次の方法で共有

Linux でクライアント アナライザーを実行する

  • [アーティクル]

適用対象:

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

Linux 上の Defender for Endpoint で信頼性またはデバイスの正常性の問題が発生し、サポートに問い合わせる場合は、Microsoft Defender for Endpoint Client Analyzer ツールの出力パッケージを提供するように求められる場合があります。 この記事では、クライアント アナライザー ツールをデバイス上でローカルに使用する方法、またはライブ応答と共に使用する方法について説明します。 どちらの場合も、Python ベースのソリューションまたは外部 Python 依存関係のないバイナリ バージョンを使用できます。

Defender for Endpoint でライブ応答を使用してサポート ログを収集する

XMDE クライアント アナライザー ツールは、Linux マシンで抽出および実行できる バイナリ または Python パッケージとしてダウンロードできます。 XMDE クライアント アナライザーの両方のバージョンは、ライブ応答セッション中に実行できます。

  • インストールには、 unzip パッケージが必要です。
  • 実行するには、 acl パッケージが必要です。

重要

ウィンドウは、ファイル内の 1 行の終わりと新しい行の先頭を表すためにキャリッジ リターン文字と改行非表示文字を使用しますが、Linux システムでは、ファイル行の末尾に表示されない文字のみが使用されます。 次のスクリプトを使用する場合、Windows で実行した場合、この違いにより、スクリプトのエラーとエラーが発生する可能性があります。 これに対する潜在的な解決策は、Linux 用 Windows サブシステムとdos2unix パッケージを利用してスクリプトを再フォーマットし、Unix および Linux 形式の標準に合わせて調整することです。

XMDE クライアント アナライザーをインストールする

XMDE クライアント アナライザーをダウンロードして抽出します。 バイナリバージョンまたは Python バージョンを次のように使用できます。

ライブ応答で使用できるコマンドは限られているため、詳細な手順は bash スクリプトで実行する必要があります。 これらのコマンドのインストールと実行の部分を分割することで、インストール スクリプトを 1 回実行し、実行スクリプトを複数回実行できます。

重要

このスクリプトの例では、マシンが直接インターネットにアクセスでき、Microsoft から XMDE クライアント アナライザーを取得できることを前提としています。 コンピューターに直接インターネット アクセスがない場合は、インストール スクリプトを更新して、マシンが正常にアクセスできる場所から XMDE クライアント アナライザーをフェッチする必要があります。

バイナリ クライアント アナライザーのインストール スクリプト

次のスクリプトでは、 クライアント アナライザーのバイナリ バージョンの実行に関する最初の 6 つの手順を実行します。 完了すると、XMDE クライアント アナライザー バイナリは、 /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer ディレクトリから使用できます。

  1. InstallXMDEClientAnalyzer.sh bash ファイルを作成し、次の内容を貼り付けます。

    #! /usr/bin/bash

echo "Starting Client Analyzer Script. Running As:"
whoami

echo "Getting XMDEClientAnalyzerBinary"
wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://go.microsoft.com/fwlink/?linkid=2297517
echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c

echo "Unzipping XMDEClientAnalyzerBinary.zip"
unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary

echo "Unzipping SupportToolLinuxBinary.zip"
unzip -q /tmp/XMDEClientAnalyzerBinary/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer

echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"

Python クライアント アナライザーのインストール スクリプト

次のスクリプトでは、 Python バージョンの Client Analyzer の実行に関する最初の 6 つの手順を実行します。 完了すると、XMDE Client Analyzer Python スクリプトは、 /tmp/XMDEClientAnalyzer ディレクトリから使用できます。

