De client analyzer uitvoeren in Linux

Van toepassing op:

• Plan 2 voor Microsoft Defender voor Eindpunt
• Microsoft Defender XDR

Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Als u problemen ondervindt met de betrouwbaarheid of apparaatstatus van Defender voor Eindpunt in Linux en u contact opneemt met de ondersteuning, wordt u mogelijk gevraagd het uitvoerpakket van het hulpprogramma Microsoft Defender voor Eindpunt Client Analyzer op te geven. In dit artikel wordt beschreven hoe u het hulpprogramma voor clientanalyse lokaal op het apparaat of samen met een live-reactie gebruikt. In beide gevallen kunt u een op Python gebaseerde oplossing of een binaire versie gebruiken die geen externe Python-afhankelijkheid heeft.

Live-reactie in Defender voor Eindpunt gebruiken om ondersteuningslogboeken te verzamelen

Het hulpprogramma XMDE Client Analyzer kan worden gedownload als een binair of Python-pakket dat kan worden geëxtraheerd en uitgevoerd op Linux-machines. Beide versies van de XMDE Client Analyzer kunnen worden uitgevoerd tijdens een live-antwoordsessie.

• Voor de installatie is het unzip pakket vereist.
• Voor de uitvoering is het acl pakket vereist.

Belangrijk

Venster gebruikt de onzichtbare tekens Carriage Return en Line Feed om het einde van één regel en het begin van een nieuwe regel in een bestand aan te geven, maar Linux-systemen gebruiken alleen het onzichtbare teken Regelfeed aan het einde van de bestandsregels. Als u de volgende scripts gebruikt, kan dit verschil leiden tot fouten en fouten van de scripts die moeten worden uitgevoerd. Een mogelijke oplossing hiervoor is om de Windows-subsysteem voor Linux en het dos2unix pakket te gebruiken om het script opnieuw op te maken, zodat het overeenkomt met de unix- en Linux-indelingsstandaard.

XMDE Client Analyzer installeren

Download en pak de XMDE Client Analyzer uit. U kunt de binaire of Python-versie als volgt gebruiken:

• Binaire versie van Client Analyzer
• Python-versie van Client Analyzer

Vanwege de beperkte opdrachten die beschikbaar zijn in het live-antwoord, moeten de stappen die worden beschreven, worden uitgevoerd in een bash-script. Door het installatie- en uitvoeringsgedeelte van deze opdrachten te splitsen, is het mogelijk om het installatiescript eenmaal uit te voeren en het uitvoeringsscript meerdere keren uit te voeren.

Belangrijk

In de voorbeeldscripts wordt ervan uitgegaan dat de computer directe internettoegang heeft en de XMDE Client Analyzer van Microsoft kan ophalen. Als de computer geen directe toegang tot internet heeft, moeten de installatiescripts worden bijgewerkt om de XMDE Client Analyzer op te halen vanaf een locatie waar de machines toegang hebben.

Binaire client analyzer-installatiescript

Met het volgende script worden de eerste zes stappen van het uitvoeren van de binaire versie van Client Analyzer uitgevoerd. Wanneer dit is voltooid, is het binaire bestand XMDE Client Analyzer beschikbaar in de /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer map.

1. Maak een bash-bestand InstallXMDEClientAnalyzer.sh en plak de volgende inhoud erin.

   #! /usr/bin/bash
   
   echo "Starting Client Analyzer Script. Running As:"
   whoami
   
   echo "Getting XMDEClientAnalyzerBinary"
   wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://go.microsoft.com/fwlink/?linkid=2297517
   echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c
   
   echo "Unzipping XMDEClientAnalyzerBinary.zip"
   unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary
   
   echo "Unzipping SupportToolLinuxBinary.zip"
   unzip -q /tmp/XMDEClientAnalyzerBinary/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
   
   echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
   
   

Installatiescript voor Python-clientanalyse

Met het volgende script worden de eerste zes stappen uitgevoerd van de Python-versie van Client Analyzer uitvoeren. Wanneer u klaar bent, zijn de Python-scripts van XMDE Client Analyzer beschikbaar vanuit de /tmp/XMDEClientAnalyzer map.

