Eseguire l'analizzatore client in Linux

Si applica a:

• Microsoft Defender per endpoint Piano 2
• Microsoft Defender XDR

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

Se si verificano problemi di affidabilità o integrità dei dispositivi con Defender per endpoint in Linux e si contatta il supporto tecnico, potrebbe essere richiesto di fornire il pacchetto di output dello strumento analizzatore client Microsoft Defender per endpoint. Questo articolo descrive come usare lo strumento analizzatore client in locale nel dispositivo o insieme alla risposta dinamica. In entrambi i casi, è possibile usare una soluzione basata su Python o una versione binaria senza dipendenza Python esterna.

Usare la risposta in tempo reale in Defender per endpoint per raccogliere i log di supporto

Lo strumento analizzatore client XMDE può essere scaricato come pacchetto binario o Python che può essere estratto ed eseguito nei computer Linux. Entrambe le versioni di XMDE Client Analyzer possono essere eseguite durante una sessione di Live Response.

• Per l'installazione, il unzip pacchetto è obbligatorio.
• Per l'esecuzione, il acl pacchetto è obbligatorio.

Importante

Window usa i caratteri invisibili Ritorno a capo e Avanzamento riga per rappresentare la fine di una riga e l'inizio di una nuova riga in un file, ma i sistemi Linux usano solo il carattere invisibile avanzamento riga alla fine delle righe del file. Quando si usano gli script seguenti, se eseguita in Windows, questa differenza può causare errori e errori degli script da eseguire. Una possibile soluzione consiste nell'usare il sottosistema Windows per Linux e il dos2unix pacchetto per riformattare lo script in modo che sia allineato allo standard di formato Unix e Linux.

Installare XMDE Client Analyzer

Scaricare ed estrarre XMDE Client Analyzer. È possibile usare la versione binaria o Python, come indicato di seguito:

• Versione binaria dell'analizzatore client
• Versione Python dell'analizzatore client

A causa dei comandi limitati disponibili nella risposta in tempo reale, i passaggi dettagliati devono essere eseguiti in uno script bash. Suddividendo la parte relativa all'installazione e all'esecuzione di questi comandi, è possibile eseguire lo script di installazione una sola volta ed eseguire lo script di esecuzione più volte.

Importante

Gli script di esempio presuppongono che il computer abbia accesso diretto a Internet e possa recuperare XMDE Client Analyzer da Microsoft. Se il computer non ha accesso diretto a Internet, è necessario aggiornare gli script di installazione per recuperare L'analizzatore client XMDE da un percorso a cui i computer possono accedere correttamente.

Script di installazione dell'analizzatore client binario

Lo script seguente esegue i primi sei passaggi dell'esecuzione della versione binaria dell'analizzatore client. Al termine, il file binario dell'analizzatore client XMDE è disponibile dalla /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer directory.

1. Creare un file InstallXMDEClientAnalyzer.sh bash e incollarvi il contenuto seguente.

   #! /usr/bin/bash
   
   echo "Starting Client Analyzer Script. Running As:"
   whoami
   
   echo "Getting XMDEClientAnalyzerBinary"
   wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://go.microsoft.com/fwlink/?linkid=2297517
   echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c
   
   echo "Unzipping XMDEClientAnalyzerBinary.zip"
   unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary
   
   echo "Unzipping SupportToolLinuxBinary.zip"
   unzip -q /tmp/XMDEClientAnalyzerBinary/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
   
   echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
   
   

Script di installazione dell'analizzatore client Python

Lo script seguente esegue i primi sei passaggi dell'esecuzione della versione Python dell'analizzatore client. Al termine, gli script Python dell'analizzatore client XMDE sono disponibili dalla /tmp/XMDEClientAnalyzer directory.

1. Creare un file InstallXMDEClientAnalyzer.sh bash e incollarvi il contenuto seguente.

   #! /usr/bin/bash
   
   echo "Starting Client Analyzer Install Script. Running As:"
   whoami
   
   echo "Getting XMDEClientAnalyzer.zip"
   wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer 
   echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c  
   
   echo "Unzipping XMDEClientAnalyzer.zip"
   unzip -q XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer  
   
   echo "Setting execute permissions on mde_support_tool.sh script"
   cd /tmp/XMDEClientAnalyzer 
   chmod a+x mde_support_tool.sh  
   
   echo "Performing final support tool setup"
   ./mde_support_tool.sh
   
   

Eseguire gli script di installazione dell'analizzatore client

1. Avviare una sessione live response nel computer da analizzare.

2. Selezionare Carica file nella raccolta.

3. Selezionare Scegli file.

4. Selezionare il file scaricato denominato InstallXMDEClientAnalyzer.she quindi selezionare Conferma.

5. Mentre si è ancora nella sessione LiveResponse, usare i comandi seguenti per installare l'analizzatore:

   run InstallXMDEClientAnalyzer.sh
   

Eseguire l'analizzatore client XMDE

La risposta dinamica non supporta l'esecuzione diretta di XMDE Client Analyzer o Python, pertanto è necessario uno script di esecuzione.

