De client analyzer uitvoeren in Linux

Van toepassing op:

• Plan 2 voor Microsoft Defender voor Eindpunt
• Microsoft Defender XDR

Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Als u problemen hebt met Microsoft Defender voor Eindpunt in Linux en ondersteuning nodig hebt, wordt u mogelijk gevraagd om de uitvoer van het hulpprogramma Client Analyzer op te geven. In dit artikel wordt uitgelegd hoe u het hulpprogramma op uw apparaat of met een live-reactie gebruikt. U kunt een op Python gebaseerde oplossing of een binaire versie gebruiken waarvoor Python niet nodig is.

De binaire versie van de clientanalyse uitvoeren

1. Download het binaire hulpprogramma XMDE Client Analyzer naar de Linux-computer die u wilt onderzoeken. Als u een terminal gebruikt, downloadt u het hulpprogramma door de volgende opdracht in te voeren:

   wget --quiet -O XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary
   

2. Controleer het downloaden.

   echo '4E96E75B16244BB25BDBF34CBB3EB596BC2E9CE368BC4E532E8AE12DF2A1E19D XMDEClientAnalyzerBinary.zip' | sha256sum -c
   

3. Pak de inhoud van XMDEClientAnalyzerBinary.zip op de computer uit.

   unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary
   

4. Wijzig de map:

   cd XMDEClientAnalyzerBinary
   

5. Er worden twee nieuwe zip-bestanden geproduceerd:

   • SupportToolLinuxBinary.zip: voor alle Linux-apparaten
   • SupportToolMacOSBinary.zip: voor Mac-apparaten

6. Pak het bestand uit SupportToolLinuxBinary.zip .

   unzip -q SupportToolLinuxBinary.zip
   

7. Voer het hulpprogramma uit als hoofdmap om een diagnostisch pakket te genereren:

   sudo ./MDESupportTool -d
   

De clientanalyse op basis van Python uitvoeren

Opmerking

• De analyzer is afhankelijk van een paar extra PIP-pakketten (decorator, sh, distro, lxmlen psutil) die in het besturingssysteem zijn geïnstalleerd wanneer ze zich in de hoofdmap bevinden om de resultaatuitvoer te produceren. Als deze niet is geïnstalleerd, probeert de analyzer het op te halen uit de officiële opslagplaats voor Python-pakketten.
• Bovendien vereist het hulpprogramma momenteel dat Python versie 3 of hoger op uw apparaat is geïnstalleerd.
• Als uw apparaat zich achter een proxy bevindt, kunt u de proxyserver als omgevingsvariabele doorgeven aan het mde_support_tool.sh script. Bijvoorbeeld: https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh".

Waarschuwing

Voor het uitvoeren van de clientanalyse op basis van Python is de installatie van PIP-pakketten vereist, wat problemen in uw omgeving kan veroorzaken. Om te voorkomen dat er problemen optreden, raden we u aan de pakketten te installeren in een PIP-gebruikersomgeving.

1. Download het hulpprogramma XMDE Client Analyzer op de Linux-computer die u wilt onderzoeken. Als u een terminal gebruikt, downloadt u het hulpprogramma door de volgende opdracht in te voeren:

   wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer
   

2. Controleer het downloaden.

   echo '07E6A7B89E28A78309D5B6F1E25E4CDFBA9CA141450E422D76441C03AD3477E7 XMDEClientAnalyzer.zip' | sha256sum -c
   

3. Pak de inhoud van XMDEClientAnalyzer.zip op de computer uit.

   unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzer
   

4. Wijzig de map.

   cd XMDEClientAnalyzer
   

5. Geef het hulpprogramma een uitvoerbare machtiging.

   chmod a+x mde_support_tool.sh
   

6. Voer uit als een niet-basisgebruiker om vereiste afhankelijkheden te installeren.

   ./mde_support_tool.sh
   

7. Voer opnieuw uit als hoofdbestand om het diagnostische pakket te verzamelen en het archiefbestand met resultaten te genereren.