1. Maak een bash-bestand InstallXMDEClientAnalyzer.sh en plak de volgende inhoud erin.

   #! /usr/bin/bash
   
   echo "Starting Client Analyzer Install Script. Running As:"
   whoami
   
   echo "Getting XMDEClientAnalyzer.zip"
   wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer 
   echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c  
   
   echo "Unzipping XMDEClientAnalyzer.zip"
   unzip -q XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer  
   
   echo "Setting execute permissions on mde_support_tool.sh script"
   cd /tmp/XMDEClientAnalyzer 
   chmod a+x mde_support_tool.sh  
   
   echo "Performing final support tool setup"
   ./mde_support_tool.sh
   
   

De client analyzer-installatiescripts uitvoeren

1. Start een Live Response-sessie op de computer die u wilt onderzoeken.

2. Selecteer Bestand uploaden naar bibliotheek.

3. Selecteer Bestand kiezen.

4. Selecteer het gedownloade bestand met de naam InstallXMDEClientAnalyzer.shen selecteer vervolgens Bevestigen.

5. Terwijl u zich nog in de LiveResponse-sessie bevindt, gebruikt u de volgende opdrachten om de analyzer te installeren:

   run InstallXMDEClientAnalyzer.sh
   

De XMDE-clientanalyse uitvoeren

Live response biedt geen ondersteuning voor het rechtstreeks uitvoeren van XMDE Client Analyzer of Python, dus een uitvoeringsscript is nodig.

Belangrijk

In de volgende scripts wordt ervan uitgegaan dat XMDE Client Analyzer is geïnstalleerd met dezelfde locaties uit de eerder genoemde scripts. Als uw organisatie ervoor heeft gekozen om de scripts op een andere locatie te installeren, moeten de scripts worden bijgewerkt om te worden afgestemd op de gekozen installatielocatie van uw organisatie.

Binaire clientanalyse script uitvoeren

De binaire versie van de client analyzer accepteert opdrachtregelparameters om verschillende analysetests uit te voeren. Om vergelijkbare mogelijkheden te bieden tijdens het live-antwoord, maakt het uitvoeringsscript gebruik van de $@ bash-variabele om alle invoerparameters die aan het script zijn verstrekt, door te geven aan de XMDE Client Analyzer.

1. Maak een bash-bestand MDESupportTool.sh en plak de volgende inhoud erin.

   #! /usr/bin/bash
   
   echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
   cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
   
   echo "Running MDESupportTool"
   ./MDESupportTool $@
   
   

Script uitvoeren van Python-clientanalyse

De Python-versie van de clientanalyse accepteert opdrachtregelparameters om verschillende analysetests uit te voeren. Om vergelijkbare mogelijkheden te bieden tijdens het live-antwoord, maakt het uitvoeringsscript gebruik van de $@ bash-variabele om alle invoerparameters die aan het script zijn verstrekt, door te geven aan de XMDE Client Analyzer.

1. Maak een bash-bestand MDESupportTool.sh en plak de volgende inhoud erin.

   #! /usr/bin/bash  
   
   echo "cd /tmp/XMDEClientAnalyzer"
   cd /tmp/XMDEClientAnalyzer 
   
   echo "Running mde_support_tool"
   ./mde_support_tool.sh $@
   
   

Het clientanalysescript uitvoeren

Opmerking

Als u een actieve livereactiesessie hebt, kunt u stap 1 overslaan.

1. Start een Live Response-sessie op de computer die u wilt onderzoeken.

2. Selecteer Bestand uploaden naar bibliotheek.

3. Selecteer Bestand kiezen.

4. Selecteer het gedownloade bestand met de naam MDESupportTool.shen selecteer vervolgens Bevestigen.

5. Terwijl u zich nog in de live-antwoordsessie bevindt, gebruikt u de volgende opdrachten om de analyse uit te voeren en het resulterende bestand te verzamelen:

   run MDESupportTool.sh -parameters "--bypass-disclaimer -d"
   GetFile "/tmp/your_archive_file_name_here.zip"
   

Lokaal Microsoft Defender voor Eindpunt ondersteuningslogboeken verzamelen

In deze sectie vindt u instructies voor het lokaal uitvoeren van het hulpprogramma op de Linux-machines.

