Linux에서 클라이언트 분석기 실행

아티클
11/02/2024

적용 대상:

엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

Linux의 엔드포인트용 Defender에 안정성 또는 디바이스 상태 문제가 발생하고 지원에 문의하는 경우 엔드포인트용 Microsoft Defender Client Analyzer 도구의 출력 패키지를 제공하라는 메시지가 표시될 수 있습니다. 이 문서에서는 디바이스에서 로컬로 또는 라이브 응답과 함께 클라이언트 분석기 도구를 사용하는 방법을 설명합니다. 두 경우 모두 Python 기반 솔루션 또는 외부 Python 종속성이 없는 이진 버전을 사용할 수 있습니다.

엔드포인트용 Defender에서 라이브 응답을 사용하여 지원 로그 수집

XMDE 클라이언트 분석기 도구는 Linux 컴퓨터에서 추출 및 실행할 수 있는 이진 또는 Python 패키지로 다운로드할 수 있습니다. 두 버전의 XMDE 클라이언트 분석기는 라이브 응답 세션 중에 실행할 수 있습니다.

설치의 경우 패키지가 unzip 필요합니다.
실행의 경우 패키지가 acl 필요합니다.

중요

Window는 캐리지 리턴 및 줄 바꿈 보이지 않는 문자를 사용하여 파일에서 한 줄의 끝과 새 줄의 시작을 나타내지만 Linux 시스템은 파일 줄 끝에 있는 줄 바꿈 보이지 않는 문자만 사용합니다. 다음 스크립트를 사용하는 경우 Windows에서 수행하면 이 차이로 인해 스크립트가 실행되고 오류가 발생할 수 있습니다. 이에 대한 잠재적인 해결 방법은 Linux용 Windows 하위 시스템 및 패키지를 활용하여 Unix 및 dos2unix Linux 형식 표준에 맞게 스크립트를 다시 포맷하는 것입니다.

XMDE 클라이언트 분석기 설치

XMDE 클라이언트 분석기를 다운로드하고 추출합니다. 다음과 같이 이진 또는 Python 버전을 사용할 수 있습니다.

라이브 응답에서 사용할 수 있는 제한된 명령으로 인해 자세한 단계는 bash 스크립트에서 실행되어야 합니다. 이러한 명령의 설치 및 실행 부분을 분할하면 설치 스크립트를 한 번 실행하고 실행 스크립트를 여러 번 실행할 수 있습니다.

중요

예제 스크립트는 컴퓨터에 직접 인터넷에 액세스할 수 있으며 Microsoft에서 XMDE 클라이언트 분석기를 검색할 수 있다고 가정합니다. 컴퓨터에 직접 인터넷에 액세스할 수 없는 경우 컴퓨터가 성공적으로 액세스할 수 있는 위치에서 XMDE 클라이언트 분석기를 가져오려면 설치 스크립트를 업데이트해야 합니다.

이진 클라이언트 분석기 설치 스크립트

다음 스크립트는 클라이언트 분석기의 이진 버전 실행의 처음 6단계를 수행합니다. 완료되면 디렉터리에서 XMDE 클라이언트 분석기 이진 파일을 /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer 사용할 수 있습니다.

bash 파일을 InstallXMDEClientAnalyzer.sh 만들고 다음 콘텐츠를 붙여넣습니다.

#! /usr/bin/bash

echo "Starting Client Analyzer Script. Running As:"
whoami

echo "Getting XMDEClientAnalyzerBinary"
wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://go.microsoft.com/fwlink/?linkid=2297517
echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c

echo "Unzipping XMDEClientAnalyzerBinary.zip"
unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary

echo "Unzipping SupportToolLinuxBinary.zip"
unzip -q /tmp/XMDEClientAnalyzerBinary/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer

echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"

Python 클라이언트 분석기 설치 스크립트

다음 스크립트는 클라이언트 분석기의 Python 버전 실행의 처음 6단계를 수행합니다. 완료되면 디렉터리에서 XMDE 클라이언트 분석기 Python 스크립트를 /tmp/XMDEClientAnalyzer 사용할 수 있습니다.

bash 파일을 InstallXMDEClientAnalyzer.sh 만들고 다음 콘텐츠를 붙여넣습니다.