Importante

Gli script seguenti presuppongono che XMDE Client Analyzer sia stato installato usando le stesse posizioni degli script indicati in precedenza. Se l'organizzazione ha scelto di installare gli script in un percorso diverso, gli script devono essere aggiornati per allinearsi al percorso di installazione scelto dall'organizzazione.

Script di esecuzione dell'analizzatore client binario

La versione binaria dell'analizzatore client accetta parametri della riga di comando per eseguire diversi test di analisi. Per fornire funzionalità simili durante la risposta in tempo reale, lo script di esecuzione sfrutta la $@ variabile bash per passare tutti i parametri di input forniti allo script all'analizzatore client XMDE.

1. Creare un file MDESupportTool.sh bash e incollarvi il contenuto seguente.

   #! /usr/bin/bash
   
   echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
   cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
   
   echo "Running MDESupportTool"
   ./MDESupportTool $@
   
   

Script di esecuzione dell'analizzatore client Python

La versione Python dell'analizzatore client accetta parametri della riga di comando per eseguire diversi test di analisi. Per fornire funzionalità simili durante la risposta in tempo reale, lo script di esecuzione sfrutta la $@ variabile bash per passare tutti i parametri di input forniti allo script all'analizzatore client XMDE.

1. Creare un file MDESupportTool.sh bash e incollarvi il contenuto seguente.

   #! /usr/bin/bash  
   
   echo "cd /tmp/XMDEClientAnalyzer"
   cd /tmp/XMDEClientAnalyzer 
   
   echo "Running mde_support_tool"
   ./mde_support_tool.sh $@
   
   

Eseguire lo script dell'analizzatore client

Nota

Se si dispone di una sessione di risposta dinamica attiva, è possibile ignorare il passaggio 1.

1. Avviare una sessione live response nel computer da analizzare.

2. Selezionare Carica file nella raccolta.

3. Selezionare Scegli file.

4. Selezionare il file scaricato denominato MDESupportTool.she quindi selezionare Conferma.

5. Mentre si è ancora nella sessione di risposta dinamica, usare i comandi seguenti per eseguire l'analizzatore e raccogliere il file risultante:

   run MDESupportTool.sh -parameters "--bypass-disclaimer -d"
   GetFile "/tmp/your_archive_file_name_here.zip"
   

Raccogliere Microsoft Defender per endpoint log di supporto in locale

In questa sezione vengono fornite istruzioni su come eseguire lo strumento in locale nei computer Linux.

Eseguire la versione binaria dell'analizzatore client

Riepilogo

1. Ottenere da https://go.microsoft.com/fwlink/?linkid=2297517. In alternativa, se il server Linux dispone dell'accesso a Internet, usare wget per scaricare il file:

   wget --quiet -O XMDEClientAnalyzerBinary.zip https://go.microsoft.com/fwlink/?linkid=2297517
   

2. Decomprimere il file scaricato e quindi decomprimere nuovamente il SupportToolLinuxBinary.zip

   unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary
   

3. Eseguire il file binario

   sudo ./MDESupportTool -d --mdatp-log debug
   

4. Seguire le istruzioni visualizzate e quindi eseguire il completamento alla fine della raccolta di log, i log si troveranno nella /tmp directory.

5. Il set di log sarà di proprietà dell'utente radice, quindi potrebbero essere necessari privilegi radice per rimuovere il set di log.

6. Caricare il file per il tecnico del supporto tecnico.

Dettagli

1. Scaricare lo strumento XMDE Client Analyzer Binary nel computer Linux che è necessario analizzare.

   Se si usa un terminale, scaricare lo strumento immettendo il comando seguente:

   wget --quiet -O XMDEClientAnalyzerBinary.zip https://go.microsoft.com/fwlink/?linkid=2297517
   

2. Verificare il download.

   echo '2A9BF0A6183831BE43C7BCB7917A40D772D226301B4CDA8EE4F258D00B6E4E97 XMDEClientAnalyzerBinary.zip' | sha256sum -c
   

3. Estrarre il contenuto di XMDEClientAnalyzerBinary.zip nel computer.

   Se si usa un terminale, estrarre i file immettendo il comando seguente:

   unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary
   

4. Passare alla directory dello strumento immettendo il comando seguente:

   cd XMDEClientAnalyzerBinary
   

5. Vengono prodotti due nuovi file ZIP:

   • SupportToolLinuxBinary.zip: per tutti i dispositivi Linux
   • SupportToolMacOSBinary.zip: per i dispositivi Mac, ignorare questo.