Voer de binaire versie van de client analyzer uit

Samenvatting

1. Verkrijgen van https://go.microsoft.com/fwlink/?linkid=2297517. Of, als uw Linux-server internettoegang heeft, gebruikt wget u om het bestand te downloaden:

   wget --quiet -O XMDEClientAnalyzerBinary.zip https://go.microsoft.com/fwlink/?linkid=2297517
   

2. Pak het gedownloade bestand uit en pak vervolgens van de uitgepakte bestanden de SupportToolLinuxBinary.zip

   unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary
   

3. Het binaire bestand uitvoeren

   sudo ./MDESupportTool -d --mdatp-log debug
   

4. Volg de instructies op het scherm en volg de logboeken aan het einde van de logboekverzameling op in de /tmp map.

5. De logboekset is eigendom van de hoofdgebruiker, dus mogelijk hebt u hoofdmachtigingen nodig om de logboekset te verwijderen.

6. Upload het bestand voor de ondersteuningstechnicus.

Details

1. Download het binaire hulpprogramma XMDE Client Analyzer naar de Linux-computer die u wilt onderzoeken.

   Als u een terminal gebruikt, downloadt u het hulpprogramma door de volgende opdracht in te voeren:

   wget --quiet -O XMDEClientAnalyzerBinary.zip https://go.microsoft.com/fwlink/?linkid=2297517
   

2. Controleer het downloaden.

   echo '2A9BF0A6183831BE43C7BCB7917A40D772D226301B4CDA8EE4F258D00B6E4E97 XMDEClientAnalyzerBinary.zip' | sha256sum -c
   

3. Pak de inhoud van XMDEClientAnalyzerBinary.zip op de computer uit.

   Als u een terminal gebruikt, extraheert u de bestanden door de volgende opdracht in te voeren:

   unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary
   

4. Ga naar de map van het hulpprogramma door de volgende opdracht in te voeren:

   cd XMDEClientAnalyzerBinary
   

5. Er worden twee nieuwe zip-bestanden geproduceerd:

   • SupportToolLinuxBinary.zip: Voor alle Linux-apparaten
   • SupportToolMacOSBinary.zip: voor Mac-apparaten negeert u deze.

6. Pak de SupportToolLinuxBinary.zip uit voor de Linux-computer die u wilt onderzoeken.

    unzip -q SupportToolLinuxBinary.zip 
   

7. Voer het hulpprogramma uit als hoofdmap om een diagnostisch pakket te genereren:

   sudo ./MDESupportTool -d
   

De clientanalyse op basis van Python uitvoeren

Opmerking

• De analyzer is afhankelijk van enkele extra PIP-pakketten (decorator, sh, distro, lxmlen psutil) die in het besturingssysteem zijn geïnstalleerd wanneer ze zich in de hoofdmap bevinden om de resultaatuitvoer te produceren. Als deze niet is geïnstalleerd, probeert de analyzer het op te halen uit de officiële opslagplaats voor Python-pakketten.
• Bovendien vereist het hulpprogramma momenteel dat Python versie 3 of hoger op uw apparaat is geïnstalleerd.
• Als uw apparaat zich achter een proxy bevindt, kunt u de proxyserver als omgevingsvariabele doorgeven aan het mde_support_tool.sh script. Bijvoorbeeld: https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh".

Waarschuwing

Voor het uitvoeren van de clientanalyse op basis van Python is de installatie van PIP-pakketten vereist, wat problemen in uw omgeving kan veroorzaken. Om te voorkomen dat er problemen optreden, is het raadzaam dat u de pakketten installeert in een PIP-gebruikersomgeving.

