Delen via


Ondersteuningslogboeken verzamelen in Microsoft Defender voor Eindpunt met behulp van liverespons

Van toepassing op:

Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Wanneer u contact opneemt met ondersteuning, wordt u mogelijk gevraagd het uitvoerpakket van het hulpprogramma Microsoft Defender voor Eindpunt Client Analyzer op te geven.

In dit artikel vindt u instructies voor het uitvoeren van het hulpprogramma via Live Response in Windows en op Linux-computers.

Windows

  1. Download en haal de vereiste scripts op die beschikbaar zijn in de submap Extra van de Microsoft Defender voor Eindpunt Client Analyzer.

    Als u bijvoorbeeld de basisgegevens van de sensor en de statuslogboeken van het apparaat wilt ophalen, haalt u op ..\Tools\MDELiveAnalyzer.ps1.

    • Als u aanvullende logboeken nodig hebt met betrekking tot Microsoft Defender Antivirus, gebruikt ..\Tools\MDELiveAnalyzerAV.ps1u .
    • Als u Microsoft Endpoint Data Loss Prevention gerelateerde logboeken nodig hebt, gebruikt ..\Tools\MDELiveAnalyzerDLP.ps1u .
    • Als u netwerk- en Windows Filter Platform-gerelateerde logboeken nodig hebt, gebruikt ..\Tools\MDELiveAnalyzerNet.ps1u .
    • Als u procescontrolelogboeken nodig hebt, gebruikt ..\Tools\MDELiveAnalyzerAppCompat.ps1u .
  2. Start een Live Response-sessie op de computer die u wilt onderzoeken.

  3. Selecteer Bestand uploaden naar bibliotheek.

    Het uploadbestand

  4. Selecteer Bestand kiezen.

    De knop Bestand kiezen-1

  5. Selecteer het gedownloade bestand met de naam MDELiveAnalyzer.ps1en selecteer vervolgens Bevestigen.

    De knop Bestand kiezen-2

    Herhaal deze stap voor het MDEClientAnalyzerPreview.zip bestand.

  6. Terwijl u zich nog in de LiveResponse-sessie bevindt, gebruikt u de volgende opdrachten om de analyse uit te voeren en het resulterende bestand te verzamelen.

    Putfile MDEClientAnalyzerPreview.zip
    Run MDELiveAnalyzer.ps1
    GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDECA\MDEClientAnalyzerResult.zip"
    

    Afbeelding van opdrachten.

Aanvullende informatie

  • De nieuwste preview-versie van MDEClientAnalyzer kan hier worden gedownload: https://aka.ms/MDEClientAnalyzerPreview.

  • Als u niet kunt toestaan dat de computer de bovenstaande URL bereikt, uploadt MDEClientAnalyzerPreview.zip u het bestand naar de bibliotheek voordat u het LiveAnalyzer-script uitvoert:

    PutFile MDEClientAnalyzerPreview.zip -overwrite
    Run MDELiveAnalyzer.ps1
    GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDECA\MDEClientAnalyzerResult.zip"
    
  • Voor meer informatie over het lokaal verzamelen van gegevens op een computer voor het geval de computer niet communiceert met Microsoft Defender voor Eindpunt cloudservices of niet wordt weergegeven in Microsoft Defender voor Eindpunt portal zoals verwacht, raadpleegt u Clientconnectiviteit controleren met Microsoft Defender voor Eindpunt service-URL's.

  • Zoals beschreven in voorbeelden van livereactieopdrachten, kunt u het & symbool aan het einde van de opdracht gebruiken om logboeken te verzamelen als achtergrondactie:

    Run MDELiveAnalyzer.ps1&
    

Linux

Het hulpprogramma XMDE Client Analyzer kan worden gedownload als een binair of Python-pakket dat kan worden geëxtraheerd en uitgevoerd op Linux-machines. Beide versies van de XMDE Client Analyzer kunnen worden uitgevoerd tijdens een live-antwoordsessie.

Vereisten

  • Voor de installatie is het unzip pakket vereist.

  • Voor de uitvoering is het acl pakket vereist.

Belangrijk

Venster gebruikt de onzichtbare tekens Carriage Return en Line Feed om het einde van één regel en het begin van een nieuwe regel in een bestand aan te geven, maar Linux-systemen gebruiken alleen het onzichtbare teken Regelfeed aan het einde van de bestandsregels. Als u de volgende scripts gebruikt, kan dit verschil leiden tot fouten en fouten van de scripts die moeten worden uitgevoerd. Een mogelijke oplossing hiervoor is om de Windows-subsysteem voor Linux en het dos2unix pakket te gebruiken om het script opnieuw op te maken, zodat het overeenkomt met de unix- en Linux-indelingsstandaard.

XMDE Client Analyzer installeren

Beide versies van XMDE Client Analyzer, binair en Python, een zelfstandig pakket dat moet worden gedownload en geëxtraheerd voordat het wordt uitgevoerd, en de volledige set stappen voor dit proces kan worden gevonden:

Vanwege de beperkte opdrachten die beschikbaar zijn in Live Response, moeten de gedetailleerde stappen worden uitgevoerd in een bash-script. Door het installatie- en uitvoeringsgedeelte van deze opdrachten te splitsen, is het mogelijk om het installatiescript eenmaal uit te voeren, terwijl het uitvoeringsscript meerdere keren wordt uitgevoerd.

