Jaa


Tukilokien kerääminen Microsoft Defender for Endpoint reaaliaikaisen vastauksen avulla

Koskee seuraavia:

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Kun otat yhteyttä tukeen, sinua saatetaan pyytää antamaan Microsoft Defender for Endpoint Client Analyzer -työkalun tulostepaketti.

Tässä artikkelissa annetaan ohjeet työkalun suorittamiseen Live Response -toiminnon kautta Windowsissa ja Linux-koneissa.

Windows

  1. Lataa ja nouda vaaditut komentosarjat, jotka ovat käytettävissä Microsoft Defender for Endpoint Client AnalyzerinTyökalut-alihakemistosta.

    Jos haluat esimerkiksi saada perusanturin ja laitteen kuntolokit, nouda ..\Tools\MDELiveAnalyzer.ps1.

  2. Aloita live-vastausistunto tietokoneessa, jota sinun on tutkittava.

  3. Valitse Lataa tiedosto kirjastoon.

    Lataustiedosto

  4. Valitse Valitse tiedosto.

    Valitse tiedosto -painike-1

  5. Valitse ladattu tiedosto nimeltä MDELiveAnalyzer.ps1, ja valitse sitten Vahvista.

    Valitse tiedosto -painike-2

    Toista tämä vaihe tiedostolle MDEClientAnalyzerPreview.zip .

  6. Kun olet vielä LiveResponse-istunnossa, suorita analyzer ja kerää tulokseksi saatava tiedosto seuraavien komentojen avulla.

    Putfile MDEClientAnalyzerPreview.zip
    Run MDELiveAnalyzer.ps1
    GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDECA\MDEClientAnalyzerResult.zip"
    

    Kuva komennoista.

Lisätietoja

  • MDEClientAnalyzerin uusin esikatseluversio on ladattavissa täältä: https://aka.ms/MDEClientAnalyzerPreview.

  • Jos et voi sallia tietokoneen saavuttaa yllä olevaa URL-osoitetta, lataa MDEClientAnalyzerPreview.zip tiedosto kirjastoon ennen LiveAnalyzer-komentosarjan suorittamista:

    PutFile MDEClientAnalyzerPreview.zip -overwrite
    Run MDELiveAnalyzer.ps1
    GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDECA\MDEClientAnalyzerResult.zip"
    
  • Lisätietoja tietojen keräämisestä paikallisesti tietokoneessa siltä varalta, että kone ei ole yhteydessä Microsoft Defender for Endpoint pilvipalveluihin tai ei näy Microsoft Defender for Endpoint portaalissa odotetulla tavalla, on artikkelissa Asiakasyhteyden tarkistaminen Microsoft Defender for Endpoint palvelun URL-osoitteet.

  • Kuten live-vastauksen komentoesimerkeissä on kuvattu, haluat ehkä käyttää & -symbolia komennon lopussa ja kerätä lokit taustatoimintona:

    Run MDELiveAnalyzer.ps1&
    

Linux

XMDE Client Analyzer -työkalun voi ladata binaari - tai Python-pakettina , joka voidaan poimia ja suorittaa Linux-koneissa. Molemmat XMDE Client Analyzer -versiot voidaan suorittaa reaaliaikaisen vastausistunnon aikana.

Ennakkovaatimukset

  • Asennusta unzip varten paketti on pakollinen.

  • Paketin suorittaminen acl edellyttää.

Tärkeää

Ikkuna käyttää näkymättömiä Rivinvaihto- ja Rivisyöte-merkkejä edustamaan tiedoston yhden rivin loppua ja uuden rivin alkua, mutta Linux-järjestelmissä käytetään vain näkymätöntä viivasyötemerkkiä tiedostorivien lopussa. Jos käytät seuraavia komentosarjoja Windowsissa, tämä ero voi johtaa suoritettavien komentosarjojen virheisiin ja virheisiin. Mahdollinen ratkaisu tähän on käyttää Windows-alijärjestelmä Linuxille ja dos2unix pakettia komentosarjan uudelleenmuotoiluun niin, että se vastaa Unix- ja Linux-muotostandardia.

Asennetaan XMDE-asiakasanalysaattoria

Molemmat XMDE Client Analyzer -versiot, binaari ja Python, itsenäinen paketti, joka on ladattava ja purettava ennen suorittamista, ja tämän prosessin täydelliset vaiheet löytyvät:

Live Responsessa käytettävissä olevien rajoitettujen komentojen vuoksi yksityiskohtaiset vaiheet on suoritettava bash-komentosarjassa, ja jakamalla näiden komentojen asennus- ja suoritusosa on mahdollista suorittaa asennuskomentosarja kerran suoritettaessa suorituskomentosarjaa useita kertoja.

Tärkeää

Esimerkkikomentosarjoissa oletetaan, että koneella on suora Internet-yhteys, ja ne voivat noutaa XMDE Client Analyzerin Microsoftilta. Jos tietokoneessa ei ole suoraa Internet-yhteyttä, asennuskomentosarjat on päivitettävä, jotta XMDE-asiakasanalysaattori voidaan noutaa sijainnista, jota tietokoneet voivat käyttää onnistuneesti.

Binaarinen asiakasanalysaattorin asennuskomentosarja

Seuraava komentosarja suorittaa Client Analyzerin binaariversion suorittamisen kuusi ensimmäistä vaihetta. Kun kaikki on valmista, XMDE Client Analyzer -binaari on käytettävissä hakemistosta /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer .

