
    • macOS
    echo '2A9BF0A6183831BE43C7BCB7917A40D772D226301B4CDA8EE4F258D00B6E4E97  XMDEClientAnalyzerBinary.zip' | shasum -a 256 -c
    
  3. Pura XMDEClientAnalyzerBinary.zip sisältö laitteessa.

    Jos käytät päätettä, pura tiedostot antamalla seuraava komento:

    unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary
    
  4. Vaihda työkalun hakemistoon antamalla seuraava komento:

    cd XMDEClientAnalyzerBinary
    
  5. Kaksi uutta zip-tiedostoa on luotu:

    • SupportToolLinuxBinary.zip : Kaikille Linux-laitteille
    • SupportToolMacOSBinary.zip : Mac-laitteille
  6. Pura yksi yllä olevista 2 zip-tiedostosta sen laitteen perusteella, jota sinun on tutkittava.

    Kun käytät päätettä, pura tiedosto antamalla jokin seuraavista käyttöjärjestelmätyyppiin perustuvista komennoista:

    • Linux

      unzip -q SupportToolLinuxBinary.zip
      
    • Mac

      unzip -q SupportToolMacOSBinary.zip
      
  7. Luo diagnostiikkapaketti suorittamalla työkalu päätasona :

    sudo ./MDESupportTool -d
    

Python-pohjaisen asiakasanalysaattorin suorittaminen

Huomautus

  • Analyzer on riippuvainen harvoista ylimääräisistä PIP-paketeista (decorator, , shdistro, lxmlja psutil), jotka asennetaan käyttöjärjestelmään pääkansiossa tulostuloksen tuottamiseksi. Jos kohdetta ei ole asennettu, analyzer yrittää noutaa sen Python-pakettien virallisesta säilöstä.
  • Lisäksi työkalu edellyttää, että laitteeseen on tällä hetkellä asennettu Python-versio 3 tai uudempi versio.
  • Jos laite on välityspalvelimen takana, voit välittää välityspalvelimen ympäristömuuttujana komentosarjaan mde_support_tool.sh . Esimerkki: https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh".

Varoitus

Python-pohjaisen asiakasanalysaattorin suorittaminen edellyttää PIP-pakettien asentamista, mikä voi aiheuttaa ongelmia ympäristössäsi. Ongelmien välttämiseksi on suositeltavaa asentaa paketit käyttäjän PIP-ympäristöön.

  1. Lataa XMDE Client Analyzer - työkalu macOS- tai Linux-koneeseen, jota sinun on tutkittava.

    Jos käytät päätettä, lataa työkalu suorittamalla seuraava komento:

    wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer
    
  2. Tarkista lataus

    • Linux
    echo '84C9718FF3D29DA0EEE650FB2FC0625549A05CD1228AC253DBB92C8B1D9F1D11 XMDEClientAnalyzer.zip' | sha256sum -c
    
    • macOS
    echo '84C9718FF3D29DA0EEE650FB2FC0625549A05CD1228AC253DBB92C8B1D9F1D11  XMDEClientAnalyzer.zip' | shasum -a 256 -c
    
  3. Pura XMDEClientAnalyzer.zip sisältö laitteessa. Jos käytät päätetiedostoa, pura tiedostot seuraavalla komennolla:

    unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzer
    
  4. Vaihda hakemisto purettuun sijaintiin.

    cd XMDEClientAnalyzer
    
  5. Anna työkalun suoritusoikeudet:

    chmod a+x mde_support_tool.sh
    
  6. Asenna tarvittavat riippuvuudet suorittamalla muu kuin pääkäyttäjä:

    ./mde_support_tool.sh
    
  7. Jos haluat kerätä todellisen diagnostiikkapaketin ja luoda tulosarkistotiedoston, suorita uudelleen pääkansiona:

    sudo ./mde_support_tool.sh -d
    

Komentorivin asetukset

Ensisijaiset komentorivit

Hae tietokoneen diagnostiikka käyttämällä seuraavaa komentoa.

-h, --help            show this help message and exit
--output OUTPUT, -o OUTPUT
                      Output path to export report
--outdir OUTDIR       Directory where diagnostics file will be generated
--no-zip, -nz         If set a directory will be created instead of an archive file
--force, -f           Will overwrite if output directory exists
--diagnostic, -d      Collect extensive machine diagnostic information
--bypass-disclaimer   Do not display disclaimer banner
--interactive, -i     Interactive diagnostic
--delay DELAY, -dd DELAY
                      Set MDATP log level. If you use interactive or delay mode, the log level will set to debug automatically, and reset after 48h.
--mdatp-log {info,debug,verbose,error,trace,warning}
                      Set MDATP log level
--max-log-size MAX_LOG_SIZE
                      Maximum log file size in MB before rotating(Will restart mdatp)

Käyttöesimerkki: sudo ./MDESupportTool -d

HUOMAUTUS: Lokitason automaattisen palautuksen ominaisuus on käytettävissä vain 2405:ssä tai uudemman asiakasversion versiossa.

Positionaaliset argumentit

Kerää suorituskykytietoja

Kerää laaja koneen suorituskyvyn seuranta, jotta voidaan analysoida suorituskykyskenaariota, joka voidaan toistaa pyydettäessä.