1. Download het hulpprogramma XMDE Client Analyzer naar de Linux-computer die u wilt onderzoeken.

   Als u een terminal gebruikt, downloadt u het hulpprogramma door de volgende opdracht uit te voeren:

   wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer
   

2. Controleer het downloaden.

   echo '84C9718FF3D29DA0EEE650FB2FC0625549A05CD1228AC253DBB92C8B1D9F1D11 XMDEClientAnalyzer.zip' | sha256sum -c
   

3. Pak de inhoud van XMDEClientAnalyzer.zip op de computer uit.

   Als u een terminal gebruikt, extraheert u de bestanden met de volgende opdracht:

   unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzer
   

4. Wijzig uw map in de uitgepakte locatie.

   cd XMDEClientAnalyzer
   

5. Geef het hulpprogramma een uitvoerbare machtiging:

   chmod a+x mde_support_tool.sh
   

6. Voer uit als een niet-basisgebruiker om vereiste afhankelijkheden te installeren:

   ./mde_support_tool.sh
   

7. Als u het werkelijke diagnostische pakket wilt verzamelen en het resultaatarchiefbestand wilt genereren, voert u opnieuw uit als hoofdmap:

   sudo ./mde_support_tool.sh -d
   

Opdrachtregelopties

Primaire opdrachtregels

Gebruik de volgende opdracht om de computerdiagnose op te halen.

-h, --help            show this help message and exit
--output OUTPUT, -o OUTPUT
                      Output path to export report
--outdir OUTDIR       Directory where diagnostics file will be generated
--no-zip, -nz         If set a directory will be created instead of an archive file
--force, -f           Will overwrite if output directory exists
--diagnostic, -d      Collect extensive machine diagnostic information
--bypass-disclaimer   Do not display disclaimer banner
--interactive, -i     Interactive diagnostic
--delay DELAY, -dd DELAY
                      Set MDATP log level. If you use interactive or delay mode, the log level will set to debug automatically, and reset after 48h.
--mdatp-log {info,debug,verbose,error,trace,warning}
                      Set MDATP log level
--max-log-size MAX_LOG_SIZE
                      Maximum log file size in MB before rotating(Will restart mdatp)

Gebruiksvoorbeeld: sudo ./MDESupportTool -d

Opmerking

De functie voor automatisch opnieuw instellen op logboekniveau is alleen beschikbaar in 2405 of nieuwere clientversie.

Positionele argumenten

Prestatiegegevens verzamelen

Verzamel uitgebreide tracering van machineprestaties voor analyse van een prestatiescenario dat op aanvraag kan worden gereproduceerd.

-h, --help            show this help message and exit
--frequency FREQUENCY
                      profile at this frequency
--length LENGTH       length of time to collect (in seconds)

Gebruiksvoorbeeld: sudo ./MDESupportTool performance --frequency 2

Modus uitsluiten

Uitsluitingen toevoegen voor gecontroleerde bewaking.

Opmerking

Deze functionaliteit bestaat alleen voor Linux.

  -h, --help            show this help message and exit
  -e <executable>, --exe <executable>
                        exclude by executable name, i.e: bash
  -p <process id>, --pid <process id>
                        exclude by process id, i.e: 911
  -d <directory>, --dir <directory>
                        exclude by target path, i.e: /var/foo/bar
  -x <executable> <directory>, --exe_dir <executable> <directory>
                        exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
  -q <q_size>, --queue <q_size>
                        set dispatcher q_depth size
  -r, --remove          remove exclusion file
  -s, --stat            get statistics about common executables
  -l, --list            list auditd rules
  -o, --override        Override the existing auditd exclusion rules file for mdatp
  -c <syscall number>, --syscall <syscall number>
                        exclude all process of the given syscall

Gebruiksvoorbeeld: sudo ./MDESupportTool exclude -d /var/foo/bar

AuditD-frequentielimiet

Syntaxis die kan worden gebruikt om het aantal gebeurtenissen te beperken dat wordt gerapporteerd door de auditD-invoegtoepassing. Met deze optie stelt u de frequentielimiet globaal in voor AuditD, waardoor alle controlegebeurtenissen afnemen. Wanneer de limiter is ingeschakeld, is het aantal gecontroleerde gebeurtenissen beperkt tot 2500 gebeurtenissen per seconde. Deze optie kan worden gebruikt in gevallen waarin we een hoog CPU-gebruik zien aan de zijde van AuditD.