Belangrijk

In de voorbeeldscripts wordt ervan uitgegaan dat de computer directe internettoegang heeft en de XMDE Client Analyzer van Microsoft kan ophalen. Als de computer geen directe toegang tot internet heeft, moeten de installatiescripts worden bijgewerkt om de XMDE Client Analyzer op te halen vanaf een locatie waar de machines toegang tot hebben.

Binaire Client Analyzer-installatiescript

Met het volgende script worden de eerste zes stappen van het uitvoeren van de binaire versie van Client Analyzer uitgevoerd. Wanneer dit is voltooid, is het binaire bestand XMDE Client Analyzer beschikbaar in de /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer map.

  1. Maak een bash-bestand InstallXMDEClientAnalyzer.sh en plak de volgende inhoud erin.

    #! /usr/bin/bash
    
    echo "Starting Client Analyzer Script. Running As:"
    whoami
    
    echo "Getting XMDEClientAnalyzerBinary"
    wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://go.microsoft.com/fwlink/?linkid=2297517
    echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c
    
    echo "Unzipping XMDEClientAnalyzerBinary.zip"
    unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary
    
    echo "Unzipping SupportToolLinuxBinary.zip"
    unzip -q /tmp/XMDEClientAnalyzerBinary/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
    
    echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
    
    

Python Client Analyzer-installatiescript

Met het volgende script worden de eerste zes stappen uitgevoerd van de Python-versie van Client Analyzer uitvoeren. Wanneer u klaar bent, zijn de Python-scripts van XMDE Client Analyzer beschikbaar vanuit de /tmp/XMDEClientAnalyzer map.

  1. Maak een bash-bestand InstallXMDEClientAnalyzer.sh en plak de volgende inhoud erin.

    #! /usr/bin/bash
    
    echo "Starting Client Analyzer Install Script. Running As:"
    whoami
    
    echo "Getting XMDEClientAnalyzer.zip"
    wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer 
    echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c  
    
    echo "Unzipping XMDEClientAnalyzer.zip"
    unzip -q XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer  
    
    echo "Setting execute permissions on mde_support_tool.sh script"
    cd /tmp/XMDEClientAnalyzer 
    chmod a+x mde_support_tool.sh  
    
    echo "Performing final support tool setup"
    ./mde_support_tool.sh
    
    

De Client Analyzer-installatiescripts uitvoeren

  1. Start een Live Response-sessie op de computer die u wilt onderzoeken.

  2. Selecteer Bestand uploaden naar bibliotheek.

  3. Selecteer Bestand kiezen.

  4. Selecteer het gedownloade bestand met de naam InstallXMDEClientAnalyzer.shen selecteer vervolgens Bevestigen.

  5. Terwijl u zich nog in de LiveResponse-sessie bevindt, gebruikt u de volgende opdrachten om de analyzer te installeren:

    run InstallXMDEClientAnalyzer.sh
    

XMDE Client Analyzer uitvoeren

Live Response biedt geen ondersteuning voor het rechtstreeks uitvoeren van XMDE Client Analyzer of Python, dus een uitvoeringsscript is nodig.

Belangrijk

In de volgende scripts wordt ervan uitgegaan dat XMDE Client Analyzer is geïnstalleerd met dezelfde locaties uit de eerder genoemde scripts. Als uw organisatie ervoor heeft gekozen om de scripts op een andere locatie te installeren, moeten de volgende scripts worden bijgewerkt om te worden afgestemd op de gekozen installatielocatie van uw organisatie.

Binary Client Analyzer Script uitvoeren

De Binary Client Analyzer accepteert opdrachtregelparameters om verschillende analysetests uit te voeren. Om vergelijkbare mogelijkheden te bieden tijdens liverespons, maakt het uitvoeringsscript gebruik van de $@ bash-variabele om alle invoerparameters die aan het script zijn opgegeven, door te geven aan de XMDE Client Analyzer.

  1. Maak een bash-bestand MDESupportTool.sh en plak de volgende inhoud erin.

    #! /usr/bin/bash
    
    echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
    cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
    
    echo "Running MDESupportTool"
    ./MDESupportTool $@
    
    

Python Client Analyzer Script uitvoeren

De Python Client Analyzer accepteert opdrachtregelparameters om verschillende analysetests uit te voeren. Om vergelijkbare mogelijkheden te bieden tijdens liverespons, maakt het uitvoeringsscript gebruik van de $@ bash-variabele om alle invoerparameters die aan het script zijn opgegeven, door te geven aan de XMDE Client Analyzer.

  1. Maak een bash-bestand MDESupportTool.sh en plak de volgende inhoud erin.

    #! /usr/bin/bash  
    
    echo "cd /tmp/XMDEClientAnalyzer"
    cd /tmp/XMDEClientAnalyzer 
    
    echo "Running mde_support_tool"
    ./mde_support_tool.sh $@
    
    

Het Client Analyzer-script uitvoeren

Opmerking

Als u een actieve liveresponssessie hebt, kunt u stap 1 overslaan.

  1. Start een Live Response-sessie op de computer die u wilt onderzoeken.

  2. Selecteer Bestand uploaden naar bibliotheek.

  3. Selecteer Bestand kiezen.

  4. Selecteer het gedownloade bestand met de naam MDESupportTool.shen selecteer vervolgens Bevestigen.

  5. Gebruik de volgende opdrachten om de analyse uit te voeren en het resulterende bestand te verzamelen terwijl u zich nog in de livereactiesessie bevindt.

    run MDESupportTool.sh -parameters "--bypass-disclaimer -d"
    GetFile "/tmp/your_archive_file_name_here.zip"
    

Zie ook

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.