#! /usr/bin/bash

echo "Starting Client Analyzer Install Script. Running As:"
whoami

echo "Getting XMDEClientAnalyzer.zip"
wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer 
echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c  

echo "Unzipping XMDEClientAnalyzer.zip"
unzip -q XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer  

echo "Setting execute permissions on mde_support_tool.sh script"
cd /tmp/XMDEClientAnalyzer 
chmod a+x mde_support_tool.sh  

echo "Performing final support tool setup"
./mde_support_tool.sh

클라이언트 분석기 설치 스크립트 실행

조사하려는 컴퓨터에서 라이브 응답 세션을 시작합니다.
라이브러리에 파일 업로드를 선택합니다.
파일 선택을 선택합니다.
라는 InstallXMDEClientAnalyzer.sh다운로드한 파일을 선택한 다음 확인을 선택합니다.
LiveResponse 세션에 있는 동안 다음 명령을 사용하여 분석기를 설치합니다.
```
run InstallXMDEClientAnalyzer.sh
```

XMDE 클라이언트 분석기 실행

라이브 응답은 XMDE 클라이언트 분석기 또는 Python을 직접 실행하는 것을 지원하지 않으므로 실행 스크립트가 필요합니다.

중요

다음 스크립트는 앞에서 언급한 스크립트와 동일한 위치를 사용하여 XMDE 클라이언트 분석기가 설치되었다고 가정합니다. organization 스크립트를 다른 위치에 설치하도록 선택한 경우 organization 선택한 설치 위치에 맞게 스크립트를 업데이트해야 합니다.

이진 클라이언트 분석기 실행 스크립트

클라이언트 분석기의 이진 버전은 명령줄 매개 변수를 수락하여 다양한 분석 테스트를 수행합니다. 라이브 응답 중에 유사한 기능을 제공하기 위해 실행 스크립트는 bash 변수를 $@ 활용하여 스크립트에 제공된 모든 입력 매개 변수를 XMDE 클라이언트 분석기에 전달합니다.

bash 파일을 MDESupportTool.sh 만들고 다음 콘텐츠를 붙여넣습니다.

#! /usr/bin/bash

echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer

echo "Running MDESupportTool"
./MDESupportTool $@

Python 클라이언트 분석기 실행 스크립트

클라이언트 분석기의 Python 버전은 명령줄 매개 변수를 수락하여 다양한 분석 테스트를 수행합니다. 라이브 응답 중에 유사한 기능을 제공하기 위해 실행 스크립트는 bash 변수를 $@ 활용하여 스크립트에 제공된 모든 입력 매개 변수를 XMDE 클라이언트 분석기에 전달합니다.

bash 파일을 MDESupportTool.sh 만들고 다음 콘텐츠를 붙여넣습니다.

#! /usr/bin/bash  

echo "cd /tmp/XMDEClientAnalyzer"
cd /tmp/XMDEClientAnalyzer 

echo "Running mde_support_tool"
./mde_support_tool.sh $@

클라이언트 분석기 스크립트 실행

참고

활성 라이브 응답 세션이 있는 경우 1단계를 건너뛸 수 있습니다.

조사하려는 컴퓨터에서 라이브 응답 세션을 시작합니다.
라이브러리에 파일 업로드를 선택합니다.
파일 선택을 선택합니다.
라는 MDESupportTool.sh다운로드한 파일을 선택한 다음 확인을 선택합니다.
라이브 응답 세션에 있는 동안 다음 명령을 사용하여 분석기를 실행하고 결과 파일을 수집합니다.
```
run MDESupportTool.sh -parameters "--bypass-disclaimer -d"
GetFile "/tmp/your_archive_file_name_here.zip"
```

로컬에서 엔드포인트용 Microsoft Defender 지원 로그 수집

이 섹션에서는 Linux 머신에서 로컬로 도구를 실행하는 방법에 대한 지침을 제공합니다.

클라이언트 분석기의 이진 버전 실행

요약

에서 가져옵니다 https://go.microsoft.com/fwlink/?linkid=2297517. 또는 Linux 서버에 인터넷 액세스 권한이 있는 경우 을 사용하여 wget 파일을 다운로드합니다.
```
wget --quiet -O XMDEClientAnalyzerBinary.zip https://go.microsoft.com/fwlink/?linkid=2297517
```
다운로드된 파일의 압축을 풀고 추출된 파일의 압축을 다시 풉 SupportToolLinuxBinary.zip
```
unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary
```

이진 파일 실행

sudo ./MDESupportTool -d --mdatp-log debug

화면의 지침에 따라 로그 컬렉션이 끝날 때 후속 작업을 수행하면 로그가 디렉터리에 배치 /tmp 됩니다.
로그 집합은 루트 사용자가 소유하므로 로그 집합을 제거하려면 루트 권한이 필요할 수 있습니다.
지원 엔지니어의 파일을 업로드합니다.

세부 정보

조사해야 하는 Linux 컴퓨터에 XMDE 클라이언트 분석기 이진 도구를 다운로드합니다.

