Udostępnij za pośrednictwem

Uruchamianie analizatora klienta w systemach macOS i Linux

  • Artykuł

Narzędzie XMDEClientAnalyzer służy do diagnozowania Ochrona punktu końcowego w usłudze Microsoft Defender problemów z kondycją lub niezawodnością na dołączonych urządzeniach z systemem Linux lub macOS.

Istnieją dwa sposoby uruchamiania narzędzia analizatora klienta:

  1. Korzystanie z wersji binarnej (bez zewnętrznej zależności języka Python)
  2. Korzystanie z rozwiązania opartego na języku Python

Uruchamianie binarnej wersji analizatora klienta

  1. Pobierz narzędzie binarne analizatora klienta XMDE na maszynę z systemem macOS lub Linux, którą należy zbadać.
    Jeśli używasz terminalu, pobierz narzędzie, wprowadzając następujące polecenie:

    wget --quiet -O XMDEClientAnalyzerBinary.zip https://go.microsoft.com/fwlink/?linkid=2297517

  2. Sprawdź pobranie.

    • Linux
    echo '2A9BF0A6183831BE43C7BCB7917A40D772D226301B4CDA8EE4F258D00B6E4E97 XMDEClientAnalyzerBinary.zip' | sha256sum -c
    • macOS
    echo '2A9BF0A6183831BE43C7BCB7917A40D772D226301B4CDA8EE4F258D00B6E4E97  XMDEClientAnalyzerBinary.zip' | shasum -a 256 -c

  3. Wyodrębnij zawartość XMDEClientAnalyzerBinary.zip na maszynie.

    Jeśli używasz terminalu, wyodrębnij pliki, wprowadzając następujące polecenie:

    unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary

  4. Przejdź do katalogu narzędzia, wprowadzając następujące polecenie:

    cd XMDEClientAnalyzerBinary

  5. Tworzone są dwa nowe pliki zip:

    • SupportToolLinuxBinary.zip : dla wszystkich urządzeń z systemem Linux
    • SupportToolMacOSBinary.zip : w przypadku urządzeń z systemem Mac

  6. Rozpakuj jeden z powyższych 2 plików zip na podstawie maszyny, którą musisz zbadać.

    W przypadku korzystania z terminalu rozpakuj plik, wprowadzając jedno z następujących poleceń na podstawie typu systemu operacyjnego:

    • Linux

      unzip -q SupportToolLinuxBinary.zip

    • Mac

      unzip -q SupportToolMacOSBinary.zip

  7. Uruchom narzędzie jako główny , aby wygenerować pakiet diagnostyczny:

    sudo ./MDESupportTool -d

Uruchamianie analizatora klienta opartego na języku Python

Uwaga

  • Analizator zależy od kilku dodatkowych pakietów (decorator, , distrosh, lxml, i psutil), które są instalowane w systemie operacyjnym, gdy w katalogu głównym, aby wygenerować dane wyjściowe wyniku. Jeśli nie jest zainstalowany, analizator próbuje pobrać go z oficjalnego repozytorium dla pakietów języka Python.
  • Ponadto narzędzie obecnie wymaga zainstalowania języka Python w wersji 3 lub nowszej na urządzeniu.
  • Jeśli urządzenie znajduje się za serwerem proxy, możesz po prostu przekazać serwer proxy jako zmienną środowiskową do skryptu mde_support_tool.sh . Przykład: https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh".

Ostrzeżenie

Uruchomienie analizatora klienta opartego na języku Python wymaga instalacji pakietów, które mogą powodować pewne problemy w środowisku. Aby uniknąć występowania problemów, zaleca się zainstalowanie pakietów w środowisku użytkownika.