   sudo ./mde_support_tool.sh -d
   

Opdrachtregelopties

Hieronder ziet u de opdrachtregelopties van client analyzer

usage: MDESupportTool [-h] [--output OUTPUT] [--outdir OUTDIR] [--no-zip]
                      [--force] [--diagnostic] [--skip-mdatp]
                      [--bypass-disclaimer] [--interactive] [--delay DELAY]
                      [--mdatp-log {trace,info,warning,error,debug,verbose}]
                      [--max-log-size MAX_LOG_SIZE]
                      {certinfocollection,performance,installation,exclude,ratelimit,skipfaultyrules,trace,observespikes,connectivitytest}
                      ...

MDE Diagnostics Tool

positional arguments:
  {certinfocollection,performance,installation,exclude,ratelimit,skipfaultyrules,trace,observespikes,connectivitytest}
    certinfocollection  Collect cert information: Subject name and Hashes
    performance         Collect extensive machine performance tracing for
                        analysis of a performance scenario that can be
                        reproduced on demand
    installation        Collect different installation/onboarding reports
    exclude             Exclude specific processes from audit-d monitoring.
    ratelimit           Set the rate limit for auditd events. Rate limit will
                        update the limits for auditd events for all the
                        applications using auditd, which could impact
                        applications other than MDE.
    skipfaultyrules     Continue loading rules in spite of an error. This
                        summarizes the results of loading the rules. The exit
                        code will not be success if any rule fails to load.
    trace               Use OS tracing facilities to record Defender
                        performance traces.
    observespikes       Collect the process logs in case of spike or mdatp
                        crash
    connectivitytest    Perform connectivity test for MDE

optional arguments:
  -h, --help            show this help message and exit
  --output OUTPUT, -o OUTPUT
                        Output path to export report
  --outdir OUTDIR       Directory where diagnostics file will be generated.
  --no-zip, -nz         If set a directory will be created instead of an
                        archive file.
  --force, -f           Will overwrite if output directory exists.
  --diagnostic, -d      Collect extensive machine diagnostic information.
  --skip-mdatp          Skip any mdatp command. Use this when the mdatp
                        command is unresponsive.
  --bypass-disclaimer   Do not display disclaimer banner.
  --interactive, -i     Interactive diagnostic,
  --delay DELAY, -dd DELAY
                        Delay diagnostic by how many minutes (0~2880), use
                        this to wait for more debug logs before it collects.
  --mdatp-log {trace,info,warning,error,debug,verbose}
                        Set MDATP log level. If you use interactive or delay
                        mode, the log level will set to debug automatically,
                        and reset after 48h.
  --max-log-size MAX_LOG_SIZE
                        Maximum log file size in MB before rotating(Will
                        restart mdatp).

Diagnostische modus

De diagnostische modus wordt gebruikt om een uitgebreide set computergegevens te verzamelen, zoals geheugen-, schijf- en MDATP-logboeken. Deze set bestanden bevat de primaire set gegevens die nodig zijn om fouten op te sporen met betrekking tot Defender for Endpoint.

De ondersteunde opties zijn als volgt:

optional arguments:
  -h, --help            show this help message and exit
  --output OUTPUT, -o OUTPUT
                        Output path to export report
  --outdir OUTDIR       Directory where diagnostics file will be generated.
  --no-zip, -nz         If set a directory will be created instead of an
                        archive file.
  --force, -f           Will overwrite if output directory exists.
  --diagnostic, -d      Collect extensive machine diagnostic information.
  --skip-mdatp          Skip any mdatp command. Use this when the mdatp
                        command is unresponsive.
  --bypass-disclaimer   Do not display disclaimer banner.
  --interactive, -i     Interactive diagnostic,
  --delay DELAY, -dd DELAY
                        Delay diagnostic by how many minutes (0~2880), use
                        this to wait for more debug logs before it collects.
  --mdatp-log {trace,info,warning,error,debug,verbose}
                        Set MDATP log level. If you use interactive or delay
                        mode, the log level will set to debug automatically,
                        and reset after 48h.
  --max-log-size MAX_LOG_SIZE
                        Maximum log file size in MB before rotating(Will
                        restart mdatp).

