ライブ応答を使用してMicrosoft Defender for Endpointでサポート ログを収集する

適用対象:

• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

サポートに問い合わせるときに、Microsoft Defender for Endpoint Client Analyzer ツールの出力パッケージを提供するように求められる場合があります。

この記事では、Windows および Linux マシンで Live Response を使用してツールを実行する方法について説明します。

Windows

1. Microsoft Defender for Endpoint Client Analyzer の Tools サブディレクトリ内から使用できる必要なスクリプトをダウンロードしてフェッチします。

   たとえば、基本的なセンサーとデバイスの正常性ログを取得するには、 ..\Tools\MDELiveAnalyzer.ps1をフェッチします。

   • Microsoft Defenderウイルス対策に関連する追加のログが必要な場合は、..\Tools\MDELiveAnalyzerAV.ps1を使用します。
   • Microsoft Endpoint Data Loss Prevention 関連のログが必要な場合は、..\Tools\MDELiveAnalyzerDLP.ps1を使用します。
   • ネットワークと Windows フィルター プラットフォーム に関連するログが必要な場合は、 ..\Tools\MDELiveAnalyzerNet.ps1を使用します。
   • プロセス モニター ログが必要な場合は、..\Tools\MDELiveAnalyzerAppCompat.ps1を使用します。

2. 調査する必要があるマシンで ライブ応答セッション を開始します。

3. [ ファイルをライブラリにアップロード] を選択します。

   

4. [ ファイルの選択] を選択します。

   

5. MDELiveAnalyzer.ps1という名前のダウンロードしたファイルを選択し、[確認] を選択します。

   

   MDEClientAnalyzerPreview.zip ファイルに対してこの手順を繰り返します。

6. LiveResponse セッションでは引き続き、次のコマンドを使用してアナライザーを実行し、結果のファイルを収集します。

   Putfile MDEClientAnalyzerPreview.zip
   Run MDELiveAnalyzer.ps1
   GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDECA\MDEClientAnalyzerResult.zip"
   

   

追加情報

• MDEClientAnalyzer の最新のプレビュー バージョンは、 https://aka.ms/MDEClientAnalyzerPreviewからダウンロードできます。

• マシンが上記の URL に到達できない場合は、LiveAnalyzer スクリプトを実行する前に MDEClientAnalyzerPreview.zip ファイルをライブラリにアップロードします。

  PutFile MDEClientAnalyzerPreview.zip -overwrite
  Run MDELiveAnalyzer.ps1
  GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDECA\MDEClientAnalyzerResult.zip"
  

• マシンがクラウド サービスと通信していない場合、または期待どおりにポータルに表示されない場合Microsoft Defender for Endpoint、コンピューター Microsoft Defender for Endpoint上でデータをローカルに収集する方法の詳細については、「クライアント接続の確認」を参照してください。サービス URL をMicrosoft Defender for Endpointします。

• 「ライブ応答コマンドの例」で説明されているように、コマンドの最後に&記号を使用して、バックグラウンド アクションとしてログを収集できます。

  Run MDELiveAnalyzer.ps1&
  

Linux

XMDE クライアント アナライザー ツールは、Linux マシンで抽出および実行できる バイナリ または Python パッケージとしてダウンロードできます。 XMDE クライアント アナライザーの両方のバージョンは、ライブ応答セッション中に実行できます。

前提条件

• インストールには、 unzip パッケージが必要です。

• 実行するには、 acl パッケージが必要です。

重要

ウィンドウは、ファイル内の 1 行の終わりと新しい行の先頭を表すためにキャリッジ リターン文字と改行非表示文字を使用しますが、Linux システムでは、ファイル行の末尾に表示されない文字のみが使用されます。 次のスクリプトを使用する場合、Windows で実行した場合、この違いにより、スクリプトのエラーとエラーが発生する可能性があります。 これに対する潜在的な解決策は、Linux 用 Windows サブシステムとdos2unix パッケージを利用してスクリプトを再フォーマットし、Unix および Linux 形式の標準に合わせて調整することです。

XMDE クライアント アナライザーのインストール

XMDE クライアント アナライザー、バイナリ、Python の両方のバージョン、実行前にダウンロードして抽出する必要がある自己完結型パッケージ、およびこのプロセスの完全な手順のセットを確認できます。

• クライアント アナライザーのバイナリ バージョンの実行

• クライアント アナライザーの Python バージョンの実行

Live Response で使用できるコマンドが限られているため、詳細な手順は bash スクリプトで実行する必要があります。これらのコマンドのインストールと実行部分を分割することで、実行スクリプトを複数回実行しながら、インストール スクリプトを 1 回実行できます。

重要

このスクリプトの例では、マシンが直接インターネットにアクセスでき、Microsoft から XMDE クライアント アナライザーを取得できることを前提としています。 コンピューターに直接インターネット にアクセスできない場合は、インストール スクリプトを更新して、マシンが正常にアクセスできる場所から XMDE クライアント アナライザーをフェッチする必要があります。