  1. InstallXMDEClientAnalyzer.sh bash ファイルを作成し、次の内容を貼り付けます。

    #! /usr/bin/bash

echo "Starting Client Analyzer Install Script. Running As:"
whoami

echo "Getting XMDEClientAnalyzer.zip"
wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer 
echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c  

echo "Unzipping XMDEClientAnalyzer.zip"
unzip -q XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer  

echo "Setting execute permissions on mde_support_tool.sh script"
cd /tmp/XMDEClientAnalyzer 
chmod a+x mde_support_tool.sh  

echo "Performing final support tool setup"
./mde_support_tool.sh

クライアント アナライザーのインストール スクリプトを実行する

  1. 調査するマシンで ライブ応答セッション を開始します。

  2. [ ファイルをライブラリにアップロード] を選択します

  3. [ ファイルの選択] を選択します

  4. InstallXMDEClientAnalyzer.shという名前のダウンロードしたファイルを選択し、[確認] を選択します

  5. LiveResponse セッションでは引き続き、次のコマンドを使用してアナライザーをインストールします。

    run InstallXMDEClientAnalyzer.sh

XMDE クライアント アナライザーを実行する

ライブ応答では XMDE クライアント アナライザーまたは Python の直接実行はサポートされていないため、実行スクリプトが必要です。

重要

次のスクリプトでは、前に説明したスクリプトと同じ場所を使用して XMDE クライアント アナライザーがインストールされていることを前提としています。 organizationがスクリプトを別の場所にインストールすることを選択した場合は、organizationが選択したインストール場所に合わせてスクリプトを更新する必要があります。

バイナリ クライアント アナライザーの実行スクリプト

クライアント アナライザーのバイナリ バージョンでは、コマンド ライン パラメーターを使用してさまざまな分析テストを実行できます。 ライブ応答中に同様の機能を提供するために、実行スクリプトは $@ bash 変数を利用して、スクリプトに指定されたすべての入力パラメーターを XMDE クライアント アナライザーに渡します。

  1. MDESupportTool.sh bash ファイルを作成し、次の内容を貼り付けます。

    #! /usr/bin/bash

echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer

echo "Running MDESupportTool"
./MDESupportTool $@

Python クライアント アナライザーの実行スクリプト

クライアント アナライザーの Python バージョンでは、コマンド ライン パラメーターを受け入れて、さまざまな分析テストを実行できます。 ライブ応答中に同様の機能を提供するために、実行スクリプトは $@ bash 変数を利用して、スクリプトに指定されたすべての入力パラメーターを XMDE クライアント アナライザーに渡します。

  1. MDESupportTool.sh bash ファイルを作成し、次の内容を貼り付けます。

    #! /usr/bin/bash  

echo "cd /tmp/XMDEClientAnalyzer"
cd /tmp/XMDEClientAnalyzer 

echo "Running mde_support_tool"
./mde_support_tool.sh $@

クライアント アナライザー スクリプトを実行する

注:

アクティブなライブ応答セッションがある場合は、手順 1 をスキップできます。

  1. 調査するマシンで ライブ応答セッション を開始します。

  2. [ ファイルをライブラリにアップロード] を選択します

  3. [ ファイルの選択] を選択します

  4. MDESupportTool.shという名前のダウンロードしたファイルを選択し、[確認] を選択します

  5. ライブ応答セッション中は、次のコマンドを使用してアナライザーを実行し、結果のファイルを収集します。

    run MDESupportTool.sh -parameters "--bypass-disclaimer -d"
GetFile "/tmp/your_archive_file_name_here.zip"

サポート ログMicrosoft Defender for Endpointローカルで収集する

このセクションでは、Linux マシンでツールをローカルで実行する方法について説明します。

クライアント アナライザーのバイナリ バージョンを実行する

概要

  1. https://go.microsoft.com/fwlink/?linkid=2297517から取得します。 または、Linux サーバーにインターネット アクセスがある場合は、 wget を使用してファイルをダウンロードします。

    wget --quiet -O XMDEClientAnalyzerBinary.zip https://go.microsoft.com/fwlink/?linkid=2297517

  2. ダウンロードしたファイルを解凍し、抽出されたファイルの SupportToolLinuxBinary.zip をもう一度解凍します。

    unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary

  3. バイナリを実行する

    sudo ./MDESupportTool -d --mdatp-log debug

  4. 画面の指示に従い、ログコレクションの最後にをフォローアップすると、ログは /tmp ディレクトリに配置されます。

  5. ログ セットはルート ユーザーによって所有されるため、ログ セットを削除するためにルート特権が必要になる場合があります。

  6. サポート エンジニアのファイルをアップロードします。

詳細

  1. 調査する必要がある Linux マシンに XMDE クライアント アナライザー バイナリ ツールをダウンロードします。

    ターミナルを使用している場合は、次のコマンドを入力してツールをダウンロードします。

    wget --quiet -O XMDEClientAnalyzerBinary.zip https://go.microsoft.com/fwlink/?linkid=2297517

