Exécuter l’analyseur client sur Linux

S’applique à :

• Microsoft Defender pour point de terminaison Plan 2
• Microsoft Defender XDR

Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Si vous rencontrez des problèmes avec Microsoft Defender pour point de terminaison sur Linux et que vous avez besoin de support, vous pouvez être invité à fournir la sortie de l’outil Analyseur client. Cet article explique comment utiliser l’outil sur votre appareil ou avec une réponse en direct. Vous pouvez utiliser une solution basée sur Python ou une version binaire qui n’a pas besoin de Python.

Exécution de la version binaire de l’analyseur client

1. Téléchargez l’outil binaire XMDE Client Analyzer sur la machine Linux que vous recherchez. Si vous utilisez un terminal, téléchargez l’outil en entrant la commande suivante :

   wget --quiet -O XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary
   

2. Vérifiez le téléchargement.

   echo 'B5EBD9AB36F2DB92C341ABEBB20A50551D08D769CB061EAFCC1A931EFACE305D XMDEClientAnalyzerBinary.zip' | sha256sum -c
   

3. Extrayez le contenu de XMDEClientAnalyzerBinary.zip sur l’ordinateur.

   unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary
   

4. Modifiez le répertoire :

   cd XMDEClientAnalyzerBinary
   

5. Deux nouveaux fichiers zip sont générés :

   • SupportToolLinuxBinary.zip: pour tous les appareils Linux
   • SupportToolMacOSBinary.zip: Pour les appareils Mac

6. Décompressez le SupportToolLinuxBinary.zip fichier.

   unzip -q SupportToolLinuxBinary.zip
   

7. Exécutez l’outil en tant que racine pour générer le package de diagnostic :

   sudo ./MDESupportTool -d
   

Exécution de l’analyseur client basé sur Python

Remarque

• L’analyseur dépend de quelques packages PIP supplémentaires (decorator, , distrosh, lxmlet psutil) qui sont installés dans le système d’exploitation lorsqu’ils sont à la racine pour produire la sortie du résultat. S’il n’est pas installé, l’analyseur tente de l’extraire du dépôt officiel pour les packages Python.
• En outre, l’outil nécessite actuellement l’installation de Python version 3 ou ultérieure sur votre appareil.
• Si votre appareil se trouve derrière un proxy, vous pouvez passer le serveur proxy en tant que variable d’environnement au mde_support_tool.sh script. Par exemple : https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh".

Avertissement

L’exécution de l’analyseur client basé sur Python nécessite l’installation de packages PIP, ce qui peut entraîner des problèmes dans votre environnement. Pour éviter les problèmes, nous vous recommandons d’installer les packages dans un environnement PIP utilisateur.

1. Téléchargez l’outil Analyseur de client XMDE sur la machine Linux que vous devez examiner. Si vous utilisez un terminal, téléchargez l’outil en entrant la commande suivante :

   wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer
   

2. Vérifiez le téléchargement.

   echo '07E6A7B89E28A78309D5B6F1E25E4CDFBA9CA141450E422D76441C03AD3477E7 XMDEClientAnalyzer.zip' | sha256sum -c
   

3. Extrayez le contenu de XMDEClientAnalyzer.zip sur l’ordinateur.

   unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzer
   

4. Modifiez le répertoire.

   cd XMDEClientAnalyzer
   

5. Accordez l’autorisation exécutable à l’outil.

   chmod a+x mde_support_tool.sh
   

6. Exécutez en tant qu’utilisateur non racine pour installer les dépendances requises.

   ./mde_support_tool.sh
   

7. Pour collecter le package de diagnostic et générer le fichier d’archive des résultats, réexécutez en tant que racine.

   sudo ./mde_support_tool.sh -d
   

Options de ligne de commande

Voici les options de ligne de commande fournies par l’analyseur client

usage: MDESupportTool [-h] [--output OUTPUT] [--outdir OUTDIR] [--no-zip]
                      [--force] [--diagnostic] [--skip-mdatp]
                      [--bypass-disclaimer] [--interactive] [--delay DELAY]
                      [--mdatp-log {trace,info,warning,error,debug,verbose}]
                      [--max-log-size MAX_LOG_SIZE]
                      {certinfocollection,performance,installation,exclude,ratelimit,skipfaultyrules,trace,observespikes,connectivitytest}
                      ...