  1. Pobierz narzędzie XMDE Client Analyzer na maszynę z systemem macOS lub Linux, którą należy zbadać.

    Jeśli używasz terminalu, pobierz narzędzie, uruchamiając następujące polecenie:

    wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer

  2. Weryfikowanie pobierania

    • Linux
    echo '84C9718FF3D29DA0EEE650FB2FC0625549A05CD1228AC253DBB92C8B1D9F1D11 XMDEClientAnalyzer.zip' | sha256sum -c
    • macOS
    echo '84C9718FF3D29DA0EEE650FB2FC0625549A05CD1228AC253DBB92C8B1D9F1D11  XMDEClientAnalyzer.zip' | shasum -a 256 -c

  3. Wyodrębnij zawartość XMDEClientAnalyzer.zip na maszynie. Jeśli używasz terminalu, wyodrębnij pliki za pomocą następującego polecenia:

    unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzer

  4. Zmień katalog na wyodrębnione miejsce.

    cd XMDEClientAnalyzer

  5. Nadaj narzędziu uprawnienie wykonywalne:

    chmod a+x mde_support_tool.sh

  6. Uruchom jako użytkownik niebędący użytkownikiem głównym, aby zainstalować wymagane zależności:

    ./mde_support_tool.sh

  7. Aby zebrać rzeczywisty pakiet diagnostyczny i wygenerować plik archiwum wyników, uruchom ponownie jako główny:

    sudo ./mde_support_tool.sh -d

Opcje wiersza polecenia

Podstawowe wiersze poleceń

Użyj następującego polecenia, aby uzyskać diagnostykę maszyny.

-h, --help            show this help message and exit
--output OUTPUT, -o OUTPUT
                      Output path to export report
--outdir OUTDIR       Directory where diagnostics file will be generated
--no-zip, -nz         If set a directory will be created instead of an archive file
--force, -f           Will overwrite if output directory exists
--diagnostic, -d      Collect extensive machine diagnostic information
--bypass-disclaimer   Do not display disclaimer banner
--interactive, -i     Interactive diagnostic
--delay DELAY, -dd DELAY
                      Set MDATP log level. If you use interactive or delay mode, the log level will set to debug automatically, and reset after 48h.
--mdatp-log {info,debug,verbose,error,trace,warning}
                      Set MDATP log level
--max-log-size MAX_LOG_SIZE
                      Maximum log file size in MB before rotating(Will restart mdatp)

Przykład użycia: sudo ./MDESupportTool -d

UWAGA: Funkcja automatycznego resetowania na poziomie dziennika jest dostępna tylko w wersji 2405 lub nowszej.

Argumenty pozycyjne

Zbieranie informacji o wydajności

Zbierz obszerne śledzenie wydajności maszyny w celu analizy scenariusza wydajności, który można odtworzyć na żądanie.

-h, --help            show this help message and exit
--frequency FREQUENCY
                      profile at this frequency
--length LENGTH       length of time to collect (in seconds)

Przykład użycia: sudo ./MDESupportTool performance --frequency 2

Używanie śledzenia systemu operacyjnego (tylko dla systemu macOS)

Użyj urządzeń do śledzenia systemu operacyjnego, aby rejestrować ślady wydajności usługi Defender dla punktów końcowych.

Uwaga

Ta funkcja istnieje tylko w rozwiązaniu języka Python.

-h, --help       show this help message and exit
--length LENGTH  Length of time to record the trace (in seconds).
--mask MASK      Mask to select with event to trace. Defaults to all

Po pierwszym uruchomieniu tego polecenia instaluje ono konfigurację profilu.

Postępuj zgodnie z tym, aby zatwierdzić instalację profilu: Przewodnik pomocy technicznej firmy Apple.

Przykład użycia ./mde_support_tool.sh trace --length 5

Tryb wykluczania

Dodawanie wykluczeń na potrzeby monitorowania audit-d.

Uwaga

Ta funkcja istnieje tylko dla systemu Linux.