6. Decomprimere il SupportToolLinuxBinary.zip per il computer Linux da analizzare.

    unzip -q SupportToolLinuxBinary.zip 
   

7. Eseguire lo strumento come radice per generare il pacchetto di diagnostica:

   sudo ./MDESupportTool -d
   

Eseguire l'analizzatore client basato su Python

Nota

• L'analizzatore dipende da alcuni pacchetti PIP aggiuntivi (decorator, sh, distro, lxmle psutil) installati nel sistema operativo quando sono nella radice per produrre l'output dei risultati. Se non è installato, l'analizzatore tenta di recuperarlo dal repository ufficiale per i pacchetti Python.
• Inoltre, lo strumento richiede attualmente l'installazione di Python versione 3 o successiva nel dispositivo.
• Se il dispositivo si trova dietro un proxy, è sufficiente passare il server proxy come variabile di ambiente allo mde_support_tool.sh script. Ad esempio: https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh".

Avviso

L'esecuzione dell'analizzatore client basato su Python richiede l'installazione di pacchetti PIP che potrebbero causare alcuni problemi nell'ambiente. Per evitare che si verifichino problemi, è consigliabile installare i pacchetti in un ambiente PIP utente.

1. Scaricare lo strumento Analizzatore client XMDE nel computer Linux che è necessario analizzare.

   Se si usa un terminale, scaricare lo strumento eseguendo il comando seguente:

   wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer
   

2. Verificare il download.

   echo '84C9718FF3D29DA0EEE650FB2FC0625549A05CD1228AC253DBB92C8B1D9F1D11 XMDEClientAnalyzer.zip' | sha256sum -c
   

3. Estrarre il contenuto di XMDEClientAnalyzer.zip nel computer.

   Se si usa un terminale, estrarre i file usando il comando seguente:

   unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzer
   

4. Modificare la directory nel percorso estratto.

   cd XMDEClientAnalyzer
   

5. Concedere all'eseguibile dello strumento l'autorizzazione:

   chmod a+x mde_support_tool.sh
   

6. Eseguire come utente nonroot per installare le dipendenze necessarie:

   ./mde_support_tool.sh
   

7. Per raccogliere il pacchetto di diagnostica effettivo e generare il file di archivio dei risultati, eseguire di nuovo come radice:

   sudo ./mde_support_tool.sh -d
   

Opzioni della riga di comando

Righe di comando primarie

Usare il comando seguente per ottenere la diagnostica del computer.

-h, --help            show this help message and exit
--output OUTPUT, -o OUTPUT
                      Output path to export report
--outdir OUTDIR       Directory where diagnostics file will be generated
--no-zip, -nz         If set a directory will be created instead of an archive file
--force, -f           Will overwrite if output directory exists
--diagnostic, -d      Collect extensive machine diagnostic information
--bypass-disclaimer   Do not display disclaimer banner
--interactive, -i     Interactive diagnostic
--delay DELAY, -dd DELAY
                      Set MDATP log level. If you use interactive or delay mode, the log level will set to debug automatically, and reset after 48h.
--mdatp-log {info,debug,verbose,error,trace,warning}
                      Set MDATP log level
--max-log-size MAX_LOG_SIZE
                      Maximum log file size in MB before rotating(Will restart mdatp)

Esempio di utilizzo: sudo ./MDESupportTool -d

Nota

La funzionalità di autoreset a livello di log è disponibile solo nella versione client 2405 o successiva.

Argomenti posizionale

Raccogliere informazioni sulle prestazioni

Raccogliere un'ampia traccia delle prestazioni del computer per l'analisi di uno scenario di prestazioni che può essere riprodotto su richiesta.

-h, --help            show this help message and exit
--frequency FREQUENCY
                      profile at this frequency
--length LENGTH       length of time to collect (in seconds)

Esempio di utilizzo: sudo ./MDESupportTool performance --frequency 2

Modalità di esclusione

Aggiungere esclusioni per il monitoraggio controllato.

Nota

Questa funzionalità esiste solo per Linux.