-h, --help            show this help message and exit
--frequency FREQUENCY
                      profile at this frequency
--length LENGTH       length of time to collect (in seconds)

Käyttöesimerkki: sudo ./MDESupportTool performance --frequency 2

Käytä käyttöjärjestelmän jäljitystä (vain macOS:lle)

Käytä käyttöjärjestelmän jäljitystiloja Defenderin tallentamiseen päätepisteen suorituskyvyn jäljitystä varten.

Huomautus

Tämä toiminto on olemassa vain Python-ratkaisussa.

-h, --help       show this help message and exit
--length LENGTH  Length of time to record the trace (in seconds).
--mask MASK      Mask to select with event to trace. Defaults to all

Kun tämä komento suoritetaan ensimmäistä kertaa, se asentaa profiilimäärityksen.

Hyväksy profiilin asennus seuraavasti: Applen tukiopas.

Käyttöesimerkki ./mde_support_tool.sh trace --length 5

Pois jätettävien tila

Lisää poissulkemisia valvonnan valvontaa varten.

Huomautus

Tämä toiminto on olemassa vain Linuxissa.

  -h, --help            show this help message and exit
  -e <executable>, --exe <executable>
                        exclude by executable name, i.e: bash
  -p <process id>, --pid <process id>
                        exclude by process id, i.e: 911
  -d <directory>, --dir <directory>
                        exclude by target path, i.e: /var/foo/bar
  -x <executable> <directory>, --exe_dir <executable> <directory>
                        exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
  -q <q_size>, --queue <q_size>
                        set dispatcher q_depth size
  -r, --remove          remove exclusion file
  -s, --stat            get statistics about common executables
  -l, --list            list auditd rules
  -o, --override        Override the existing auditd exclusion rules file for mdatp
  -c <syscall number>, --syscall <syscall number>
                        exclude all process of the given syscall

Käyttöesimerkki: sudo ./MDESupportTool exclude -d /var/foo/bar

AuditD Rate Limiter

Syntaksi, jonka avulla voidaan rajoittaa auditD-laajennuksen raportoimien tapahtumien määrää. Tämä asetus määrittää AuditD:n nopeusrajoituksen maailmanlaajuisesti, jolloin kaikki valvontatapahtumat laskevat. Kun rajoitin on käytössä, valvottavien tapahtumien määrä on rajoitettu 2500 tapahtumaan sekunnissa. Tätä vaihtoehtoa voidaan käyttää tapauksissa, joissa AuditD-puolelta tulee näkyviin suuri suoritinkäyttö.

Huomautus

Tämä toiminto on olemassa vain Linuxissa.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the rate limit with default values

Käyttöesimerkki: sudo ./mde_support_tool.sh ratelimit -e true

Huomautus

Tätä toimintoa tulee käyttää huolellisesti rajoittamaan valvotun alijärjestelmän raportoimien tapahtumien määrää kokonaisuutena. Tämä voi vähentää myös muiden tilaajien tapahtumien määrää.

AuditD Skip Vialliset säännöt

Tämän asetuksen avulla voit ohittaa valvotut säännöt -tiedostoon lisätyt vialliset säännöt niiden lataamisen aikana. Tämän asetuksen avulla valvottu alijärjestelmä voi jatkaa sääntöjen lataamista, vaikka sääntö olisi virheellinen. Tämä asetus tekee yhteenvedon sääntöjen lataamisen tuloksista. Taustalla tämä vaihtoehto suorittaa auditctl-komennon -c-vaihtoehdon kanssa.

Huomautus

Tämä toiminto on käytettävissä vain Linuxissa.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.

Käyttöesimerkki: sudo ./mde_support_tool.sh skipfaultyrules -e true

Huomautus

Tämä toiminto ohittaa virheellisen säännön. Virheellinen sääntö on sitten tunnistettava ja korjattava tarkemmin.

Tulospaketin sisältö macOS:ssä ja Linuxissa

  • report.html

    Kuvaus: Tärkein HTML-tulostetiedosto, joka sisältää asiakasanalysaattorityökalun suorittamisen havainnot ja ohjeet laitteessa. Tämä tiedosto luodaan vain, kun suoritetaan asiakasanalysointityökalun Python-pohjaista versiota.

  • mde_diagnostic.zip

    Kuvaus: Sama diagnostiikkatuloste, joka luodaan, kun mdatp-diagnostiikka luodaan joko macOS- tai Linux-käyttöjärjestelmissä.

  • mde.xml

    Kuvaus: XML-tuloste, joka luodaan suorituksen aikana ja jota käytetään html-raporttitiedoston luomiseen.

  • Processes_information.txt

    Kuvaus: sisältää tietoja käynnissä olevista Microsoft Defender for Endpoint liittyvistä järjestelmän prosesseista.

  • Log.txt

    Kuvaus: sisältää samat lokiviestit, jotka kirjoitetaan näyttöön tietojen keräämisen aikana.

  • Health.txt

    Kuvaus: Sama peruskuntotuloste, joka näytetään mdatp-kuntokomentoa suoritettaessa.

  • Events.xml

    Kuvaus: Lisä-XML-tiedosto, jota analysoija käyttää HTML-raporttia luotaessa.

  • Audited_info.txt

    Kuvaus: tietoja valvotun palvelun ja siihen liittyvien osien Linux-käyttöjärjestelmälle .

  • perf_benchmark.tar.gz

    Kuvaus: Suorituskykytestiraportit. Näet tämän vain, jos käytät suorituskykyparametria.

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.