  1. Luo bash-tiedosto InstallXMDEClientAnalyzer.sh ja liitä siihen seuraava sisältö.

    #! /usr/bin/bash
    
    echo "Starting Client Analyzer Script. Running As:"
    whoami
    
    echo "Getting XMDEClientAnalyzerBinary"
    wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://go.microsoft.com/fwlink/?linkid=2297517
    echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c
    
    echo "Unzipping XMDEClientAnalyzerBinary.zip"
    unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary
    
    echo "Unzipping SupportToolLinuxBinary.zip"
    unzip -q /tmp/XMDEClientAnalyzerBinary/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
    
    echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
    
    

Python-asiakasanalysaattorin asennuskomentosarja

Seuraava komentosarja suorittaa Client Analyzerin Python-version suorittamisen kuusi ensimmäistä vaihetta. Kun kaikki on valmista, XMDE Client Analyzer Python -komentosarjat ovat käytettävissä hakemistosta /tmp/XMDEClientAnalyzer .

  1. Luo bash-tiedosto InstallXMDEClientAnalyzer.sh ja liitä siihen seuraava sisältö.

    #! /usr/bin/bash
    
    echo "Starting Client Analyzer Install Script. Running As:"
    whoami
    
    echo "Getting XMDEClientAnalyzer.zip"
    wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer 
    echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c  
    
    echo "Unzipping XMDEClientAnalyzer.zip"
    unzip -q XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer  
    
    echo "Setting execute permissions on mde_support_tool.sh script"
    cd /tmp/XMDEClientAnalyzer 
    chmod a+x mde_support_tool.sh  
    
    echo "Performing final support tool setup"
    ./mde_support_tool.sh
    
    

Asiakasanalysaattorin asennuskomentosarjojen suorittaminen

  1. Aloita live-vastausistunto tietokoneessa, jota sinun on tutkittava.

  2. Valitse Lataa tiedosto kirjastoon.

  3. Valitse Valitse tiedosto.

  4. Valitse ladattu tiedosto nimeltä InstallXMDEClientAnalyzer.sh, ja valitse sitten Vahvista.

  5. Kun olet vielä LiveResponse-istunnossa, asenna analysoija seuraavien komentojen avulla:

    run InstallXMDEClientAnalyzer.sh
    

XMDE-asiakasanalysaattorin suorittaminen

Reaaliaikainen vastaus ei tue XMDE-asiakasanalysaattorin tai Pythonin suorittamista suoraan, joten suorituskomentosarja on tarpeen.

Tärkeää

Seuraavissa komentosarjoissa oletetaan, että XMDE Client Analyzer on asennettu samoilla sijainnilla aiemmin mainituista komentosareista. Jos organisaatiosi on päättänyt asentaa komentosarjat eri sijaintiin, seuraavat komentosarjat on päivitettävä, jotta ne vastaavat organisaatiosi valitsemaa asennussijaintia.

Binaarinen asiakasanalysaattorin suorituskomentosarja

Binaarinen asiakasanalysaattori hyväksyy komentoriviparametreja eri analyysitestien suorittamiseksi. Jos haluat tarjota samanlaisia ominaisuuksia live-vastauksen aikana, suorituskomentosarja hyödyntää $@ bash-muuttujaa välittääkseen kaikki komentosarjaan annetut syöteparametrit XMDE Client Analyzeriin.

  1. Luo bash-tiedosto MDESupportTool.sh ja liitä siihen seuraava sisältö.

    #! /usr/bin/bash
    
    echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
    cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
    
    echo "Running MDESupportTool"
    ./MDESupportTool $@
    
    

Python-asiakasanalysaattorin komentosarjan suorittaminen

Python-asiakasanalysaattori hyväksyy komentoriviparametrit eri analyysitestien suorittamiseksi. Jos haluat tarjota samanlaisia ominaisuuksia live-vastauksen aikana, suorituskomentosarja hyödyntää $@ bash-muuttujaa välittääkseen kaikki komentosarjaan annetut syöteparametrit XMDE Client Analyzeriin.

  1. Luo bash-tiedosto MDESupportTool.sh ja liitä siihen seuraava sisältö.

    #! /usr/bin/bash  
    
    echo "cd /tmp/XMDEClientAnalyzer"
    cd /tmp/XMDEClientAnalyzer 
    
    echo "Running mde_support_tool"
    ./mde_support_tool.sh $@
    
    

Asiakkaan analysoinnin komentosarjan suorittaminen

Huomautus

Jos sinulla on aktiivinen live-vastausistunto, voit ohittaa vaiheen 1.

  1. Aloita live-vastausistunto tietokoneessa, jota sinun on tutkittava.

  2. Valitse Lataa tiedosto kirjastoon.

  3. Valitse Valitse tiedosto.

  4. Valitse ladattu tiedosto nimeltä MDESupportTool.sh, ja valitse sitten Vahvista.

  5. Kun olet vielä live-vastausistunnossa, suorita analyzer ja kerää tulokseksi saatava tiedosto seuraavien komentojen avulla.

    run MDESupportTool.sh -parameters "--bypass-disclaimer -d"
    GetFile "/tmp/your_archive_file_name_here.zip"
    

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.