  -h, --help            show this help message and exit
  -e <executable>, --exe <executable>
                        exclude by executable name, i.e: bash
  -p <process id>, --pid <process id>
                        exclude by process id, i.e: 911
  -d <directory>, --dir <directory>
                        exclude by target path, i.e: /var/foo/bar
  -x <executable> <directory>, --exe_dir <executable> <directory>
                        exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
  -q <q_size>, --queue <q_size>
                        set dispatcher q_depth size
  -r, --remove          remove exclusion file
  -s, --stat            get statistics about common executables
  -l, --list            list auditd rules
  -o, --override        Override the existing auditd exclusion rules file for mdatp
  -c <syscall number>, --syscall <syscall number>
                        exclude all process of the given syscall

Esempio di utilizzo: sudo ./MDESupportTool exclude -d /var/foo/bar

Limite di frequenza auditD

Sintassi che può essere usata per limitare il numero di eventi segnalati dal plug-in auditD. Questa opzione imposta il limite di frequenza a livello globale per AuditD causando un calo di tutti gli eventi di controllo. Quando il limitatore è abilitato, il numero di eventi controllati è limitato a 2500 eventi al secondo. Questa opzione può essere usata nei casi in cui viene visualizzato un utilizzo elevato della CPU dal lato AuditD.

Nota

Questa funzionalità esiste solo per Linux.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the rate limit with default values

Esempio di utilizzo: sudo ./mde_support_tool.sh ratelimit -e true

Nota

Questa funzionalità deve essere usata con attenzione in quanto limita il numero di eventi segnalati dal sottosistema controllato nel suo complesso. Ciò potrebbe ridurre anche il numero di eventi per altri sottoscrittori.

Regole di errore ignorate auditD

Questa opzione consente di ignorare le regole non valide aggiunte nel file delle regole controllate durante il caricamento. Questa opzione consente al sottosistema controllato di continuare a caricare le regole anche se è presente una regola difettosa. Questa opzione riepiloga i risultati del caricamento delle regole. In background, questa opzione esegue auditctl con l'opzione -c.

Nota

Questa funzionalità è disponibile solo in Linux.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.

Esempio di utilizzo: sudo ./mde_support_tool.sh skipfaultyrules -e true

Nota

Questa funzionalità ignora le regole difettose. La regola difettosa deve quindi essere ulteriormente identificata e corretta.

Contenuto del pacchetto dei risultati in Linux

File	Descrizione
report.html	File di output HTML principale che contiene i risultati e le indicazioni dell'esecuzione dello strumento analizzatore client nel dispositivo. Questo file viene generato solo quando si esegue la versione basata su Python dello strumento analizzatore client.
mde_diagnostic.zip	Stesso output di diagnostica generato durante l'esecuzione di mdatp diagnostic create in Linux.
mde.xml	Output XML generato durante l'esecuzione e usato per compilare il file di report HTML.
Processes_information.txt	Contiene i dettagli dei processi correlati Microsoft Defender per endpoint in esecuzione nel sistema.
Log.txt	Contiene gli stessi messaggi di log scritti sullo schermo durante la raccolta dei dati.
Health.txt	Lo stesso output di integrità di base visualizzato durante l'esecuzione del comando di integrità mdatp .
Events.xml	Un altro file XML usato dall'analizzatore durante la compilazione del report HTML.
Audited_info.txt	Dettagli sul servizio controllato e sui componenti correlati per il sistema operativo Linux .
perf_benchmark.tar.gz	Report di test delle prestazioni. Questo file viene visualizzato solo se si usa il parametro delle prestazioni.

Vedere anche

• Panoramica dell'analizzatore client

• Scaricare ed eseguire l'analizzatore client

• Eseguire l'analizzatore client in Windows

• Eseguire l'analizzatore client in macOS o Linux

• Raccolta di dati per la risoluzione avanzata dei problemi in Windows

• Informazioni sui report HTML dell'analizzatore

Documenti sulla risoluzione dei problemi di Defender per endpoint in Linux

• Risolvere i problemi di installazione per Microsoft Defender per endpoint in Linux

• Esaminare i problemi di integrità dell'agente

• Risolvere i problemi di connettività cloud per Microsoft Defender per endpoint in Linux

• Risolvere i problemi di prestazioni per Microsoft Defender per endpoint in Linux

• Risolvere i problemi di avvisi o eventi mancanti per Microsoft Defender per endpoint in Linux

• Indirizzare i falsi positivi/negativi in Microsoft Defender per Endpoint

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.