다음을 통해 공유


라이브 응답을 사용하여 엔드포인트용 Microsoft Defender 지원 로그 수집

적용 대상:

엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

지원에 문의할 때 엔드포인트용 Microsoft Defender 클라이언트 분석기 도구의 출력 패키지를 제공하라는 메시지가 표시될 수 있습니다.

이 문서에서는 Windows 및 Linux 컴퓨터에서 라이브 응답을 통해 도구를 실행하는 방법에 대한 지침을 제공합니다.

Windows

  1. 엔드포인트용 Microsoft Defender Client Analyzer도구 하위 디렉터리 내에서 사용할 수 있는 필수 스크립트를 다운로드하고 가져옵니다.

    예를 들어 기본 센서 및 디바이스 상태 로그를 가져오려면 를 가져옵니다 ..\Tools\MDELiveAnalyzer.ps1.

    • Microsoft Defender 바이러스 백신과 관련된 추가 로그가 필요한 경우 를 사용합니다..\Tools\MDELiveAnalyzerAV.ps1.
    • Microsoft Endpoint 데이터 손실 방지 관련 로그가 필요한 경우 를 사용합니다..\Tools\MDELiveAnalyzerDLP.ps1.
    • 네트워크 및 Windows 필터 플랫폼 관련 로그가 필요한 경우 를 사용합니다 ..\Tools\MDELiveAnalyzerNet.ps1.
    • 프로세스 모니터 로그가 필요한 경우 를 사용합니다..\Tools\MDELiveAnalyzerAppCompat.ps1.
  2. 조사해야 하는 컴퓨터에서 라이브 응답 세션을 시작합니다.

  3. 라이브러리에 파일 업로드를 선택합니다.

    업로드 파일

  4. 파일 선택을 선택합니다.

    파일 선택 단추-1

  5. 라는 MDELiveAnalyzer.ps1다운로드한 파일을 선택한 다음 확인을 선택합니다.

    파일 선택 단추-2

    파일에 대해 이 단계를 반복합니다 MDEClientAnalyzerPreview.zip .

  6. LiveResponse 세션에 있는 동안 다음 명령을 사용하여 분석기를 실행하고 결과 파일을 수집합니다.

    Putfile MDEClientAnalyzerPreview.zip
    Run MDELiveAnalyzer.ps1
    GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDECA\MDEClientAnalyzerResult.zip"
    

    명령의 이미지입니다.

추가 정보

  • MDEClientAnalyzer의 최신 미리 보기 버전은 에서 https://aka.ms/MDEClientAnalyzerPreview다운로드할 수 있습니다.

  • 컴퓨터가 위의 URL에 도달하도록 허용할 수 없는 경우 LiveAnalyzer 스크립트를 실행하기 전에 라이브러리에 파일을 업로드 MDEClientAnalyzerPreview.zip 합니다.

    PutFile MDEClientAnalyzerPreview.zip -overwrite
    Run MDELiveAnalyzer.ps1
    GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDECA\MDEClientAnalyzerResult.zip"
    
  • 컴퓨터가 엔드포인트용 Microsoft Defender 클라우드 서비스와 통신하지 않거나 예상대로 엔드포인트용 Microsoft Defender 포털에 표시되지 않는 경우 컴퓨터에서 로컬로 데이터를 수집하는 방법에 대한 자세한 내용은 엔드포인트용 Microsoft Defender 서비스 URL.

  • 라이브 응답 명령 예제에 설명된 대로 명령 끝에 있는 기호를 사용하여 & 로그를 백그라운드 작업으로 수집할 수 있습니다.

    Run MDELiveAnalyzer.ps1&
    

Linux

XMDE 클라이언트 분석기 도구는 Linux 컴퓨터에서 추출 및 실행할 수 있는 이진 또는 Python 패키지로 다운로드할 수 있습니다. 두 버전의 XMDE 클라이언트 분석기는 라이브 응답 세션 중에 실행할 수 있습니다.

필수 구성 요소

  • 설치의 경우 패키지가 unzip 필요합니다.

  • 실행의 경우 패키지가 acl 필요합니다.

중요

Window는 캐리지 리턴 및 줄 바꿈 보이지 않는 문자를 사용하여 파일에서 한 줄의 끝과 새 줄의 시작을 나타내지만 Linux 시스템은 파일 줄 끝에 있는 줄 바꿈 보이지 않는 문자만 사용합니다. 다음 스크립트를 사용하는 경우 Windows에서 수행하면 이 차이로 인해 스크립트가 실행되고 오류가 발생할 수 있습니다. 이에 대한 잠재적인 해결 방법은 Linux용 Windows 하위 시스템 및 패키지를 활용하여 Unix 및 dos2unix Linux 형식 표준에 맞게 스크립트를 다시 포맷하는 것입니다.

XMDE 클라이언트 분석기 설치

XMDE 클라이언트 분석기, 이진 및 Python의 두 버전 모두 실행하기 전에 다운로드 및 추출해야 하는 자체 포함 패키지이며 이 프로세스에 대한 전체 단계 집합을 찾을 수 있습니다.

라이브 응답에서 사용할 수 있는 제한된 명령으로 인해 자세한 단계는 bash 스크립트에서 실행되어야 하며, 이러한 명령의 설치 및 실행 부분을 분할하여 실행 스크립트를 여러 번 실행하는 동안 설치 스크립트를 한 번 실행할 수 있습니다.