  -h, --help            show this help message and exit
  -e <executable>, --exe <executable>
                        exclude by executable name, i.e: bash
  -p <process id>, --pid <process id>
                        exclude by process id, i.e: 911
  -d <directory>, --dir <directory>
                        exclude by target path, i.e: /var/foo/bar
  -x <executable> <directory>, --exe_dir <executable> <directory>
                        exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
  -q <q_size>, --queue <q_size>
                        set dispatcher q_depth size
  -r, --remove          remove exclusion file
  -s, --stat            get statistics about common executables
  -l, --list            list auditd rules
  -o, --override        Override the existing auditd exclusion rules file for mdatp
  -c <syscall number>, --syscall <syscall number>
                        exclude all process of the given syscall

Przykład użycia: sudo ./MDESupportTool exclude -d /var/foo/bar

Ogranicznik szybkości inspekcji

Składnia, której można użyć do ograniczenia liczby zdarzeń zgłaszanych przez wtyczkę auditD. Ta opcja ustawia limit szybkości globalnie dla auditD powodując spadek wszystkich zdarzeń inspekcji. Po włączeniu ogranicznika liczba zdarzeń inspekcji jest ograniczona do 2500 zdarzeń na sekundę. Tej opcji można użyć w przypadkach, gdy widzimy wysokie użycie procesora CPU po stronie AuditD.

Uwaga

Ta funkcja istnieje tylko dla systemu Linux.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the rate limit with default values

Przykład użycia: sudo ./mde_support_tool.sh ratelimit -e true

Uwaga

Ta funkcja powinna być starannie używana jako ograniczenie liczby zdarzeń zgłaszanych przez poddawane inspekcji podsystem jako całość. Może to również zmniejszyć liczbę zdarzeń dla innych subskrybentów.

AuditD Pomiń błędy reguł

Ta opcja umożliwia pominięcie błędnych reguł dodanych do pliku reguł inspekcji podczas ich ładowania. Ta opcja umożliwia podsystemowi inspekcji kontynuowanie ładowania reguł, nawet jeśli istnieje błędna reguła. Ta opcja zawiera podsumowanie wyników ładowania reguł. W tle ta opcja uruchamia parametr auditctl z opcją -c.

Uwaga

Ta funkcja jest dostępna tylko w systemie Linux.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.

Przykład użycia: sudo ./mde_support_tool.sh skipfaultyrules -e true

Uwaga

Ta funkcja będzie pomijać błędne reguły. Następnie należy dokładniej zidentyfikować i naprawić wadliwą regułę.

Zawartość pakietu wyników w systemach macOS i Linux

  • report.html

    Opis: główny plik wyjściowy HTML zawierający wyniki i wskazówki dotyczące uruchamiania narzędzia analizatora klienta na urządzeniu. Ten plik jest generowany tylko podczas uruchamiania opartej na języku Python wersji narzędzia analizatora klienta.

  • mde_diagnostic.zip

    Opis: Te same dane wyjściowe diagnostyki, które są generowane podczas uruchamiania narzędzia mdatp diagnostic create w systemie macOS lub Linux.

  • mde.xml

    Opis: dane wyjściowe XML generowane podczas uruchamiania i używane do kompilowania pliku raportu HTML.

  • Processes_information.txt

    Opis: zawiera szczegółowe informacje o uruchomionych Ochrona punktu końcowego w usłudze Microsoft Defender powiązanych procesach w systemie.

  • Log.txt

    Opis: zawiera te same komunikaty dziennika zapisane na ekranie podczas zbierania danych.

  • Health.txt

    Opis: te same podstawowe dane wyjściowe kondycji, które są wyświetlane podczas uruchamiania polecenia mdatp health .

  • Events.xml

    Opis: Dodatkowy plik XML używany przez analizator podczas tworzenia raportu HTML.

  • Audited_info.txt

    Opis: szczegółowe informacje na temat inspekcji usługi i powiązanych składników systemu operacyjnego Linux .

  • perf_benchmark.tar.gz

    Opis: raporty testów wydajnościowych. Zobaczysz to tylko wtedy, gdy używasz parametru wydajności.

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.