Gebruiksvoorbeeld: sudo ./MDESupportTool -d

Opmerking

De functie voor automatisch opnieuw instellen op logboekniveau is alleen beschikbaar in agentversie 101.24052.0002 of hoger.

De bestanden die worden gegenereerd wanneer u deze modus gebruikt, worden samengevat in de volgende tabel:

Bestand	Opmerkingen
mde_diagnostic.zip	Defender for Endpoint-logboeken en -configuraties
health.txt	De status van Defender voor Eindpunt (Alleen aanwezig wanneer Defender voor Eindpunt is geïnstalleerd)
health_details_features.txt	De status van andere Defender voor Eindpunt-functies (Alleen aanwezig wanneer Defender voor Eindpunt is geïnstalleerd)
permissions.txt	Machtigingsproblemen met mappen die eigendom zijn van/worden gebruikt door Defender for Endpoint (Alleen aanwezig wanneer Defender voor Eindpunt is geïnstalleerd)
crashes	Crashdumps gegenereerd door Defender voor Eindpunt
process_information.txt	Proces dat wordt uitgevoerd op de computer toen het hulpprogramma werd uitgevoerd
proc_directory_info.txt	Toewijzing van het virtuele geheugen van Defender voor Eindpunt-processen (Alleen aanwezig wanneer Defender voor Eindpunt is geïnstalleerd)
auditd_info.txt	Gecontroleerde status, regels, logboeken
auditd_log_analysis.txt	Samenvatting van gebeurtenissen die worden verwerkt door gecontroleerde
auditd_logs.zip	Gecontroleerde logboekbestanden
ebpf_kernel_config.txt	Momenteel geladen Linux-kernelconfiguratie
ebpf_enabled_func.txt	Lijst met alle kernelfuncties die momenteel zijn ingeschakeld voor tracering
ebpf_syscalls.zip	Informatie over tracering van systeemoproepen
ebpf_raw_syscalls.zip	Gebeurtenissen traceren die betrekking hebben op onbewerkte systeemoproepen
ebpf_maps_info.txt	Id- en groottegegevens van eBPF-kaarten
syslog.zip	De bestanden onder /var/log/syslog
messages.zip	De bestanden onder /var/log/messages
conflicting_processes_information.txt	Defender voor eindpunt conflicterende processen
exclusions.txt	Lijst met antivirusuitsluitingen
definitions.txt	Informatie over antivirusdefinities
mde_directories.txt	Lijst met bestanden in de Directory's van Defender voor Eindpunt
disk_usage.txt	Gegevens over schijfgebruik
mde_user.txt	Gebruikersgegevens van Defender voor Eindpunt
mde_definitions_mount.txt	Defender voor eindpuntdefinities Koppelpunt
service_status.txt	Servicestatus van Defender voor Eindpunt
service_file.txt	Servicebestand voor Defender voor Eindpunt
hardware_info.txt	Hardwaregegevens
mount.txt	Informatie over koppelpunt
uname.txt	Kernelgegevens
memory.txt	Informatie over systeemgeheugen
meminfo.txt	Gedetailleerde informatie over het geheugengebruik van het systeem
cpuinfo.txt	CPU-informatie
lsns_info.txt	Linux-naamruimtegegevens
lsof.txt	Informatie over open file descriptors van Defender for Endpoint (zie de opmerking na deze tabel)
sestatus.txt	Informatie over open file descriptors van Defender for Endpoint
lsmod.txt	Status van modules in de Linux-kernel
dmesg.txt	Berichten van de kernelringbuffer
kernel_lockdown.txt	kernelvergrendelingsgegevens
rtp_statistics.txt	Statistieken van Defender for Endpoint Real Time Protection (RTP) (Alleen aanwezig wanneer Defender voor Eindpunt is geïnstalleerd)
libc_info.txt	libc-bibliotheekgegevens
uptime_info.txt	Tijd sinds de laatste keer opnieuw opstarten
last_info.txt	Lijst met laatst aangemelde gebruikers
locale_info.txt	Huidige landinstelling weergeven
tmp_files_owned_by_mdatp.txt	/tmp-bestanden die eigendom zijn van groep: mdatp (Alleen aanwezig wanneer Defender voor Eindpunt is geïnstalleerd)
mdatp_config.txt	Alle Defender voor Eindpunt-configuraties (Alleen aanwezig wanneer Defender voor Eindpunt is geïnstalleerd)
mpenginedb.db mpenginedb.db-wal mpenginedb.db-shm	Bestand met antivirusdefinities (Alleen aanwezig wanneer Defender voor Eindpunt is geïnstalleerd)
iptables_rules.txt	Linux iptables-regels
network_info.txt	Netwerkgegevens
sysctl_info.txt	informatie over kernelinstellingen
hostname_diagnostics.txt	Diagnostische gegevens van hostnaam
mde_event_statistics.txt	Gebeurtenisstatistieken van Defender voor Eindpunt (Alleen aanwezig wanneer Defender voor Eindpunt is geïnstalleerd)
mde_ebpf_statistics.txt	EBPF-statistieken van Defender voor Eindpunt (Alleen aanwezig wanneer Defender voor Eindpunt is geïnstalleerd)
kernel_logs.zip	Kernellogboeken
mdc_log.zip	Microsoft Defender voor cloudlogboeken
netext_config.txt
threat_list.txt	Lijst met bedreigingen gedetecteerd door Defender voor Eindpunt (Alleen aanwezig wanneer Defender voor Eindpunt is geïnstalleerd)
top_output.txt	Proces dat wordt uitgevoerd op de computer toen het hulpprogramma werd uitgevoerd
top_summary.txt	Analyse van geheugen- en CPU-gebruik van het actieve proces

