次の方法で共有


ライブ応答を使用してMicrosoft Defender for Endpointでサポート ログを収集する

適用対象:

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

サポートに問い合わせるときに、Microsoft Defender for Endpoint Client Analyzer ツールの出力パッケージを提供するように求められる場合があります。

この記事では、Windows および Linux マシンで Live Response を使用してツールを実行する方法について説明します。

Windows

  1. Microsoft Defender for Endpoint Client AnalyzerTools サブディレクトリ内から使用できる必要なスクリプトをダウンロードしてフェッチします。

    たとえば、基本的なセンサーとデバイスの正常性ログを取得するには、 ..\Tools\MDELiveAnalyzer.ps1をフェッチします。

  2. 調査する必要があるマシンで ライブ応答セッション を開始します。

  3. [ ファイルをライブラリにアップロード] を選択します

    アップロード ファイル

  4. [ ファイルの選択] を選択します

    [ファイルの選択] ボタン-1

  5. MDELiveAnalyzer.ps1という名前のダウンロードしたファイルを選択し、[確認] を選択します。

    [ファイルの選択] ボタン -2

    MDEClientAnalyzerPreview.zip ファイルに対してこの手順を繰り返します。

  6. LiveResponse セッションでは引き続き、次のコマンドを使用してアナライザーを実行し、結果のファイルを収集します。

    Putfile MDEClientAnalyzerPreview.zip
    Run MDELiveAnalyzer.ps1
    GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDECA\MDEClientAnalyzerResult.zip"
    

    コマンドの画像。

追加情報

  • MDEClientAnalyzer の最新のプレビュー バージョンは、 https://aka.ms/Betamdeanalyzerからダウンロードできます。

  • マシンが上記の URL に到達できない場合は、LiveAnalyzer スクリプトを実行する前に MDEClientAnalyzerPreview.zip ファイルをライブラリにアップロードします。

    PutFile MDEClientAnalyzerPreview.zip -overwrite
    Run MDELiveAnalyzer.ps1
    GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDECA\MDEClientAnalyzerResult.zip"
    
  • マシンがクラウド サービスと通信していない場合、または期待どおりにポータルに表示されない場合Microsoft Defender for Endpoint、コンピューター Microsoft Defender for Endpoint上でデータをローカルに収集する方法の詳細については、「クライアント接続の確認」を参照してください。サービス URL をMicrosoft Defender for Endpointします。

  • 「ライブ応答コマンドの例」で説明されているように、コマンドの最後に&記号を使用して、バックグラウンド アクションとしてログを収集できます。

    Run MDELiveAnalyzer.ps1&
    

Linux

XMDE クライアント アナライザー ツールは、Linux マシンで抽出および実行できる バイナリ または Python パッケージとしてダウンロードできます。 XMDE クライアント アナライザーの両方のバージョンは、ライブ応答セッション中に実行できます。

前提条件

  • インストールには、 unzip パッケージが必要です。

  • 実行するには、 acl パッケージが必要です。

重要

ウィンドウは、ファイル内の 1 行の終わりと新しい行の先頭を表すためにキャリッジ リターン文字と改行非表示文字を使用しますが、Linux システムでは、ファイル行の末尾に表示されない文字のみが使用されます。 次のスクリプトを使用する場合、Windows で実行した場合、この違いにより、スクリプトのエラーとエラーが発生する可能性があります。 これに対する潜在的な解決策は、Linux 用 Windows サブシステムとdos2unix パッケージを利用してスクリプトを再フォーマットし、Unix および Linux 形式の標準に合わせて調整することです。

XMDE クライアント アナライザーのインストール

XMDE クライアント アナライザー、バイナリ、Python の両方のバージョン、実行前にダウンロードして抽出する必要がある自己完結型パッケージ、およびこのプロセスの完全な手順のセットを確認できます。

Live Response で使用できるコマンドが限られているため、詳細な手順は bash スクリプトで実行する必要があります。これらのコマンドのインストールと実行部分を分割することで、実行スクリプトを複数回実行しながら、インストール スクリプトを 1 回実行できます。

重要

このスクリプトの例では、マシンが直接インターネットにアクセスでき、Microsoft から XMDE クライアント アナライザーを取得できることを前提としています。 コンピューターに直接インターネット にアクセスできない場合は、インストール スクリプトを更新して、マシンが正常にアクセスできる場所から XMDE クライアント アナライザーをフェッチする必要があります。

Binary Client Analyzer のインストール スクリプト

次のスクリプトでは、 クライアント アナライザーのバイナリ バージョンの実行に関する最初の 6 つの手順を実行します。 完了すると、XMDE クライアント アナライザー バイナリは、 /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer ディレクトリから使用できます。