  2. ダウンロードを確認します。

    echo '2A9BF0A6183831BE43C7BCB7917A40D772D226301B4CDA8EE4F258D00B6E4E97 XMDEClientAnalyzerBinary.zip' | sha256sum -c

  3. マシン上の XMDEClientAnalyzerBinary.zip の内容を抽出します。

    ターミナルを使用している場合は、次のコマンドを入力してファイルを抽出します。

    unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary

  4. 次のコマンドを入力して、ツールのディレクトリに移動します。

    cd XMDEClientAnalyzerBinary

  5. 2 つの新しい zip ファイルが生成されます。

    • SupportToolLinuxBinary.zip: すべての Linux デバイスの場合
    • SupportToolMacOSBinary.zip: Mac デバイスの場合は、このデバイスを無視します。

  6. 調査する Linux マシンの SupportToolLinuxBinary.zip を解凍します。

     unzip -q SupportToolLinuxBinary.zip

  7. ルートとしてツールを実行して診断パッケージを生成します。

    sudo ./MDESupportTool -d

Python ベースのクライアント アナライザーを実行する

注:

  • アナライザーは、結果の出力を生成するために、オペレーティング システムにインストールされているいくつかの追加の PIP パッケージ (decoratorshdistrolxml、および psutil) に依存します。 インストールされていない場合、アナライザーは Python パッケージの公式リポジトリからフェッチしようとします。
  • さらに、このツールでは現在、Python バージョン 3 以降をデバイスにインストールする必要があります。
  • デバイスがプロキシの背後にある場合は、プロキシ サーバーを環境変数として mde_support_tool.sh スクリプトに渡すだけです。 例: https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh"

警告

Python ベースのクライアント アナライザーを実行するには、PIP パッケージをインストールする必要があります。これは、環境内で問題が発生する可能性があります。 問題が発生しないように、パッケージをユーザー PIP 環境にインストールすることをお勧めします。

  1. 調査する必要がある Linux マシンに XMDE クライアント アナライザー ツールをダウンロードします。

    ターミナルを使用している場合は、次のコマンドを実行してツールをダウンロードします。

    wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer

  2. ダウンロードを確認します。

    echo '84C9718FF3D29DA0EEE650FB2FC0625549A05CD1228AC253DBB92C8B1D9F1D11 XMDEClientAnalyzer.zip' | sha256sum -c

  3. マシン上の XMDEClientAnalyzer.zip の内容を抽出します。

    ターミナルを使用している場合は、次のコマンドを使用してファイルを抽出します。

    unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzer

  4. ディレクトリを抽出された場所に変更します。

    cd XMDEClientAnalyzer

  5. ツールの実行可能なアクセス許可を付与します。

    chmod a+x mde_support_tool.sh

  6. 必要な依存関係をインストールするには、非ルート ユーザーとしてを実行します。

    ./mde_support_tool.sh

  7. 実際の診断パッケージを収集し、結果アーカイブ ファイルを生成するには、ルートとしてもう一度実行します。

    sudo ./mde_support_tool.sh -d

コマンド ライン オプション

プライマリ コマンド ライン

次のコマンドを使用して、マシン診断を取得します。

-h, --help            show this help message and exit
--output OUTPUT, -o OUTPUT
                      Output path to export report
--outdir OUTDIR       Directory where diagnostics file will be generated
--no-zip, -nz         If set a directory will be created instead of an archive file
--force, -f           Will overwrite if output directory exists
--diagnostic, -d      Collect extensive machine diagnostic information
--bypass-disclaimer   Do not display disclaimer banner
--interactive, -i     Interactive diagnostic
--delay DELAY, -dd DELAY
                      Set MDATP log level. If you use interactive or delay mode, the log level will set to debug automatically, and reset after 48h.
--mdatp-log {info,debug,verbose,error,trace,warning}
                      Set MDATP log level
--max-log-size MAX_LOG_SIZE
                      Maximum log file size in MB before rotating(Will restart mdatp)