Optionele argumenten voor Client Analyzer

Client Analyzer biedt de volgende optionele argumenten voor extra gegevensverzameling:

Prestatiegegevens verzamelen

Verzamel uitgebreide machineprestatietracering van Defender voor Eindpunt-processen voor analyse van een prestatiescenario dat op aanvraag kan worden gereproduceerd.

-h, --help            show this help message and exit
--frequency FREQUENCY
                      profile at this frequency
--length LENGTH       length of time to collect (in seconds)

Gebruiksvoorbeeld: sudo ./MDESupportTool performance --frequency 500

Hieronder ziet u het bestand dat wordt gegenereerd wanneer u deze modus gebruikt:

Bestand	Opmerkingen
perf_benchmark.tar.gz	Defender voor Eindpunt verwerkt prestatiegegevens

Opmerking

De bestanden die overeenkomen met de diagnostische modus worden ook gegenereerd.

De tar bevat bestanden in de indeling <pid of a MDE process>.data. Het gegevensbestand kan worden gelezen met behulp van de opdracht:

perf report -i <pid>.data

Connectiviteitstest uitvoeren

Deze modus test of de cloudresources die nodig zijn voor Defender voor Eindpunt bereikbaar zijn of niet.

  -h, --help            show this help message and exit
  -o ONBOARDING_SCRIPT, --onboarding-script ONBOARDING_SCRIPT
                        Path to onboarding script
  -g GEO, --geo GEO     Geo string to test <US|UK|EU|AU|CH|IN>

Gebruiksvoorbeeld:

sudo ./MDESupportTool connectivitytest -o ~/MicrosoftDefenderATPOnboardingLinuxServer.py`

De uitvoer die op het scherm wordt afgedrukt, geeft aan of de URL's bereikbaar zijn of niet.

