Ondersteuningslogboeken verzamelen in Microsoft Defender voor Eindpunt met behulp van liverespons
Van toepassing op:
Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.
Wanneer u contact opneemt met ondersteuning, wordt u mogelijk gevraagd het uitvoerpakket van het hulpprogramma Microsoft Defender voor Eindpunt Client Analyzer op te geven.
In dit artikel vindt u instructies voor het uitvoeren van het hulpprogramma via Live Response in Windows en op Linux-computers.
Windows
Download en haal de vereiste scripts op die beschikbaar zijn in de submap Extra van de Microsoft Defender voor Eindpunt Client Analyzer.
Als u bijvoorbeeld de basisgegevens van de sensor en de statuslogboeken van het apparaat wilt ophalen, haalt u op
..\Tools\MDELiveAnalyzer.ps1
.- Als u aanvullende logboeken nodig hebt met betrekking tot Microsoft Defender Antivirus, gebruikt
..\Tools\MDELiveAnalyzerAV.ps1
u . - Als u Microsoft Endpoint Data Loss Prevention gerelateerde logboeken nodig hebt, gebruikt
..\Tools\MDELiveAnalyzerDLP.ps1
u . - Als u netwerk- en Windows Filter Platform-gerelateerde logboeken nodig hebt, gebruikt
..\Tools\MDELiveAnalyzerNet.ps1
u . - Als u procescontrolelogboeken nodig hebt, gebruikt
..\Tools\MDELiveAnalyzerAppCompat.ps1
u .
- Als u aanvullende logboeken nodig hebt met betrekking tot Microsoft Defender Antivirus, gebruikt
Start een Live Response-sessie op de computer die u wilt onderzoeken.
Selecteer Bestand uploaden naar bibliotheek.
Selecteer Bestand kiezen.
Selecteer het gedownloade bestand met de naam
MDELiveAnalyzer.ps1
en selecteer vervolgens Bevestigen.Herhaal deze stap voor het
MDEClientAnalyzerPreview.zip
bestand.Terwijl u zich nog in de LiveResponse-sessie bevindt, gebruikt u de volgende opdrachten om de analyse uit te voeren en het resulterende bestand te verzamelen.
Putfile MDEClientAnalyzerPreview.zip Run MDELiveAnalyzer.ps1 GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDECA\MDEClientAnalyzerResult.zip"
Aanvullende informatie
De nieuwste preview-versie van MDEClientAnalyzer kan hier worden gedownload: https://aka.ms/MDEClientAnalyzerPreview.
Als u niet kunt toestaan dat de computer de bovenstaande URL bereikt, uploadt
MDEClientAnalyzerPreview.zip
u het bestand naar de bibliotheek voordat u het LiveAnalyzer-script uitvoert:PutFile MDEClientAnalyzerPreview.zip -overwrite Run MDELiveAnalyzer.ps1 GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDECA\MDEClientAnalyzerResult.zip"
Voor meer informatie over het lokaal verzamelen van gegevens op een computer voor het geval de computer niet communiceert met Microsoft Defender voor Eindpunt cloudservices of niet wordt weergegeven in Microsoft Defender voor Eindpunt portal zoals verwacht, raadpleegt u Clientconnectiviteit controleren met Microsoft Defender voor Eindpunt service-URL's.
Zoals beschreven in voorbeelden van livereactieopdrachten, kunt u het
&
symbool aan het einde van de opdracht gebruiken om logboeken te verzamelen als achtergrondactie:Run MDELiveAnalyzer.ps1&
Linux
Het hulpprogramma XMDE Client Analyzer kan worden gedownload als een binair of Python-pakket dat kan worden geëxtraheerd en uitgevoerd op Linux-machines. Beide versies van de XMDE Client Analyzer kunnen worden uitgevoerd tijdens een live-antwoordsessie.
Vereisten
Voor de installatie is het
unzip
pakket vereist.Voor de uitvoering is het
acl
pakket vereist.
Belangrijk
Venster gebruikt de onzichtbare tekens Carriage Return en Line Feed om het einde van één regel en het begin van een nieuwe regel in een bestand aan te geven, maar Linux-systemen gebruiken alleen het onzichtbare teken Regelfeed aan het einde van de bestandsregels. Als u de volgende scripts gebruikt, kan dit verschil leiden tot fouten en fouten van de scripts die moeten worden uitgevoerd. Een mogelijke oplossing hiervoor is om de Windows-subsysteem voor Linux en het dos2unix
pakket te gebruiken om het script opnieuw op te maken, zodat het overeenkomt met de unix- en Linux-indelingsstandaard.
XMDE Client Analyzer installeren
Beide versies van XMDE Client Analyzer, binair en Python, een zelfstandig pakket dat moet worden gedownload en geëxtraheerd voordat het wordt uitgevoerd, en de volledige set stappen voor dit proces kan worden gevonden:
Vanwege de beperkte opdrachten die beschikbaar zijn in Live Response, moeten de gedetailleerde stappen worden uitgevoerd in een bash-script. Door het installatie- en uitvoeringsgedeelte van deze opdrachten te splitsen, is het mogelijk om het installatiescript eenmaal uit te voeren, terwijl het uitvoeringsscript meerdere keren wordt uitgevoerd.
