macOS でクライアント アナライザーを実行する

macOS でMicrosoft Defender for Endpointで信頼性またはデバイスの正常性の問題が発生している場合は、XMDE クライアント アナライザーを使用してこれらの問題を診断できます。 この記事では、クライアント アナライザー ツールを使用する 2 つの方法について説明します。

1. バイナリ バージョンの使用 (外部 Python 依存関係なし)
2. Python ベースのソリューションの使用

クライアント アナライザーのバイナリ バージョンを使用する

1. 調査する必要がある macOS マシンに XMDE クライアント アナライザー バイナリ ツールをダウンロードします。

   ターミナルを使用している場合は、次のコマンドを実行してツールをダウンロードします。

   wget --quiet -O XMDEClientAnalyzerBinary.zip https://go.microsoft.com/fwlink/?linkid=2297517
   

2. ダウンロードを確認します。

   echo '4E96E75B16244BB25BDBF34CBB3EB596BC2E9CE368BC4E532E8AE12DF2A1E19D  XMDEClientAnalyzerBinary.zip' | shasum -a 256 -c
   

3. マシン上の XMDEClientAnalyzerBinary.zip の内容を抽出します。

   ターミナルを使用している場合は、次のコマンドを実行してファイルを抽出します。

   unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary
   

4. 次のコマンドを実行して、ツールのディレクトリに変更します。

   cd XMDEClientAnalyzerBinary
   

5. 次の 2 つの圧縮ファイルが生成されていることに注意してください。

   • SupportToolLinuxBinary.zip: すべての Linux デバイスの場合
   • SupportToolMacOSBinary.zip: Mac デバイスの場合

6. SupportToolMacOSBinary.zip を解凍します。

    unzip -q SupportToolMacOSBinary.zip
   

7. ルートとしてツールを実行して、診断パッケージを生成します。

   sudo ./MDESupportTool -d
   

Python ベースのクライアント アナライザーを使用する

クライアント アナライザーは、結果の出力を生成するために、ルート モードのときにオペレーティング システムにインストールされているいくつかの追加の PIP パッケージ (decorator、 sh、 distro、 lxml、および psutil) に依存します。 インストールされていない場合、アナライザーは Python パッケージの公式リポジトリからフェッチしようとします。

このツールでは現在、Python バージョン 3 以降をデバイスにインストールする必要があります。 デバイスがプロキシの背後にある場合は、プロキシ サーバーを環境変数として mde_support_tool.sh スクリプトに渡すことができます。 例: https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh"。

警告

Python ベースのクライアント アナライザーを実行するには、PIP パッケージをインストールする必要があります。これは、環境内で問題が発生する可能性があります。 問題が発生しないように、パッケージをユーザー PIP 環境にインストールすることをお勧めします。

1. 調査中の Mac コンピューターに XMDE クライアント アナライザー ツールをダウンロードします。

   ターミナルを使用している場合は、次のコマンドを実行してツールをダウンロードします。

   wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer
   

2. ダウンロードを確認します。

   OS	コマンド
   Linux	echo '84C9718FF3D29DA0EEE650FB2FC0625549A05CD1228AC253DBB92C8B1D9F1D11 XMDEClientAnalyzer.zip'| sha256sum -c
   macOS	echo '84C9718FF3D29DA0EEE650FB2FC0625549A05CD1228AC253DBB92C8B1D9F1D11 XMDEClientAnalyzer.zip'| shasum -a 256 -c

3. マシン上の XMDEClientAnalyzer.zip の内容を抽出します。

   ターミナルを使用している場合は、次のコマンドを使用してファイルを抽出します。

   unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzer
   

4. ディレクトリを抽出された場所に変更します。

   cd XMDEClientAnalyzer
   

5. ツールの実行可能なアクセス許可を付与します。

   chmod a+x mde_support_tool.sh
   

6. 必要な依存関係をインストールするには、非ルート ユーザーとしてを実行します。

   ./mde_support_tool.sh
   

7. macOS でファイルをダウンロードすると、自動的に com.apple.quarantine という名前の新しい拡張属性が追加され、Gatekeeper によってスキャンされます。 実行する前に、この拡張属性を削除します。

   xattr -c MDESupportTools
   

   それ以外の場合は、次の警告が表示される場合があります。

   ""MDESupportTool" が開かない場合があります

   Apple は、"MDESupportTool" が Mac に損害を与えたりプライバシーを侵害したりする可能性のあるマルウェアが含まれていないことを確認できませんでした"