MDE Diagnostics Tool

positional arguments:
  {certinfocollection,performance,installation,exclude,ratelimit,skipfaultyrules,trace,observespikes,connectivitytest}
    certinfocollection  Collect cert information: Subject name and Hashes
    performance         Collect extensive machine performance tracing for
                        analysis of a performance scenario that can be
                        reproduced on demand
    installation        Collect different installation/onboarding reports
    exclude             Exclude specific processes from audit-d monitoring.
    ratelimit           Set the rate limit for auditd events. Rate limit will
                        update the limits for auditd events for all the
                        applications using auditd, which could impact
                        applications other than MDE.
    skipfaultyrules     Continue loading rules in spite of an error. This
                        summarizes the results of loading the rules. The exit
                        code will not be success if any rule fails to load.
    trace               Use OS tracing facilities to record Defender
                        performance traces.
    observespikes       Collect the process logs in case of spike or mdatp
                        crash
    connectivitytest    Perform connectivity test for MDE

optional arguments:
  -h, --help            show this help message and exit
  --output OUTPUT, -o OUTPUT
                        Output path to export report
  --outdir OUTDIR       Directory where diagnostics file will be generated.
  --no-zip, -nz         If set a directory will be created instead of an
                        archive file.
  --force, -f           Will overwrite if output directory exists.
  --diagnostic, -d      Collect extensive machine diagnostic information.
  --skip-mdatp          Skip any mdatp command. Use this when the mdatp
                        command is unresponsive.
  --bypass-disclaimer   Do not display disclaimer banner.
  --interactive, -i     Interactive diagnostic,
  --delay DELAY, -dd DELAY
                        Delay diagnostic by how many minutes (0~2880), use
                        this to wait for more debug logs before it collects.
  --mdatp-log {trace,info,warning,error,debug,verbose}
                        Set MDATP log level. If you use interactive or delay
                        mode, the log level will set to debug automatically,
                        and reset after 48h.
  --max-log-size MAX_LOG_SIZE
                        Maximum log file size in MB before rotating(Will
                        restart mdatp).

Mode diagnostics

Le mode Diagnostics est utilisé pour collecter un ensemble complet d’informations sur la machine, telles que la mémoire, le disque et les journaux MDATP. Cet ensemble de fichiers fournit le jeu d’informations principal requis pour déboguer tout problème lié à Defender pour point de terminaison.

Les options prises en charge sont les suivantes :

optional arguments:
  -h, --help            show this help message and exit
  --output OUTPUT, -o OUTPUT
                        Output path to export report
  --outdir OUTDIR       Directory where diagnostics file will be generated.
  --no-zip, -nz         If set a directory will be created instead of an
                        archive file.
  --force, -f           Will overwrite if output directory exists.
  --diagnostic, -d      Collect extensive machine diagnostic information.
  --skip-mdatp          Skip any mdatp command. Use this when the mdatp
                        command is unresponsive.
  --bypass-disclaimer   Do not display disclaimer banner.
  --interactive, -i     Interactive diagnostic,
  --delay DELAY, -dd DELAY
                        Delay diagnostic by how many minutes (0~2880), use
                        this to wait for more debug logs before it collects.
  --mdatp-log {trace,info,warning,error,debug,verbose}
                        Set MDATP log level. If you use interactive or delay
                        mode, the log level will set to debug automatically,
                        and reset after 48h.
  --max-log-size MAX_LOG_SIZE
                        Maximum log file size in MB before rotating(Will
                        restart mdatp).

Exemple d’utilisation : sudo ./MDESupportTool -d

Remarque

La fonctionnalité de création automatique au niveau du journal est disponible uniquement dans la version de l’agent 101.24052.0002 ou ultérieure.

Les fichiers générés lors de l’utilisation de ce mode sont résumés dans le tableau suivant :