Belangrijk
In de voorbeeldscripts wordt ervan uitgegaan dat de computer directe internettoegang heeft en de XMDE Client Analyzer van Microsoft kan ophalen. Als de computer geen directe toegang tot internet heeft, moeten de installatiescripts worden bijgewerkt om de XMDE Client Analyzer op te halen vanaf een locatie waar de machines toegang tot hebben.
Binaire Client Analyzer-installatiescript
Met het volgende script worden de eerste zes stappen van het uitvoeren van de binaire versie van Client Analyzer uitgevoerd. Wanneer dit is voltooid, is het binaire bestand XMDE Client Analyzer beschikbaar in de /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
map.
Maak een bash-bestand
InstallXMDEClientAnalyzer.sh
en plak de volgende inhoud erin.#! /usr/bin/bash echo "Starting Client Analyzer Script. Running As:" whoami echo "Getting XMDEClientAnalyzerBinary" wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://go.microsoft.com/fwlink/?linkid=2297517 echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c echo "Unzipping XMDEClientAnalyzerBinary.zip" unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary echo "Unzipping SupportToolLinuxBinary.zip" unzip -q /tmp/XMDEClientAnalyzerBinary/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
Python Client Analyzer-installatiescript
Met het volgende script worden de eerste zes stappen uitgevoerd van de Python-versie van Client Analyzer uitvoeren. Wanneer u klaar bent, zijn de Python-scripts van XMDE Client Analyzer beschikbaar vanuit de /tmp/XMDEClientAnalyzer
map.
Maak een bash-bestand
InstallXMDEClientAnalyzer.sh
en plak de volgende inhoud erin.#! /usr/bin/bash echo "Starting Client Analyzer Install Script. Running As:" whoami echo "Getting XMDEClientAnalyzer.zip" wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c echo "Unzipping XMDEClientAnalyzer.zip" unzip -q XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer echo "Setting execute permissions on mde_support_tool.sh script" cd /tmp/XMDEClientAnalyzer chmod a+x mde_support_tool.sh echo "Performing final support tool setup" ./mde_support_tool.sh
De Client Analyzer-installatiescripts uitvoeren
Start een Live Response-sessie op de computer die u wilt onderzoeken.
Selecteer Bestand uploaden naar bibliotheek.
Selecteer Bestand kiezen.
Selecteer het gedownloade bestand met de naam
InstallXMDEClientAnalyzer.sh
en selecteer vervolgens Bevestigen.Terwijl u zich nog in de LiveResponse-sessie bevindt, gebruikt u de volgende opdrachten om de analyzer te installeren:
run InstallXMDEClientAnalyzer.sh
XMDE Client Analyzer uitvoeren
Live Response biedt geen ondersteuning voor het rechtstreeks uitvoeren van XMDE Client Analyzer of Python, dus een uitvoeringsscript is nodig.
Belangrijk
In de volgende scripts wordt ervan uitgegaan dat XMDE Client Analyzer is geïnstalleerd met dezelfde locaties uit de eerder genoemde scripts. Als uw organisatie ervoor heeft gekozen om de scripts op een andere locatie te installeren, moeten de volgende scripts worden bijgewerkt om te worden afgestemd op de gekozen installatielocatie van uw organisatie.
Binary Client Analyzer Script uitvoeren
De Binary Client Analyzer accepteert opdrachtregelparameters om verschillende analysetests uit te voeren. Om vergelijkbare mogelijkheden te bieden tijdens liverespons, maakt het uitvoeringsscript gebruik van de $@
bash-variabele om alle invoerparameters die aan het script zijn opgegeven, door te geven aan de XMDE Client Analyzer.
Maak een bash-bestand
MDESupportTool.sh
en plak de volgende inhoud erin.#! /usr/bin/bash echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer" cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer echo "Running MDESupportTool" ./MDESupportTool $@
Python Client Analyzer Script uitvoeren
De Python Client Analyzer accepteert opdrachtregelparameters om verschillende analysetests uit te voeren. Om vergelijkbare mogelijkheden te bieden tijdens liverespons, maakt het uitvoeringsscript gebruik van de $@
bash-variabele om alle invoerparameters die aan het script zijn opgegeven, door te geven aan de XMDE Client Analyzer.
Maak een bash-bestand
MDESupportTool.sh
en plak de volgende inhoud erin.#! /usr/bin/bash echo "cd /tmp/XMDEClientAnalyzer" cd /tmp/XMDEClientAnalyzer echo "Running mde_support_tool" ./mde_support_tool.sh $@
Het Client Analyzer-script uitvoeren
Opmerking
Als u een actieve liveresponssessie hebt, kunt u stap 1 overslaan.
Start een Live Response-sessie op de computer die u wilt onderzoeken.
Selecteer Bestand uploaden naar bibliotheek.
Selecteer Bestand kiezen.
Selecteer het gedownloade bestand met de naam
MDESupportTool.sh
en selecteer vervolgens Bevestigen.Gebruik de volgende opdrachten om de analyse uit te voeren en het resulterende bestand te verzamelen terwijl u zich nog in de livereactiesessie bevindt.
run MDESupportTool.sh -parameters "--bypass-disclaimer -d" GetFile "/tmp/your_archive_file_name_here.zip"
Zie ook
- Overzicht van Client Analyzer
- Download en voer de Client Analyzer
- De Client Analyzer uitvoeren in Windows
- De Client Analyzer uitvoeren in macOS of Linux
- Verzamelen van gegevens voor geavanceerde probleemoplossing in Windows
- Understand the analyzer HTML report
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.