8. 実際の診断パッケージを収集し、結果アーカイブ ファイルを生成するには、ルートとしてもう一度実行します。

   sudo ./mde_support_tool.sh -d
   

コマンド ライン オプション

プライマリ コマンド ライン

次のコマンドを使用して、マシン診断を取得します。

-h, --help            show this help message and exit
--output OUTPUT, -o OUTPUT
                      Output path to export report
--outdir OUTDIR       Directory where diagnostics file will be generated
--no-zip, -nz         If set a directory will be created instead of an archive file
--force, -f           Will overwrite if output directory exists
--diagnostic, -d      Collect extensive machine diagnostic information
--bypass-disclaimer   Do not display disclaimer banner
--interactive, -i     Interactive diagnostic
--delay DELAY, -dd DELAY
                      Set MDATP log level. If you use interactive or delay mode, the log level will set to debug automatically, and reset after 48h.
--mdatp-log {info,debug,verbose,error,trace,warning}
                      Set MDATP log level
--max-log-size MAX_LOG_SIZE
                      Maximum log file size in MB before rotating(Will restart mdatp)

使用例: sudo ./MDESupportTool -d

注:

ログ レベルの自動設定機能は、2405 以降のクライアント バージョンでのみ使用できます。

位置指定引数

パフォーマンス情報を収集する

必要に応じて再現できるパフォーマンス シナリオの分析のために、広範なマシン パフォーマンス トレースを収集します。

-h, --help            show this help message and exit
--frequency FREQUENCY
                      profile at this frequency
--length LENGTH       length of time to collect (in seconds)

使用例: sudo ./MDESupportTool performance --frequency 2

OS トレースを使用する (macOS の場合のみ)

OS トレース機能を使用して、Defender for Endpoint パフォーマンス トレースを記録します。

注:

この機能は Python ソリューションにのみ存在します。

-h, --help       show this help message and exit
--length LENGTH  Length of time to record the trace (in seconds).
--mask MASK      Mask to select with event to trace. Defaults to all

このコマンドを初めて実行すると、プロファイル構成がインストールされます。

プロファイルのインストールを承認するには、 Apple サポート ガイドを参照してください。

使用例 ./mde_support_tool.sh trace --length 5

macOS 上の結果パッケージの内容

ファイル	説明
report.html	デバイスでクライアント アナライザー ツールを実行した結果とガイダンスを含むメイン HTML 出力ファイル。 このファイルは、Python ベースのバージョンのクライアント アナライザー ツールを実行している場合にのみ生成されます。
mde_diagnostic.zip	macOS でmdatp diagnostic createを実行するときに生成されるのと同じ診断出力。
mde.xml	実行中に生成され、HTML レポート ファイルの作成に使用される XML 出力。
Processes_information.txt	システム上で実行中のMicrosoft Defender for Endpoint関連プロセスの詳細が含まれます。
Log.txt	データ収集中に画面に書き込まれたのと同じログ メッセージが含まれます。
Health.txt	mdatp 正常性コマンドの実行時に表示されるのと同じ基本的な正常性出力。
Events.xml	HTML レポートの作成時にアナライザーによって使用される別の XML ファイル。
Audited_info.txt	Linux OS の監査済みサービスおよび関連コンポーネントの詳細。
perf_benchmark.tar.gz	パフォーマンス テストレポート。 このファイルは、パフォーマンス パラメーターを使用している場合にのみ表示されます。

関連項目

macOS での Defender for Endpoint のトラブルシューティング

macOS でのMicrosoft Defender for Endpointのトラブルシューティング モード

macOS でのMicrosoft Defender for Endpointのインストールに関する問題のトラブルシューティング

macOS でのMicrosoft Defender for Endpointのライセンスに関する問題のトラブルシューティング

macOS でのMicrosoft Defender for Endpointのシステム拡張機能に関する問題のトラブルシューティング

macOS でのMicrosoft Defender for Endpointのクラウド接続に関する問題のトラブルシューティング

macOS でのMicrosoft Defender for Endpointのパフォーマンスの問題をトラブルシューティングする方法の概要

Microsoft Defender for Endpoint での誤検出/検出漏れに対処する

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。