Fichier	Remarques
mde_diagnostic.zip	Journaux et configurations Defender pour point de terminaison
health.txt	Status d’intégrité de Defender pour point de terminaison (Présent uniquement lorsque Defender pour point de terminaison est installé)
health_details_features.txt	La status d’intégrité des autres fonctionnalités de Defender pour point de terminaison (Présent uniquement lorsque Defender pour point de terminaison est installé)
permissions.txt	Problèmes d’autorisation avec les dossiers détenus/utilisés par Defender pour point de terminaison (Présent uniquement lorsque Defender pour point de terminaison est installé)
crashes	Vidages sur incident générés par Defender pour point de terminaison
process_information.txt	Processus en cours d’exécution sur l’ordinateur lors de l’exécution de l’outil
proc_directory_info.txt	Mappage de la mémoire virtuelle des processus Defender pour point de terminaison (Présent uniquement lorsque Defender pour point de terminaison est installé)
auditd_info.txt	Intégrité auditée, règles, journaux
auditd_log_analysis.txt	Résumé des événements traités par auditd
auditd_logs.zip	Fichiers journaux audités
ebpf_kernel_config.txt	Configuration du noyau Linux actuellement chargée
ebpf_enabled_func.txt	Liste de toutes les fonctions du noyau actuellement activées pour le suivi
ebpf_syscalls.zip	Informations sur le suivi des appels système
ebpf_raw_syscalls.zip	Suivi des événements liés aux appels système bruts
ebpf_maps_info.txt	Informations de taille et d’ID des cartes eBPF
syslog.zip	Les fichiers sous /var/log/syslog
messages.zip	Les fichiers sous /var/log/messages
conflicting_processes_information.txt	Processus en conflit avec Defender pour point de terminaison
exclusions.txt	Liste des exclusions antivirus
definitions.txt	Informations sur la définition de l’antivirus
mde_directories.txt	Liste des fichiers dans les répertoires Defender pour point de terminaison
disk_usage.txt	Détails de l’utilisation du disque
mde_user.txt	Informations utilisateur de Defender pour point de terminaison
mde_definitions_mount.txt	Point de montage des définitions defender pour point de terminaison
service_status.txt	État du service Defender pour point de terminaison
service_file.txt	Fichier de service Defender pour point de terminaison
hardware_info.txt	Informations matérielles
mount.txt	Informations sur le point de montage
uname.txt	Informations sur le noyau
memory.txt	Informations sur la mémoire système
meminfo.txt	Informations détaillées sur l’utilisation de la mémoire du système
cpuinfo.txt	Informations sur le processeur
lsns_info.txt	Informations sur l’espace de noms Linux
lsof.txt	Informations sur les descripteurs de fichier ouverts defender pour point de terminaison (voir la note après ce tableau)
sestatus.txt	Informations sur les descripteurs de fichier ouverts defender pour point de terminaison
lsmod.txt	État des modules dans le noyau Linux
dmesg.txt	Messages de la mémoire tampon en anneau du noyau
kernel_lockdown.txt	Informations sur le verrouillage du noyau
rtp_statistics.txt	Statistiques de Protection en temps réel (RTP) de Defender pour point de terminaison (Présent uniquement lorsque Defender pour point de terminaison est installé)
libc_info.txt	Informations sur la bibliothèque libc
uptime_info.txt	Heure depuis le dernier redémarrage
last_info.txt	Liste des derniers utilisateurs connectés
locale_info.txt	Afficher les paramètres régionaux actuels
tmp_files_owned_by_mdatp.txt	/tmp files appartenant au groupe : mdatp (Présent uniquement lorsque Defender pour point de terminaison est installé)
mdatp_config.txt	Toutes les configurations de Defender pour point de terminaison (Présent uniquement lorsque Defender pour point de terminaison est installé)
mpenginedb.db mpenginedb.db-wal mpenginedb.db-shm	Fichier de définitions d’antivirus (Présent uniquement lorsque Defender pour point de terminaison est installé)
iptables_rules.txt	Règles iptables Linux
network_info.txt	Informations réseau
sysctl_info.txt	informations sur les paramètres du noyau
hostname_diagnostics.txt	Informations diagnostics nom d’hôte
mde_event_statistics.txt	Statistiques d’événement defender pour point de terminaison (Présent uniquement lorsque Defender pour point de terminaison est installé)
mde_ebpf_statistics.txt	Statistiques eBPF defender pour point de terminaison (Présent uniquement lorsque Defender pour point de terminaison est installé)
kernel_logs.zip	Journaux du noyau
mdc_log.zip	Microsoft Defender pour les journaux cloud
netext_config.txt
threat_list.txt	Liste des menaces détectées par Defender pour point de terminaison (Présent uniquement lorsque Defender pour point de terminaison est installé)
top_output.txt	Processus en cours d’exécution sur l’ordinateur lors de l’exécution de l’outil
top_summary.txt	Analyse de l’utilisation de la mémoire et du processeur du processus en cours d’exécution

Arguments facultatifs pour l’analyseur de client

Client Analyzer fournit les arguments facultatifs suivants pour la collecte de données supplémentaire :

Collecter des informations sur les performances

Collectez un suivi complet des performances de l’ordinateur des processus Defender pour point de terminaison pour l’analyse d’un scénario de performances qui peut être reproduit à la demande.