使用例: sudo ./MDESupportTool -d

注:

ログ レベルの自動設定機能は、2405 以降のクライアント バージョンでのみ使用できます。

位置指定引数

パフォーマンス情報を収集する

必要に応じて再現できるパフォーマンス シナリオの分析のために、広範なマシン パフォーマンス トレースを収集します。

-h, --help            show this help message and exit
--frequency FREQUENCY
                      profile at this frequency
--length LENGTH       length of time to collect (in seconds)

使用例: sudo ./MDESupportTool performance --frequency 2

除外モード

監査監視の除外を追加します。

注:

この機能は Linux 専用です。

  -h, --help            show this help message and exit
  -e <executable>, --exe <executable>
                        exclude by executable name, i.e: bash
  -p <process id>, --pid <process id>
                        exclude by process id, i.e: 911
  -d <directory>, --dir <directory>
                        exclude by target path, i.e: /var/foo/bar
  -x <executable> <directory>, --exe_dir <executable> <directory>
                        exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
  -q <q_size>, --queue <q_size>
                        set dispatcher q_depth size
  -r, --remove          remove exclusion file
  -s, --stat            get statistics about common executables
  -l, --list            list auditd rules
  -o, --override        Override the existing auditd exclusion rules file for mdatp
  -c <syscall number>, --syscall <syscall number>
                        exclude all process of the given syscall

使用例: sudo ./MDESupportTool exclude -d /var/foo/bar

AuditD レートリミッター

auditD プラグインによって報告されるイベントの数を制限するために使用できる構文。 このオプションでは、AuditD のレート制限がグローバルに設定され、すべての監査イベントが低下します。 リミッターが有効になっている場合、監査されたイベントの数は 2500 イベント/秒に制限されます。このオプションは、AuditD 側から CPU 使用率が高い場合に使用できます。

注:

この機能は Linux 専用です。

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the rate limit with default values

使用例: sudo ./mde_support_tool.sh ratelimit -e true

注:

この機能は、監査されたサブシステム全体によって報告されるイベントの数を制限するために慎重に使用する必要があります。 これにより、他のサブスクライバーのイベントの数も減る可能性があります。

AuditD skip faulty rules

このオプションを使用すると、監査されたルール ファイルに追加されたエラーのあるルールを読み込み中にスキップできます。 このオプションを使用すると、障害のあるルールがある場合でも、監査済みサブシステムでルールの読み込みを続行できます。 このオプションは、ルールの読み込みの結果をまとめたものです。 バックグラウンドでは、このオプションは -c オプションを使用して auditctl を実行します。

注:

この機能は Linux でのみ使用できます。

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.

使用例: sudo ./mde_support_tool.sh skipfaultyrules -e true

注:

この機能は、障害のあるルールをスキップします。 その後、障害のあるルールをさらに特定して修正する必要があります。

Linux 上の結果パッケージの内容

ファイル 説明
report.html デバイスでクライアント アナライザー ツールを実行した結果とガイダンスを含むメイン HTML 出力ファイル。 このファイルは、Python ベースのバージョンのクライアント アナライザー ツールを実行している場合にのみ生成されます。
mde_diagnostic.zip Linuxmdatp 診断の作成時に生成されるのと同じ診断出力。
mde.xml 実行中に生成され、HTML レポート ファイルの作成に使用される XML 出力。
Processes_information.txt システム上で実行中のMicrosoft Defender for Endpoint関連プロセスの詳細が含まれます。
Log.txt データ収集中に画面に書き込まれたのと同じログ メッセージが含まれます。
Health.txt mdatp 正常性コマンドの実行時に表示されるのと同じ基本的な正常性出力。
Events.xml HTML レポートの作成時にアナライザーによって使用される別の XML ファイル。
Audited_info.txt Linux OS の監査済みサービスおよび関連コンポーネントの詳細。
perf_benchmark.tar.gz パフォーマンス テストレポート。 このファイルは、パフォーマンス パラメーターを使用している場合にのみ表示されます。

関連項目

Defender for Endpoint on Linux のトラブルシューティング ドキュメント

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。