Verschillende installatie-/onboardingrapporten verzamelen

Met deze modus worden installatiegerelateerde informatie verzameld, zoals distributie en systeemvereisten.

  -h, --help    show this help message and exit
  -d, --distro  Check for distro support
  -a, --all     Run all checks

Gebruiksvoorbeeld:

sudo ./MDESupportTool installation --all

Er wordt één rapport installation_report.json gegenereerd. De sleutels in het bestand zijn als volgt:

Sleutel	Opmerkingen
agent_version	Versie van Defender voor Eindpunt geïnstalleerd
onboarding_status	De informatie over onboarding en bellen

Modus uitsluiten

In deze modus worden uitsluitingen voor audit-d bewaking toegevoegd.

  -h, --help            show this help message and exit
  -e <executable>, --exe <executable>
                        exclude by executable name, i.e: bash
  -p <process id>, --pid <process id>
                        exclude by process id, i.e: 911
  -d <directory>, --dir <directory>
                        exclude by target path, i.e: /var/foo/bar
  -x <executable> <directory>, --exe_dir <executable> <directory>
                        exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
  -q <q_size>, --queue <q_size>
                        set dispatcher q_depth size
  -r, --remove          remove exclusion file
  -s, --stat            get statistics about common executables
  -l, --list            list auditd rules
  -o, --override        Override the existing auditd exclusion rules file for mdatp
  -c <syscall number>, --syscall <syscall number>
                        exclude all process of the given syscall

Gebruiksvoorbeeld:

sudo ./MDESupportTool exclude -d /var/foo/bar`

AuditD-frequentielimiet

Met deze optie stelt u de frequentielimiet globaal in voor AuditD, waardoor alle controlegebeurtenissen afnemen. Wanneer de limiet is ingeschakeld, worden de gecontroleerde gebeurtenissen beperkt tot 2500 gebeurtenissen per seconde. Deze optie kan worden gebruikt in gevallen waarin we een hoog CPU-gebruik zien aan de zijde van AuditD.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the rate limit with default values

Gebruiksvoorbeeld:

sudo ./mde_support_tool.sh ratelimit -e true

Opmerking

Deze functionaliteit moet zorgvuldig worden gebruikt omdat het aantal gebeurtenissen dat het gecontroleerde subsysteem als geheel rapporteert, wordt beperkt. Dit kan ook het aantal gebeurtenissen voor andere abonnees verminderen.

Foutieve regels overslaan door AuditD

Met deze optie kunt u de onjuiste regels overslaan die zijn toegevoegd aan het bestand met gecontroleerde regels tijdens het laden ervan. Hiermee kan het gecontroleerde subsysteem regels blijven laden, zelfs als er een foutieve regel is.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.

Gebruiksvoorbeeld:

sudo ./mde_support_tool.sh skipfaultyrules -e true

Opmerking

Met deze functionaliteit worden de onjuiste regels overgeslagen. Foutieve regels moeten verder worden geïdentificeerd en opgelost.

Live-reactie in Defender voor Eindpunt gebruiken om ondersteuningslogboeken te verzamelen

Het hulpprogramma XMDE Client Analyzer kan worden gedownload als een binair of Python-pakket dat kan worden geëxtraheerd en uitgevoerd op Linux-machines. Beide versies van de XMDE Client Analyzer kunnen worden uitgevoerd tijdens een live-antwoordsessie.

• Voor de installatie is het unzip pakket vereist.
• Voor de uitvoering is het acl pakket vereist.

Belangrijk

Venster gebruikt de onzichtbare tekens Carriage Return en Line Feed om het einde van één regel en het begin van een nieuwe regel in een bestand aan te geven, maar Linux-systemen gebruiken alleen het onzichtbare teken Regelfeed aan het einde van de bestandsregels. Wanneer u de volgende scripts gebruikt, kan dit verschil leiden tot fouten en fouten van de scripts die moeten worden uitgevoerd in Windows. Een mogelijke oplossing hiervoor is om de Windows-subsysteem voor Linux en het dos2unix pakket te gebruiken om het script opnieuw op te maken, zodat het overeenkomt met de unix- en Linux-indelingsstandaard.