-h, --help            show this help message and exit
--frequency FREQUENCY
                      profile at this frequency
--length LENGTH       length of time to collect (in seconds)

Exemple d’utilisation : sudo ./MDESupportTool performance --frequency 500

Voici le fichier généré lors de l’utilisation de ce mode :

Fichier	Remarques
perf_benchmark.tar.gz	Defender pour point de terminaison traite les données de performances

Remarque

Les fichiers correspondant au mode de diagnostic sont également générés.

Le fichier tar contient des fichiers au format <pid of a MDE process>.data. Le fichier de données peut être lu à l’aide de la commande :

perf report -i <pid>.data

Exécuter le test de connectivité

Ce mode teste si les ressources cloud nécessaires à Defender pour point de terminaison sont accessibles ou non.

  -h, --help            show this help message and exit
  -o ONBOARDING_SCRIPT, --onboarding-script ONBOARDING_SCRIPT
                        Path to onboarding script
  -g GEO, --geo GEO     Geo string to test <US|UK|EU|AU|CH|IN>

Exemple d’utilisation :

sudo ./MDESupportTool connectivitytest -o ~/MicrosoftDefenderATPOnboardingLinuxServer.py`

La sortie imprimée à l’écran indique si les URL sont accessibles ou non.

Collecter différents rapports d’installation/intégration

Ce mode collecte des informations relatives à l’installation, telles que la distribution et la configuration système requise.

  -h, --help                show this help message and exit
  -d, --distro              Check for distro support
  -m, --min-requirement     Check for the system info against offical minimum requirements
  -e, --external-dep        Check for externel package dependency
  -c, --connectivity        Check for connectivity for services used by MDE
  -a, --all                 Run all checks
  -o ONBOARDING_SCRIPT, --onboarding-script ONBOARDING_SCRIPT
                            Path to onboarding script
  -g GEO, --geo GEO         Geo string to test <US|UK|EU|AU|CH|IN>

Exemple d’utilisation :

sudo ./MDESupportTool installation --all

Un seul rapport installation_report.json est généré. Les clés du fichier sont les suivantes :

Clé	Remarques
agent_version	Version de Defender pour point de terminaison installée
onboarding_status	Informations d’intégration et de sonnerie
support_status	MDE est pris en charge avec les configurations système actuelles
distribution	Distribution sur laquelle l’agent est installé dans prise en charge ou non
connectivitytest	Stratus de test de connectivité
min_requirement	La configuration minimale requise pour le processeur et la mémoire est remplie
external_depedency	Les dépendances externes sont satisfaites ou non
mde_health	Status d’intégrité de MDE Agent
folder_perm	Les autorisations de dossier requises sont remplies ou non

Mode d’exclusion

Ce mode ajoute des exclusions pour audit-d la surveillance.

  -h, --help            show this help message and exit
  -e <executable>, --exe <executable>
                        exclude by executable name, i.e: bash
  -p <process id>, --pid <process id>
                        exclude by process id, i.e: 911
  -d <directory>, --dir <directory>
                        exclude by target path, i.e: /var/foo/bar
  -x <executable> <directory>, --exe_dir <executable> <directory>
                        exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
  -q <q_size>, --queue <q_size>
                        set dispatcher q_depth size
  -r, --remove          remove exclusion file
  -s, --stat            get statistics about common executables
  -l, --list            list auditd rules
  -o, --override        Override the existing auditd exclusion rules file for mdatp
  -c <syscall number>, --syscall <syscall number>
                        exclude all process of the given syscall

Exemple d’utilisation :

sudo ./MDESupportTool exclude -d /var/foo/bar`

Limiteur de débit audité

Cette option définit la limite de débit globale pour AuditD, ce qui entraîne une baisse de tous les événements d’audit. Lorsque le limiteur est activé, les événements audités sont limités à 2500 événements/s. Cette option peut être utilisée dans les cas où nous constatons une utilisation élevée du processeur côté AuditD.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the rate limit with default values

Exemple d’utilisation :

sudo ./mde_support_tool.sh ratelimit -e true

Remarque

Cette fonctionnalité doit être utilisée avec soin, car elle limite le nombre d’événements que le sous-système audité signale dans son ensemble. Cela peut également réduire le nombre d’événements pour d’autres abonnés.