터미널을 사용하는 경우 다음 명령을 입력하여 도구를 다운로드합니다.
```
wget --quiet -O XMDEClientAnalyzerBinary.zip https://go.microsoft.com/fwlink/?linkid=2297517
```

다운로드를 확인합니다.

echo '2A9BF0A6183831BE43C7BCB7917A40D772D226301B4CDA8EE4F258D00B6E4E97 XMDEClientAnalyzerBinary.zip' | sha256sum -c

컴퓨터에서 의 XMDEClientAnalyzerBinary.zip 내용을 추출합니다.

터미널을 사용하는 경우 다음 명령을 입력하여 파일을 추출합니다.
```
unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary
```
다음 명령을 입력하여 도구의 디렉터리로 변경합니다.
```
cd XMDEClientAnalyzerBinary
```
두 개의 새 zip 파일이 생성됩니다.
- SupportToolLinuxBinary.zip: 모든 Linux 디바이스의 경우
- SupportToolMacOSBinary.zip: Mac 디바이스의 경우 이 디바이스를 무시합니다.
조사하려는 Linux 컴퓨터에 대한 SupportToolLinuxBinary.zip 압축을 풉니다.
```
 unzip -q SupportToolLinuxBinary.zip 
```
루트로 도구를 실행하여 진단 패키지를 생성합니다.
```
sudo ./MDESupportTool -d
```

Python 기반 클라이언트 분석기 실행

참고

분석기는 루트에서 결과 출력을 생성할 때 운영 체제에 설치된 몇 가지 추가 PIP 패키지(decorator, sh, distro, lxml및 psutil)에 따라 달라집니다. 설치되지 않은 경우 분석기는 Python 패키지의 공식 리포지토리에서 가져오려고 시도합니다.
또한 이 도구는 현재 디바이스에 Python 버전 3 이상을 설치해야 합니다.
디바이스가 프록시 뒤에 있는 경우 프록시 서버를 환경 변수로 스크립트에 mde_support_tool.sh 전달할 수 있습니다. 예: https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh"

경고

Python 기반 클라이언트 분석기를 실행하려면 사용자 환경에서 몇 가지 문제를 일으킬 수 있는 PIP 패키지를 설치해야 합니다. 문제가 발생하지 않도록 하려면 사용자 PIP 환경에 패키지를 설치하는 것이 좋습니다.

조사해야 하는 Linux 컴퓨터에 XMDE 클라이언트 분석기 도구를 다운로드합니다.

터미널을 사용하는 경우 다음 명령을 실행하여 도구를 다운로드합니다.
```
wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer
```

다운로드를 확인합니다.

echo '84C9718FF3D29DA0EEE650FB2FC0625549A05CD1228AC253DBB92C8B1D9F1D11 XMDEClientAnalyzer.zip' | sha256sum -c

컴퓨터에서 의 XMDEClientAnalyzer.zip 내용을 추출합니다.

터미널을 사용하는 경우 다음 명령을 사용하여 파일을 추출합니다.
```
unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzer
```
디렉터리를 추출된 위치로 변경합니다.
```
cd XMDEClientAnalyzer
```
도구 실행 파일 권한을 부여합니다.
```
chmod a+x mde_support_tool.sh
```
비루트 사용자로 실행하여 필요한 종속성을 설치합니다.
```
./mde_support_tool.sh
```
실제 진단 패키지를 수집하고 결과 보관 파일을 생성하려면 루트로 다시 실행합니다.
```
sudo ./mde_support_tool.sh -d
```

명령줄 옵션

기본 명령줄

다음 명령을 사용하여 컴퓨터 진단을 가져옵니다.

-h, --help            show this help message and exit
--output OUTPUT, -o OUTPUT
                      Output path to export report
--outdir OUTDIR       Directory where diagnostics file will be generated
--no-zip, -nz         If set a directory will be created instead of an archive file
--force, -f           Will overwrite if output directory exists
--diagnostic, -d      Collect extensive machine diagnostic information
--bypass-disclaimer   Do not display disclaimer banner
--interactive, -i     Interactive diagnostic
--delay DELAY, -dd DELAY
                      Set MDATP log level. If you use interactive or delay mode, the log level will set to debug automatically, and reset after 48h.
--mdatp-log {info,debug,verbose,error,trace,warning}
                      Set MDATP log level
--max-log-size MAX_LOG_SIZE
                      Maximum log file size in MB before rotating(Will restart mdatp)

사용 예제: sudo ./MDESupportTool -d

참고

로그 수준 자동 설정 기능은 2405 이상 클라이언트 버전에서만 사용할 수 있습니다.