XMDE Client Analyzer installeren

Download en pak de XMDE Client Analyzer uit. U kunt de binaire of Python-versie als volgt gebruiken:

• Binaire versie van Client Analyzer
• Python-versie van Client Analyzer

Vanwege de beperkte opdrachten die beschikbaar zijn in het live-antwoord, moeten de stappen die worden beschreven, worden uitgevoerd in een bash-script. Door het installatie- en uitvoeringsgedeelte van deze opdrachten te splitsen, is het mogelijk om het installatiescript eenmaal uit te voeren en het uitvoeringsscript meerdere keren uit te voeren.

Belangrijk

In de voorbeeldscripts wordt ervan uitgegaan dat de computer directe internettoegang heeft en de XMDE Client Analyzer van Microsoft kan ophalen. Als de machine geen directe toegang tot internet heeft, moeten de installatiescripts worden bijgewerkt om de XMDE Client Analyzer op te halen vanaf een locatie waar de machines toegang hebben.

Binaire client analyzer-installatiescript

Met het volgende script worden de eerste zes stappen van het uitvoeren van de binaire versie van Client Analyzer uitgevoerd. Wanneer dit is voltooid, is het binaire bestand XMDE Client Analyzer beschikbaar in de /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer map.

1. Maak een bash-bestand InstallXMDEClientAnalyzer.sh en plak de volgende inhoud erin.

   #! /usr/bin/bash 
   
   echo "Starting Client Analyzer Script. Running As:"
   whoami
   
   echo "Getting XMDEClientAnalyzerBinary"
   wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary
   echo '4E96E75B16244BB25BDBF34CBB3EB596BC2E9CE368BC4E532E8AE12DF2A1E19D /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c
   
   echo "Unzipping XMDEClientAnalyzerBinary.zip"
   unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary
   
   echo "Unzipping SupportToolLinuxBinary.zip"
   unzip -q /tmp/XMDEClientAnalyzerBinary/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
   
   echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
   
   

Installatiescript voor Python-clientanalyse

Met het volgende script worden de eerste zes stappen uitgevoerd van de Python-versie van Client Analyzer uitvoeren. Wanneer u klaar bent, zijn de Python-scripts van XMDE Client Analyzer beschikbaar vanuit de /tmp/XMDEClientAnalyzer map.

1. Maak een bash-bestand InstallXMDEClientAnalyzer.sh en plak de volgende inhoud erin.

   #! /usr/bin/bash
   
   echo "Starting Client Analyzer Install Script. Running As:"
   whoami
   
   echo "Getting XMDEClientAnalyzer.zip"
   wget --quiet -O /tmp/XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer 
   echo '07E6A7B89E28A78309D5B6F1E25E4CDFBA9CA141450E422D76441C03AD3477E7 /tmp/XMDEClientAnalyzer.zip' | sha256sum -c  
   
   echo "Unzipping XMDEClientAnalyzer.zip"
   unzip -q /tmp/XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer  
   
   echo "Setting execute permissions on mde_support_tool.sh script"
   cd /tmp/XMDEClientAnalyzer 
   chmod a+x mde_support_tool.sh  
   
   echo "Performing final support tool setup"
   ./mde_support_tool.sh
   
   

De client analyzer-installatiescripts uitvoeren

1. Start een Live Response-sessie op de computer die u wilt onderzoeken.

2. Selecteer Bestand uploaden naar bibliotheek.

3. Selecteer Bestand kiezen.

4. Selecteer het gedownloade bestand met de naam InstallXMDEClientAnalyzer.shen selecteer vervolgens Bevestigen.

5. Terwijl u zich nog in de LiveResponse-sessie bevindt, gebruikt u de volgende opdrachten om de analyzer te installeren:

   run InstallXMDEClientAnalyzer.sh
   

De XMDE-clientanalyse uitvoeren

Live response biedt geen ondersteuning voor het rechtstreeks uitvoeren van XMDE Client Analyzer of Python, dus een uitvoeringsscript is nodig.