AuditD ignorer les règles défectueuses

Cette option vous permet d’ignorer les règles défectueuses ajoutées dans le fichier de règles auditées lors du chargement. Il permet au sous-système audité de continuer à charger des règles, même en cas de règle défectueuse.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.

Exemple d’utilisation :

sudo ./mde_support_tool.sh skipfaultyrules -e true

Remarque

Cette fonctionnalité ignore les règles défectueuses. Les règles défectueuses doivent être identifiées et corrigées.

Utiliser la réponse en direct dans Defender pour point de terminaison pour collecter les journaux de support

L’outil XMDE Client Analyzer peut être téléchargé sous la forme d’un package binaire ou Python qui peut être extrait et exécuté sur des machines Linux. Les deux versions de l’analyseur client XMDE peuvent être exécutées pendant une session de réponse dynamique.

• Pour l’installation, le unzip package est requis.
• Pour l’exécution, le acl package est requis.

Importante

Window utilise les caractères invisibles Retour chariot et Saut de ligne pour représenter la fin d’une ligne et le début d’une nouvelle ligne dans un fichier, mais les systèmes Linux utilisent uniquement le caractère invisible Saut de ligne à la fin de ses lignes de fichier. Lorsque vous utilisez les scripts suivants, s’il est effectué sur Windows, cette différence peut entraîner des erreurs et des échecs d’exécution des scripts. Une solution potentielle consiste à utiliser le Sous-système Windows pour Linux et le dos2unix package pour reformater le script afin qu’il s’aligne sur la norme de format Unix et Linux.

Installer l’analyseur client XMDE

Téléchargez et extrayez l’analyseur client XMDE. Vous pouvez utiliser la version binaire ou Python, comme suit :

• Version binaire de l’analyseur client
• Version Python de l’analyseur client

En raison des commandes limitées disponibles dans la réponse en direct, les étapes détaillées doivent être exécutées dans un script bash. En divisant la partie installation et exécution de ces commandes, il est possible d’exécuter le script d’installation une seule fois et d’exécuter le script d’exécution plusieurs fois.

Importante

Les exemples de scripts supposent que la machine dispose d’un accès Internet direct et peut récupérer l’analyseur client XMDE auprès de Microsoft. Si l’ordinateur n’a pas d’accès Internet direct, les scripts d’installation doivent être mis à jour pour extraire l’analyseur client XMDE à partir d’un emplacement auquel les machines peuvent accéder correctement.

Script d’installation de l’analyseur de client binaire

Le script suivant effectue les six premières étapes de l’exécution de la version binaire de l’analyseur client. Lorsque vous avez terminé, le binaire XMDE Client Analyzer est disponible à partir du /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer répertoire .

1. Créez un fichier InstallXMDEClientAnalyzer.sh bash et collez-y le contenu suivant.

   #! /usr/bin/bash 
   
   echo "Starting Client Analyzer Script. Running As:"
   whoami
   
   echo "Getting XMDEClientAnalyzerBinary"
   wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary
   echo '4E96E75B16244BB25BDBF34CBB3EB596BC2E9CE368BC4E532E8AE12DF2A1E19D /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c
   
   echo "Unzipping XMDEClientAnalyzerBinary.zip"
   unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary
   
   echo "Unzipping SupportToolLinuxBinary.zip"
   unzip -q /tmp/XMDEClientAnalyzerBinary/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
   
   echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
   
   

Script d’installation de l’analyseur du client Python

Le script suivant effectue les six premières étapes de l’exécution de la version Python de l’analyseur client. Lorsque vous avez terminé, les scripts Python de l’analyseur de client XMDE sont disponibles à partir du /tmp/XMDEClientAnalyzer répertoire .

