ライブ応答を使用してMicrosoft Defender for Endpointでサポート ログを収集する
適用対象:
Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。
サポートに問い合わせるときに、Microsoft Defender for Endpoint Client Analyzer ツールの出力パッケージを提供するように求められる場合があります。
この記事では、Windows および Linux マシンで Live Response を使用してツールを実行する方法について説明します。
Windows
Microsoft Defender for Endpoint Client Analyzer の Tools サブディレクトリ内から使用できる必要なスクリプトをダウンロードしてフェッチします。
たとえば、基本的なセンサーとデバイスの正常性ログを取得するには、
..\Tools\MDELiveAnalyzer.ps1
をフェッチします。- Microsoft Defenderウイルス対策に関連する追加のログが必要な場合は、
..\Tools\MDELiveAnalyzerAV.ps1
を使用します。 -
Microsoft Endpoint Data Loss Prevention 関連のログが必要な場合は、
..\Tools\MDELiveAnalyzerDLP.ps1
を使用します。 - ネットワークと Windows フィルター プラットフォーム に関連するログが必要な場合は、
..\Tools\MDELiveAnalyzerNet.ps1
を使用します。 -
プロセス モニター ログが必要な場合は、
..\Tools\MDELiveAnalyzerDLP.ps1
を使用します。
- Microsoft Defenderウイルス対策に関連する追加のログが必要な場合は、
調査する必要があるマシンで ライブ応答セッション を開始します。
[ ファイルをライブラリにアップロード] を選択します。
[ ファイルの選択] を選択します。
MDELiveAnalyzer.ps1
という名前のダウンロードしたファイルを選択し、[確認] を選択します。MDEClientAnalyzerPreview.zip
ファイルに対してこの手順を繰り返します。LiveResponse セッションでは引き続き、次のコマンドを使用してアナライザーを実行し、結果のファイルを収集します。
Putfile MDEClientAnalyzerPreview.zip Run MDELiveAnalyzer.ps1 GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDECA\MDEClientAnalyzerResult.zip"
追加情報
MDEClientAnalyzer の最新のプレビュー バージョンは、 https://aka.ms/Betamdeanalyzerからダウンロードできます。
マシンが上記の URL に到達できない場合は、LiveAnalyzer スクリプトを実行する前に
MDEClientAnalyzerPreview.zip
ファイルをライブラリにアップロードします。PutFile MDEClientAnalyzerPreview.zip -overwrite Run MDELiveAnalyzer.ps1 GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDECA\MDEClientAnalyzerResult.zip"
マシンがクラウド サービスと通信していない場合、または期待どおりにポータルに表示されない場合Microsoft Defender for Endpoint、コンピューター Microsoft Defender for Endpoint上でデータをローカルに収集する方法の詳細については、「クライアント接続の確認」を参照してください。サービス URL をMicrosoft Defender for Endpointします。
「ライブ応答コマンドの例」で説明されているように、コマンドの最後に
&
記号を使用して、バックグラウンド アクションとしてログを収集できます。Run MDELiveAnalyzer.ps1&
Linux
XMDE クライアント アナライザー ツールは、Linux マシンで抽出および実行できる バイナリ または Python パッケージとしてダウンロードできます。 XMDE クライアント アナライザーの両方のバージョンは、ライブ応答セッション中に実行できます。
前提条件
インストールには、
unzip
パッケージが必要です。実行するには、
acl
パッケージが必要です。
重要
ウィンドウは、ファイル内の 1 行の終わりと新しい行の先頭を表すためにキャリッジ リターン文字と改行非表示文字を使用しますが、Linux システムでは、ファイル行の末尾に表示されない文字のみが使用されます。 次のスクリプトを使用する場合、Windows で実行した場合、この違いにより、スクリプトのエラーとエラーが発生する可能性があります。 これに対する潜在的な解決策は、Linux 用 Windows サブシステムとdos2unix
パッケージを利用してスクリプトを再フォーマットし、Unix および Linux 形式の標準に合わせて調整することです。
XMDE クライアント アナライザーのインストール
XMDE クライアント アナライザー、バイナリ、Python の両方のバージョン、実行前にダウンロードして抽出する必要がある自己完結型パッケージ、およびこのプロセスの完全な手順のセットを確認できます。
Live Response で使用できるコマンドが限られているため、詳細な手順は bash スクリプトで実行する必要があります。これらのコマンドのインストールと実行部分を分割することで、実行スクリプトを複数回実行しながら、インストール スクリプトを 1 回実行できます。
重要
このスクリプトの例では、マシンが直接インターネットにアクセスでき、Microsoft から XMDE クライアント アナライザーを取得できることを前提としています。 コンピューターに直接インターネット にアクセスできない場合は、インストール スクリプトを更新して、マシンが正常にアクセスできる場所から XMDE クライアント アナライザーをフェッチする必要があります。
Binary Client Analyzer のインストール スクリプト
次のスクリプトでは、 クライアント アナライザーのバイナリ バージョンの実行に関する最初の 6 つの手順を実行します。 完了すると、XMDE クライアント アナライザー バイナリは、 /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
ディレクトリから使用できます。
InstallXMDEClientAnalyzer.sh