Belangrijk

In de volgende scripts wordt ervan uitgegaan dat XMDE Client Analyzer is geïnstalleerd met dezelfde locaties uit de eerder genoemde scripts. Als uw organisatie ervoor kiest om de scripts op een andere locatie te installeren, moeten de scripts worden bijgewerkt om te worden afgestemd op de gekozen installatielocatie van uw organisatie.

Script voor het uitvoeren van de binaire clientanalyse

De binaire versie van de client analyzer accepteert opdrachtregelparameters om verschillende analysetests uit te voeren. Om vergelijkbare mogelijkheden te bieden tijdens het live-antwoord, maakt het uitvoeringsscript gebruik van de $@ bash-variabele om alle invoerparameters die aan het script zijn verstrekt, door te geven aan de XMDE Client Analyzer.

1. Maak een bash-bestand MDESupportTool.sh en plak de volgende inhoud erin.

   #! /usr/bin/bash
   
   echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
   cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
   
   echo "Running MDESupportTool"
   ./MDESupportTool $@
   
   

Script voor het uitvoeren van Python-clientanalyse

De Python-versie van de clientanalyse accepteert opdrachtregelparameters om verschillende analysetests uit te voeren. Om vergelijkbare mogelijkheden te bieden tijdens het live-antwoord, maakt het uitvoeringsscript gebruik van de $@ bash-variabele om alle invoerparameters die aan het script zijn verstrekt, door te geven aan de XMDE Client Analyzer.

1. Maak een bash-bestand MDESupportTool.sh en plak de volgende inhoud erin.

   #! /usr/bin/bash  
   
   echo "cd /tmp/XMDEClientAnalyzer"
   cd /tmp/XMDEClientAnalyzer 
   
   echo "Running mde_support_tool"
   ./mde_support_tool.sh $@
   
   

Het clientanalysescript uitvoeren

Opmerking

Als u een actieve livereactiesessie hebt, kunt u stap 1 overslaan.

1. Start een Live Response-sessie op de computer die u wilt onderzoeken.

2. Selecteer Bestand uploaden naar bibliotheek.

3. Selecteer Bestand kiezen.

4. Selecteer het gedownloade bestand met de naam MDESupportTool.shen selecteer vervolgens Bevestigen.

5. Terwijl u zich nog in de live-antwoordsessie bevindt, gebruikt u de volgende opdrachten om de analyse uit te voeren en het resulterende bestand te verzamelen:

   run MDESupportTool.sh -parameters "--bypass-disclaimer -d"
   GetFile "/tmp/your_archive_file_name_here.zip"
   

Zie ook

• Overzicht van Client Analyzer

• Download en voer de Client Analyzer

• De Client Analyzer uitvoeren in Windows

• De Client Analyzer uitvoeren in macOS of Linux

• Verzamelen van gegevens voor geavanceerde probleemoplossing in Windows

• Understand the analyzer HTML report

Documenten voor het oplossen van problemen met Defender voor Eindpunt op Linux

• Installatieproblemen voor Microsoft Defender voor Eindpunt in Linux oplossen

• Statusproblemen van agent onderzoeken

• Verbindingsproblemen met de cloud oplossen voor Microsoft Defender voor Eindpunt in Linux

• Prestatieproblemen voor Microsoft Defender voor Eindpunt in Linux oplossen

• Problemen met ontbrekende gebeurtenissen of waarschuwingen voor Microsoft Defender voor Eindpunt in Linux oplossen

• Actie ondernemen voor fout-positieven/-negatieven in Microsoft Defender voor Eindpunt

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.