Opmerking

Deze functionaliteit bestaat alleen voor Linux.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the rate limit with default values

Gebruiksvoorbeeld: sudo ./mde_support_tool.sh ratelimit -e true

Opmerking

Deze functionaliteit moet zorgvuldig worden gebruikt om het aantal gebeurtenissen te beperken dat door het gecontroleerde subsysteem als geheel wordt gerapporteerd. Dit kan ook het aantal gebeurtenissen voor andere abonnees verminderen.

Foutieve regels overslaan door AuditD

Met deze optie kunt u de onjuiste regels overslaan die zijn toegevoegd aan het bestand met gecontroleerde regels tijdens het laden ervan. Met deze optie kan het gecontroleerde subsysteem regels blijven laden, zelfs als er een onjuiste regel is. Deze optie geeft een overzicht van de resultaten van het laden van de regels. Op de achtergrond wordt met deze optie de auditctl uitgevoerd met de optie -c.

Opmerking

Deze functionaliteit is alleen beschikbaar op Linux.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.

Gebruiksvoorbeeld: sudo ./mde_support_tool.sh skipfaultyrules -e true

Opmerking

Met deze functionaliteit worden de onjuiste regels overgeslagen. De foutieve regel moet vervolgens verder worden geïdentificeerd en opgelost.

Inhoud van het resultaatpakket in Linux

Bestand	Beschrijving
report.html	Het belangrijkste HTML-uitvoerbestand met de bevindingen en richtlijnen voor het uitvoeren van het hulpprogramma clientanalyse op het apparaat. Dit bestand wordt alleen gegenereerd bij het uitvoeren van de Python-versie van het hulpprogramma clientanalyse.
mde_diagnostic.zip	Dezelfde diagnostische uitvoer die wordt gegenereerd bij het uitvoeren van mdatp diagnostic create op Linux.
mde.xml	XML-uitvoer die wordt gegenereerd tijdens het uitvoeren en wordt gebruikt om het HTML-rapportbestand te bouwen.
Processes_information.txt	Bevat de details van de actieve Microsoft Defender voor Eindpunt gerelateerde processen op het systeem.
Log.txt	Bevat dezelfde logboekberichten die tijdens het verzamelen van gegevens op het scherm zijn geschreven.
Health.txt	Dezelfde basisstatusuitvoer die wordt weergegeven bij het uitvoeren van de opdracht mdatp-status .
Events.xml	Een ander XML-bestand dat door de analyse wordt gebruikt bij het samenstellen van het HTML-rapport.
Audited_info.txt	Details over gecontroleerde service en gerelateerde onderdelen voor het Linux-besturingssysteem .
perf_benchmark.tar.gz	De prestatietestrapporten. U ziet dit bestand alleen als u de prestatieparameter gebruikt.

Zie ook

• Overzicht van Client Analyzer

• Download en voer de Client Analyzer

• De Client Analyzer uitvoeren in Windows

• De Client Analyzer uitvoeren in macOS of Linux

• Verzamelen van gegevens voor geavanceerde probleemoplossing in Windows

• Understand the analyzer HTML report

Documenten voor het oplossen van problemen met Defender voor Eindpunt op Linux

• Installatieproblemen voor Microsoft Defender voor Eindpunt in Linux oplossen

• Statusproblemen van agent onderzoeken

• Verbindingsproblemen met de cloud oplossen voor Microsoft Defender voor Eindpunt in Linux

• Prestatieproblemen voor Microsoft Defender voor Eindpunt in Linux oplossen

• Problemen met ontbrekende gebeurtenissen of waarschuwingen voor Microsoft Defender voor Eindpunt in Linux oplossen

• Actie ondernemen voor fout-positieven/-negatieven in Microsoft Defender voor Eindpunt

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.