1. Créez un fichier InstallXMDEClientAnalyzer.sh bash et collez-y le contenu suivant.

   #! /usr/bin/bash
   
   echo "Starting Client Analyzer Install Script. Running As:"
   whoami
   
   echo "Getting XMDEClientAnalyzer.zip"
   wget --quiet -O /tmp/XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer 
   echo '07E6A7B89E28A78309D5B6F1E25E4CDFBA9CA141450E422D76441C03AD3477E7 /tmp/XMDEClientAnalyzer.zip' | sha256sum -c  
   
   echo "Unzipping XMDEClientAnalyzer.zip"
   unzip -q /tmp/XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer  
   
   echo "Setting execute permissions on mde_support_tool.sh script"
   cd /tmp/XMDEClientAnalyzer 
   chmod a+x mde_support_tool.sh  
   
   echo "Performing final support tool setup"
   ./mde_support_tool.sh
   
   

Exécuter les scripts d’installation de l’analyseur client

1. Lancez une session De réponse dynamique sur l’ordinateur que vous souhaitez examiner.

2. Sélectionnez Charger le fichier dans la bibliothèque.

3. Sélectionnez Choisir un fichier.

4. Sélectionnez le fichier téléchargé nommé InstallXMDEClientAnalyzer.sh, puis sélectionnez Confirmer.

5. Toujours dans la session LiveResponse, utilisez les commandes suivantes pour installer l’analyseur :

   run InstallXMDEClientAnalyzer.sh
   

Exécuter l’analyseur client XMDE

La réponse en direct ne prend pas en charge l’exécution directe de l’analyseur client XMDE ou de Python. Un script d’exécution est donc nécessaire.

Importante

Les scripts suivants supposent que l’analyseur client XMDE a été installé à l’aide des mêmes emplacements que les scripts mentionnés précédemment. Si votre organization choisit d’installer les scripts dans un autre emplacement, les scripts doivent être mis à jour pour s’aligner sur l’emplacement d’installation choisi par votre organization.

Script pour exécuter l’analyseur de client binaire

La version binaire de l’analyseur client accepte les paramètres de ligne de commande pour effectuer différents tests d’analyse. Pour fournir des fonctionnalités similaires lors de la réponse en direct, le script d’exécution tire parti de la $@ variable bash pour passer tous les paramètres d’entrée fournis au script à l’analyseur client XMDE.

1. Créez un fichier MDESupportTool.sh bash et collez-y le contenu suivant.

   #! /usr/bin/bash
   
   echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
   cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
   
   echo "Running MDESupportTool"
   ./MDESupportTool $@
   
   

Script pour exécuter l’analyseur client Python

La version Python de l’analyseur client accepte les paramètres de ligne de commande pour effectuer différents tests d’analyse. Pour fournir des fonctionnalités similaires lors de la réponse en direct, le script d’exécution tire parti de la $@ variable bash pour passer tous les paramètres d’entrée fournis au script à l’analyseur client XMDE.

1. Créez un fichier MDESupportTool.sh bash et collez-y le contenu suivant.

   #! /usr/bin/bash  
   
   echo "cd /tmp/XMDEClientAnalyzer"
   cd /tmp/XMDEClientAnalyzer 
   
   echo "Running mde_support_tool"
   ./mde_support_tool.sh $@
   
   

Exécuter le script de l’analyseur client

Remarque

Si vous avez une session de réponse dynamique active, vous pouvez ignorer l’étape 1.

1. Lancez une session De réponse dynamique sur l’ordinateur que vous souhaitez examiner.

2. Sélectionnez Charger le fichier dans la bibliothèque.

3. Sélectionnez Choisir un fichier.

4. Sélectionnez le fichier téléchargé nommé MDESupportTool.sh, puis sélectionnez Confirmer.

5. Toujours dans la session de réponse en direct, utilisez les commandes suivantes pour exécuter l’analyseur et collecter le fichier résultant :

   run MDESupportTool.sh -parameters "--bypass-disclaimer -d"
   GetFile "/tmp/your_archive_file_name_here.zip"
   

Voir aussi

• Vue d’ensemble de l’analyseur client

• Télécharger et exécuter l’analyseur client

• Exécuter l’analyseur client sur Windows

• Exécuter l’analyseur client sur macOS ou Linux

• Collecte de données pour la résolution avancée des problèmes sur Windows

• Comprendre le de rapport HTML de l’analyseur

Documents de résolution des problèmes defender pour point de terminaison sur Linux

• Résoudre les problèmes d’installation de Microsoft Defender pour point de terminaison sur Linux

• Rechercher les problèmes d’état d’intégrité de l’agent

• Résoudre les problèmes de connectivité cloud pour Microsoft Defender pour point de terminaison sur Linux

• Résoudre les problèmes de performances pour Microsoft Defender pour point de terminaison sur Linux

• Résoudre les problèmes d’événements ou d’alertes manquants pour Microsoft Defender pour point de terminaison sur Linux

• Résoudre des faux négatifs/positifs dans Microsoft Defender pour point de terminaison

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.