  1. InstallXMDEClientAnalyzer.sh bash ファイルを作成し、次の内容を貼り付けます。

    #! /usr/bin/bash
    
    echo "Starting Client Analyzer Script. Running As:"
    whoami
    
    echo "Getting XMDEClientAnalyzerBinary"
    wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary
    echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c
    
    echo "Unzipping XMDEClientAnalyzerBinary.zip"
    unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary
    
    echo "Unzipping SupportToolLinuxBinary.zip"
    unzip -q /tmp/XMDEClientAnalyzerBinary/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
    
    echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
    
    

Python クライアント アナライザー のインストール スクリプト

次のスクリプトでは、 Python バージョンの Client Analyzer の実行に関する最初の 6 つの手順を実行します。 完了すると、XMDE Client Analyzer Python スクリプトは、 /tmp/XMDEClientAnalyzer ディレクトリから使用できます。

  1. InstallXMDEClientAnalyzer.sh bash ファイルを作成し、次の内容を貼り付けます。

    #! /usr/bin/bash
    
    echo "Starting Client Analyzer Install Script. Running As:"
    whoami
    
    echo "Getting XMDEClientAnalyzer.zip"
    wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer 
    echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c  
    
    echo "Unzipping XMDEClientAnalyzer.zip"
    unzip -q XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer  
    
    echo "Setting execute permissions on mde_support_tool.sh script"
    cd /tmp/XMDEClientAnalyzer 
    chmod a+x mde_support_tool.sh  
    
    echo "Performing final support tool setup"
    ./mde_support_tool.sh
    
    

クライアント アナライザーのインストール スクリプトの実行

  1. 調査する必要があるマシンで ライブ応答セッション を開始します。

  2. [ ファイルをライブラリにアップロード] を選択します

  3. [ ファイルの選択] を選択します

  4. InstallXMDEClientAnalyzer.shという名前のダウンロードしたファイルを選択し、[確認] を選択します

  5. LiveResponse セッションでは引き続き、次のコマンドを使用してアナライザーをインストールします。

    run InstallXMDEClientAnalyzer.sh
    

XMDE クライアント アナライザーの実行

Live Response では XMDE クライアント アナライザーまたは Python の直接実行はサポートされていないため、実行スクリプトが必要です。

重要

次のスクリプトでは、前に説明したスクリプトと同じ場所を使用して XMDE クライアント アナライザーがインストールされていることを前提としています。 organizationがスクリプトを別の場所にインストールすることを選択した場合は、organizationが選択したインストール場所に合わせて次のスクリプトを更新する必要があります。

バイナリ クライアント アナライザーの実行スクリプト

バイナリ クライアント アナライザーは、コマンド ライン パラメーターを受け入れて、さまざまな分析テストを実行します。 ライブ応答中に同様の機能を提供するために、実行スクリプトは $@ bash 変数を利用して、スクリプトに指定されたすべての入力パラメーターを XMDE クライアント アナライザーに渡します。

  1. MDESupportTool.sh bash ファイルを作成し、次の内容を貼り付けます。

    #! /usr/bin/bash
    
    echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
    cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
    
    echo "Running MDESupportTool"
    ./MDESupportTool $@
    
    

Python クライアント アナライザーの実行スクリプト

Python クライアント アナライザーは、コマンド ライン パラメーターを受け入れて、さまざまな分析テストを実行します。 ライブ応答中に同様の機能を提供するために、実行スクリプトは $@ bash 変数を利用して、スクリプトに指定されたすべての入力パラメーターを XMDE クライアント アナライザーに渡します。

  1. MDESupportTool.sh bash ファイルを作成し、次の内容を貼り付けます。

    #! /usr/bin/bash  
    
    echo "cd /tmp/XMDEClientAnalyzer"
    cd /tmp/XMDEClientAnalyzer 
    
    echo "Running mde_support_tool"
    ./mde_support_tool.sh $@
    
    

クライアント アナライザー スクリプトの実行

注:

アクティブなライブ応答セッションがある場合は、手順 1 をスキップできます。

  1. 調査する必要があるマシンで ライブ応答セッション を開始します。

  2. [ ファイルをライブラリにアップロード] を選択します

  3. [ ファイルの選択] を選択します

  4. MDESupportTool.shという名前のダウンロードしたファイルを選択し、[確認] を選択します

  5. ライブ応答セッションでは、次のコマンドを使用してアナライザーを実行し、結果のファイルを収集します。

    run MDESupportTool.sh -parameters "--bypass-disclaimer -d"
    GetFile "/tmp/your_archive_file_name_here.zip"
    

関連項目

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。