중요

예제 스크립트는 컴퓨터에 직접 인터넷에 액세스할 수 있으며 Microsoft에서 XMDE 클라이언트 분석기를 검색할 수 있다고 가정합니다. 컴퓨터에 직접 인터넷에 액세스할 수 없는 경우 컴퓨터가 성공적으로 액세스할 수 있는 위치에서 XMDE 클라이언트 분석기를 가져오려면 설치 스크립트를 업데이트해야 합니다.

이진 클라이언트 분석기 설치 스크립트

다음 스크립트는 클라이언트 분석기의 이진 버전 실행의 처음 6단계를 수행합니다. 완료되면 디렉터리에서 XMDE 클라이언트 분석기 이진 파일을 /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer 사용할 수 있습니다.

  1. bash 파일을 InstallXMDEClientAnalyzer.sh 만들고 다음 콘텐츠를 붙여넣습니다.

    #! /usr/bin/bash
    
    echo "Starting Client Analyzer Script. Running As:"
    whoami
    
    echo "Getting XMDEClientAnalyzerBinary"
    wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://go.microsoft.com/fwlink/?linkid=2297517
    echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c
    
    echo "Unzipping XMDEClientAnalyzerBinary.zip"
    unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary
    
    echo "Unzipping SupportToolLinuxBinary.zip"
    unzip -q /tmp/XMDEClientAnalyzerBinary/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
    
    echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
    
    

Python 클라이언트 분석기 설치 스크립트

다음 스크립트는 클라이언트 분석기의 Python 버전 실행의 처음 6단계를 수행합니다. 완료되면 디렉터리에서 XMDE 클라이언트 분석기 Python 스크립트를 /tmp/XMDEClientAnalyzer 사용할 수 있습니다.

  1. bash 파일을 InstallXMDEClientAnalyzer.sh 만들고 다음 콘텐츠를 붙여넣습니다.

    #! /usr/bin/bash
    
    echo "Starting Client Analyzer Install Script. Running As:"
    whoami
    
    echo "Getting XMDEClientAnalyzer.zip"
    wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer 
    echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c  
    
    echo "Unzipping XMDEClientAnalyzer.zip"
    unzip -q XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer  
    
    echo "Setting execute permissions on mde_support_tool.sh script"
    cd /tmp/XMDEClientAnalyzer 
    chmod a+x mde_support_tool.sh  
    
    echo "Performing final support tool setup"
    ./mde_support_tool.sh
    
    

클라이언트 분석기 설치 스크립트 실행

  1. 조사해야 하는 컴퓨터에서 라이브 응답 세션을 시작합니다.

  2. 라이브러리에 파일 업로드를 선택합니다.

  3. 파일 선택을 선택합니다.

  4. 라는 InstallXMDEClientAnalyzer.sh다운로드한 파일을 선택한 다음 확인을 선택합니다.

  5. LiveResponse 세션에 있는 동안 다음 명령을 사용하여 분석기를 설치합니다.

    run InstallXMDEClientAnalyzer.sh
    

XMDE 클라이언트 분석기 실행

라이브 응답은 XMDE 클라이언트 분석기 또는 Python을 직접 실행하는 것을 지원하지 않으므로 실행 스크립트가 필요합니다.

중요

다음 스크립트는 앞에서 언급한 스크립트와 동일한 위치를 사용하여 XMDE 클라이언트 분석기가 설치되었다고 가정합니다. organization 스크립트를 다른 위치에 설치하도록 선택한 경우 organization 선택한 설치 위치에 맞게 다음 스크립트를 업데이트해야 합니다.

이진 클라이언트 분석기 실행 스크립트

Binary Client Analyzer는 명령줄 매개 변수를 수락하여 다양한 분석 테스트를 수행합니다. 라이브 응답 중에 유사한 기능을 제공하기 위해 실행 스크립트는 bash 변수를 $@ 활용하여 스크립트에 제공된 모든 입력 매개 변수를 XMDE 클라이언트 분석기에 전달합니다.

  1. bash 파일을 MDESupportTool.sh 만들고 다음 콘텐츠를 붙여넣습니다.

    #! /usr/bin/bash
    
    echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
    cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
    
    echo "Running MDESupportTool"
    ./MDESupportTool $@
    
    

Python 클라이언트 분석기 실행 스크립트

Python 클라이언트 분석기는 명령줄 매개 변수를 수락하여 다양한 분석 테스트를 수행합니다. 라이브 응답 중에 유사한 기능을 제공하기 위해 실행 스크립트는 bash 변수를 $@ 활용하여 스크립트에 제공된 모든 입력 매개 변수를 XMDE 클라이언트 분석기에 전달합니다.

  1. bash 파일을 MDESupportTool.sh 만들고 다음 콘텐츠를 붙여넣습니다.

    #! /usr/bin/bash  
    
    echo "cd /tmp/XMDEClientAnalyzer"
    cd /tmp/XMDEClientAnalyzer 
    
    echo "Running mde_support_tool"
    ./mde_support_tool.sh $@
    
    

클라이언트 분석기 스크립트 실행

참고

활성 라이브 응답 세션이 있는 경우 1단계를 건너뛸 수 있습니다.

  1. 조사해야 하는 컴퓨터에서 라이브 응답 세션을 시작합니다.

  2. 라이브러리에 파일 업로드를 선택합니다.

  3. 파일 선택을 선택합니다.

  4. 라는 MDESupportTool.sh다운로드한 파일을 선택한 다음 확인을 선택합니다.

  5. 라이브 응답 세션에 있는 동안 다음 명령을 사용하여 분석기를 실행하고 결과 파일을 수집합니다.

    run MDESupportTool.sh -parameters "--bypass-disclaimer -d"
    GetFile "/tmp/your_archive_file_name_here.zip"
    

참고 항목

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.