bash ファイルを作成し、次の内容を貼り付けます。#! /usr/bin/bash echo "Starting Client Analyzer Script. Running As:" whoami echo "Getting XMDEClientAnalyzerBinary" wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c echo "Unzipping XMDEClientAnalyzerBinary.zip" unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary echo "Unzipping SupportToolLinuxBinary.zip" unzip -q /tmp/XMDEClientAnalyzerBinary/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
Python クライアント アナライザー のインストール スクリプト
次のスクリプトでは、 Python バージョンの Client Analyzer の実行に関する最初の 6 つの手順を実行します。 完了すると、XMDE Client Analyzer Python スクリプトは、 /tmp/XMDEClientAnalyzer
ディレクトリから使用できます。
InstallXMDEClientAnalyzer.sh
bash ファイルを作成し、次の内容を貼り付けます。#! /usr/bin/bash echo "Starting Client Analyzer Install Script. Running As:" whoami echo "Getting XMDEClientAnalyzer.zip" wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c echo "Unzipping XMDEClientAnalyzer.zip" unzip -q XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer echo "Setting execute permissions on mde_support_tool.sh script" cd /tmp/XMDEClientAnalyzer chmod a+x mde_support_tool.sh echo "Performing final support tool setup" ./mde_support_tool.sh
クライアント アナライザーのインストール スクリプトの実行
調査する必要があるマシンで ライブ応答セッション を開始します。
[ ファイルをライブラリにアップロード] を選択します。
[ ファイルの選択] を選択します。
InstallXMDEClientAnalyzer.sh
という名前のダウンロードしたファイルを選択し、[確認] を選択します。LiveResponse セッションでは引き続き、次のコマンドを使用してアナライザーをインストールします。
run InstallXMDEClientAnalyzer.sh
XMDE クライアント アナライザーの実行
Live Response では XMDE クライアント アナライザーまたは Python の直接実行はサポートされていないため、実行スクリプトが必要です。
重要
次のスクリプトでは、前に説明したスクリプトと同じ場所を使用して XMDE クライアント アナライザーがインストールされていることを前提としています。 organizationがスクリプトを別の場所にインストールすることを選択した場合は、organizationが選択したインストール場所に合わせて次のスクリプトを更新する必要があります。
バイナリ クライアント アナライザーの実行スクリプト
バイナリ クライアント アナライザーは、コマンド ライン パラメーターを受け入れて、さまざまな分析テストを実行します。 ライブ応答中に同様の機能を提供するために、実行スクリプトは $@
bash 変数を利用して、スクリプトに指定されたすべての入力パラメーターを XMDE クライアント アナライザーに渡します。
MDESupportTool.sh
bash ファイルを作成し、次の内容を貼り付けます。#! /usr/bin/bash echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer" cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer echo "Running MDESupportTool" ./MDESupportTool $@
Python クライアント アナライザーの実行スクリプト
Python クライアント アナライザーは、コマンド ライン パラメーターを受け入れて、さまざまな分析テストを実行します。 ライブ応答中に同様の機能を提供するために、実行スクリプトは $@
bash 変数を利用して、スクリプトに指定されたすべての入力パラメーターを XMDE クライアント アナライザーに渡します。
MDESupportTool.sh
bash ファイルを作成し、次の内容を貼り付けます。#! /usr/bin/bash echo "cd /tmp/XMDEClientAnalyzer" cd /tmp/XMDEClientAnalyzer echo "Running mde_support_tool" ./mde_support_tool.sh $@
クライアント アナライザー スクリプトの実行
注:
アクティブなライブ応答セッションがある場合は、手順 1 をスキップできます。
調査する必要があるマシンで ライブ応答セッション を開始します。
[ ファイルをライブラリにアップロード] を選択します。
[ ファイルの選択] を選択します。
MDESupportTool.sh
という名前のダウンロードしたファイルを選択し、[確認] を選択します。ライブ応答セッションでは、次のコマンドを使用してアナライザーを実行し、結果のファイルを収集します。
run MDESupportTool.sh -parameters "--bypass-disclaimer -d" GetFile "/tmp/your_archive_file_name_here.zip"
関連項目
- クライアント アナライザーの概要
- クライアント アナライザーのダウンロードと実行
- Windows でのクライアント アナライザーの実行
- macOS または Linux でのクライアント アナライザーの実行
- Windows で高度なトラブルシューティングを行うためのデータ収集
- アナライザー HTML レポートの理解
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。