Binary Client Analyzer のインストール スクリプト

次のスクリプトでは、 クライアント アナライザーのバイナリ バージョンの実行に関する最初の 6 つの手順を実行します。 完了すると、XMDE クライアント アナライザー バイナリは、 /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer ディレクトリから使用できます。

1. InstallXMDEClientAnalyzer.sh bash ファイルを作成し、次の内容を貼り付けます。

   #! /usr/bin/bash
   
   echo "Starting Client Analyzer Script. Running As:"
   whoami
   
   echo "Getting XMDEClientAnalyzerBinary"
   wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://go.microsoft.com/fwlink/?linkid=2297517
   echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c
   
   echo "Unzipping XMDEClientAnalyzerBinary.zip"
   unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary
   
   echo "Unzipping SupportToolLinuxBinary.zip"
   unzip -q /tmp/XMDEClientAnalyzerBinary/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
   
   echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
   
   

Python クライアント アナライザー のインストール スクリプト

次のスクリプトでは、 Python バージョンの Client Analyzer の実行に関する最初の 6 つの手順を実行します。 完了すると、XMDE Client Analyzer Python スクリプトは、 /tmp/XMDEClientAnalyzer ディレクトリから使用できます。

1. InstallXMDEClientAnalyzer.sh bash ファイルを作成し、次の内容を貼り付けます。

   #! /usr/bin/bash
   
   echo "Starting Client Analyzer Install Script. Running As:"
   whoami
   
   echo "Getting XMDEClientAnalyzer.zip"
   wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer 
   echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c  
   
   echo "Unzipping XMDEClientAnalyzer.zip"
   unzip -q XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer  
   
   echo "Setting execute permissions on mde_support_tool.sh script"
   cd /tmp/XMDEClientAnalyzer 
   chmod a+x mde_support_tool.sh  
   
   echo "Performing final support tool setup"
   ./mde_support_tool.sh
   
   

クライアント アナライザーのインストール スクリプトの実行

1. 調査する必要があるマシンで ライブ応答セッション を開始します。

2. [ ファイルをライブラリにアップロード] を選択します。

3. [ ファイルの選択] を選択します。

4. InstallXMDEClientAnalyzer.shという名前のダウンロードしたファイルを選択し、[確認] を選択します。

5. LiveResponse セッションでは引き続き、次のコマンドを使用してアナライザーをインストールします。

   run InstallXMDEClientAnalyzer.sh
   

XMDE クライアント アナライザーの実行

Live Response では XMDE クライアント アナライザーまたは Python の直接実行はサポートされていないため、実行スクリプトが必要です。

重要

次のスクリプトでは、前に説明したスクリプトと同じ場所を使用して XMDE クライアント アナライザーがインストールされていることを前提としています。 organizationがスクリプトを別の場所にインストールすることを選択した場合は、organizationが選択したインストール場所に合わせて次のスクリプトを更新する必要があります。

バイナリ クライアント アナライザーの実行スクリプト

バイナリ クライアント アナライザーは、コマンド ライン パラメーターを受け入れて、さまざまな分析テストを実行します。 ライブ応答中に同様の機能を提供するために、実行スクリプトは $@ bash 変数を利用して、スクリプトに指定されたすべての入力パラメーターを XMDE クライアント アナライザーに渡します。

1. MDESupportTool.sh bash ファイルを作成し、次の内容を貼り付けます。

   #! /usr/bin/bash
   
   echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
   cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
   
   echo "Running MDESupportTool"
   ./MDESupportTool $@
   
   

Python クライアント アナライザーの実行スクリプト

Python クライアント アナライザーは、コマンド ライン パラメーターを受け入れて、さまざまな分析テストを実行します。 ライブ応答中に同様の機能を提供するために、実行スクリプトは $@ bash 変数を利用して、スクリプトに指定されたすべての入力パラメーターを XMDE クライアント アナライザーに渡します。

1. MDESupportTool.sh bash ファイルを作成し、次の内容を貼り付けます。

   #! /usr/bin/bash  
   
   echo "cd /tmp/XMDEClientAnalyzer"
   cd /tmp/XMDEClientAnalyzer 
   
   echo "Running mde_support_tool"
   ./mde_support_tool.sh $@
   
   

クライアント アナライザー スクリプトの実行

注:

アクティブなライブ応答セッションがある場合は、手順 1 をスキップできます。

1. 調査する必要があるマシンで ライブ応答セッション を開始します。

2. [ ファイルをライブラリにアップロード] を選択します。

3. [ ファイルの選択] を選択します。

4. MDESupportTool.shという名前のダウンロードしたファイルを選択し、[確認] を選択します。

5. ライブ応答セッションでは、次のコマンドを使用してアナライザーを実行し、結果のファイルを収集します。

   run MDESupportTool.sh -parameters "--bypass-disclaimer -d"
   GetFile "/tmp/your_archive_file_name_here.zip"
   

関連項目

• クライアント アナライザーの概要
• クライアント アナライザーのダウンロードと実行
• Windows でのクライアント アナライザーの実行
• macOS または Linux でのクライアント アナライザーの実行
• Windows で高度なトラブルシューティングを行うためのデータ収集
• アナライザー HTML レポートの理解

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。