위치 인수

성능 정보 수집

주문형으로 재현할 수 있는 성능 시나리오를 분석하기 위해 광범위한 컴퓨터 성능 추적을 수집합니다.

-h, --help            show this help message and exit
--frequency FREQUENCY
                      profile at this frequency
--length LENGTH       length of time to collect (in seconds)

사용 예제: sudo ./MDESupportTool performance --frequency 2

제외 모드

감사된 모니터링에 대한 제외를 추가합니다.

참고

이 기능은 Linux용으로만 존재합니다.

  -h, --help            show this help message and exit
  -e <executable>, --exe <executable>
                        exclude by executable name, i.e: bash
  -p <process id>, --pid <process id>
                        exclude by process id, i.e: 911
  -d <directory>, --dir <directory>
                        exclude by target path, i.e: /var/foo/bar
  -x <executable> <directory>, --exe_dir <executable> <directory>
                        exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
  -q <q_size>, --queue <q_size>
                        set dispatcher q_depth size
  -r, --remove          remove exclusion file
  -s, --stat            get statistics about common executables
  -l, --list            list auditd rules
  -o, --override        Override the existing auditd exclusion rules file for mdatp
  -c <syscall number>, --syscall <syscall number>
                        exclude all process of the given syscall

사용 예제: sudo ./MDESupportTool exclude -d /var/foo/bar

AuditD 속도 제한기

auditD 플러그 인에서 보고한 이벤트 수를 제한하는 데 사용할 수 있는 구문입니다. 이 옵션은 AuditD에 대한 속도 제한을 전역적으로 설정하여 모든 감사 이벤트가 감소합니다. 제한기를 사용하도록 설정하면 감사된 이벤트 수가 초당 2,500개의 이벤트로 제한됩니다. 이 옵션은 AuditD 쪽에서 높은 CPU 사용량이 표시되는 경우에 사용할 수 있습니다.

참고

이 기능은 Linux용으로만 존재합니다.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the rate limit with default values

사용 예제: sudo ./mde_support_tool.sh ratelimit -e true

참고

이 기능은 감사된 하위 시스템이 전체적으로 보고하는 이벤트 수를 제한하기 위해 신중하게 사용해야 합니다. 이렇게 하면 다른 구독자에 대한 이벤트 수도 줄어들 수 있습니다.

AuditD 잘못된 규칙 건너뛰기

이 옵션을 사용하면 로드하는 동안 감사된 규칙 파일에 추가된 잘못된 규칙을 건너뛸 수 있습니다. 이 옵션을 사용하면 결함이 있는 규칙이 있더라도 감사된 하위 시스템이 규칙을 계속 로드할 수 있습니다. 이 옵션은 규칙을 로드한 결과를 요약합니다. 백그라운드에서 이 옵션은 -c 옵션을 사용하여 auditctl을 실행합니다.

참고

이 기능은 Linux에서만 사용할 수 있습니다.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.

사용 예제: sudo ./mde_support_tool.sh skipfaultyrules -e true

참고

이 기능은 잘못된 규칙을 건너뜁습니다. 그러면 결함이 있는 규칙을 추가로 식별하고 수정해야 합니다.

Linux의 결과 패키지 콘텐츠

파일	설명
`report.html`	디바이스에서 클라이언트 분석기 도구를 실행한 결과와 지침이 포함된 기본 HTML 출력 파일입니다. 이 파일은 Python 기반 버전의 클라이언트 분석기 도구를 실행할 때만 생성됩니다.
`mde_diagnostic.zip`	Linux에서 mdatp diagnostic create를 실행할 때 생성되는 것과 동일한 진단 출력입니다.
`mde.xml`	실행하는 동안 생성되고 html 보고서 파일을 빌드하는 데 사용되는 XML 출력입니다.
`Processes_information.txt`	시스템에서 실행 중인 엔드포인트용 Microsoft Defender 관련 프로세스의 세부 정보를 포함합니다.
`Log.txt`	데이터 수집 중에 화면에 기록된 것과 동일한 로그 메시지를 포함합니다.
`Health.txt`	mdatp health 명령을 실행할 때 표시되는 것과 동일한 기본 상태 출력입니다.
`Events.xml`	HTML 보고서를 작성할 때 분석기에서 사용하는 또 다른 XML 파일입니다.
`Audited_info.txt`	Linux OS에 대한 감사된 서비스 및 관련 구성 요소에 대한 세부 정보입니다.
`perf_benchmark.tar.gz`	성능 테스트가 보고합니다. 성능 매개 변수를 사용하는 경우에만 이 파일이 표시됩니다.

참고 항목

Linux의 엔드포인트용 Defender 문제 해결 문서

팁

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.

다음을 통해 공유