Executar o analisador de cliente no Linux

Aplica-se a:

• Microsoft Defender para Endpoint Plano 2
• Microsoft Defender XDR

Quer experimentar o Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.

Se estiver a ter problemas de fiabilidade ou de estado de funcionamento do dispositivo com o Defender para Endpoint no Linux e contactar o suporte, poderá ser-lhe pedido para fornecer o pacote de saída da ferramenta Microsoft Defender para Endpoint Client Analyzer. Este artigo descreve como utilizar a ferramenta de analisador de cliente localmente no dispositivo ou em conjunto com a resposta em direto. Em ambos os casos, pode utilizar uma solução baseada em Python ou uma versão binária sem dependência externa do Python.

Utilizar a resposta em direto no Defender para Endpoint para recolher registos de suporte

A ferramenta XMDE Client Analyzer pode ser transferida como um pacote binário ou Python que pode ser extraído e executado em computadores Linux. Ambas as versões do Analisador de Cliente XMDE podem ser executadas durante uma sessão de Resposta em Direto.

• Para a instalação, o unzip pacote é necessário.
• Para a execução, o acl pacote é necessário.

Importante

A Janela utiliza os carateres invisíveis Símbolo de Retorno e Avanço de Linha para representar o fim de uma linha e o início de uma nova linha num ficheiro, mas os sistemas Linux utilizam apenas o caráter invisível Feed de Linhas no final das linhas de ficheiro. Ao utilizar os seguintes scripts, se for feito no Windows, esta diferença pode resultar em erros e falhas dos scripts a executar. Uma solução potencial para isto é utilizar o Subsistema Windows para Linux e o dos2unix pacote para reformatar o script para que se alinhe com o formato Unix e Linux padrão.

Instalar o Analisador de Cliente XMDE

Transfira e extraia o Analisador de Clientes XMDE. Pode utilizar a versão binária ou Python da seguinte forma:

• Versão binária do Analisador de Cliente
• Versão python do Analisador de Cliente

Devido aos comandos limitados disponíveis na resposta em direto, os passos detalhados têm de ser executados num script bash. Ao dividir a parte de instalação e execução destes comandos, é possível executar o script de instalação uma vez e executar o script de execução várias vezes.

Importante

Os scripts de exemplo partem do princípio de que o computador tem acesso direto à Internet e pode obter o Analisador de Cliente XMDE da Microsoft. Se o computador não tiver acesso direto à Internet, os scripts de instalação têm de ser atualizados para obter o Analisador de Cliente XMDE a partir de uma localização à qual os computadores podem aceder com êxito.

Script de instalação do analisador de cliente binário

O script seguinte executa os primeiros seis passos da versão Binária do Analisador de Cliente em Execução. Quando terminar, o binário do Analisador de Cliente XMDE está disponível no /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer diretório.

1. Crie um ficheiro InstallXMDEClientAnalyzer.sh bash e cole o seguinte conteúdo no mesmo.

   #! /usr/bin/bash
   
   echo "Starting Client Analyzer Script. Running As:"
   whoami
   
   echo "Getting XMDEClientAnalyzerBinary"
   wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://go.microsoft.com/fwlink/?linkid=2297517
   echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c
   
   echo "Unzipping XMDEClientAnalyzerBinary.zip"
   unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary
   
   echo "Unzipping SupportToolLinuxBinary.zip"
   unzip -q /tmp/XMDEClientAnalyzerBinary/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
   
   echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
   
   

Script de instalação do analisador de cliente Python

O script seguinte executa os primeiros seis passos da versão Executar o Python do Client Analyzer. Quando terminar, os scripts python do Analisador de Clientes XMDE estão disponíveis no /tmp/XMDEClientAnalyzer diretório .

1. Crie um ficheiro InstallXMDEClientAnalyzer.sh bash e cole o seguinte conteúdo no mesmo.

   #! /usr/bin/bash
   
   echo "Starting Client Analyzer Install Script. Running As:"
   whoami
   
   echo "Getting XMDEClientAnalyzer.zip"
   wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer 
   echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c  
   
   echo "Unzipping XMDEClientAnalyzer.zip"
   unzip -q XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer  
   
   echo "Setting execute permissions on mde_support_tool.sh script"
   cd /tmp/XMDEClientAnalyzer 
   chmod a+x mde_support_tool.sh  
   
   echo "Performing final support tool setup"
   ./mde_support_tool.sh
   
   

Executar os scripts de instalação do analisador de cliente

1. Inicie uma sessão de Resposta em Direto no computador que pretende investigar.

2. Selecione Carregar ficheiro para a biblioteca.

3. Selecione Escolher ficheiro.

4. Selecione o ficheiro transferido com o nome InstallXMDEClientAnalyzer.she, em seguida, selecione Confirmar.

5. Ainda na sessão LiveResponse, utilize os seguintes comandos para instalar o analisador:

   run InstallXMDEClientAnalyzer.sh
   

Executar o analisador de cliente XMDE

A resposta em direto não suporta a execução direta do Analisador de Cliente XMDE ou Python, pelo que é necessário um script de execução.

Importante

Os scripts seguintes partem do princípio de que o Analisador de Cliente XMDE foi instalado com as mesmas localizações dos scripts mencionados anteriormente. Se a sua organização tiver optado por instalar os scripts numa localização diferente, os scripts têm de ser atualizados para se alinharem com a localização de instalação escolhida pela sua organização.

Script de execução do analisador de cliente binário

A versão binária do analisador de cliente aceita parâmetros de linha de comandos para realizar testes de análise diferentes. Para fornecer capacidades semelhantes durante a resposta em direto, o script de execução tira partido da $@ variável bash para transmitir todos os parâmetros de entrada fornecidos ao script para o Analisador de Cliente XMDE.

1. Crie um ficheiro MDESupportTool.sh bash e cole o seguinte conteúdo no mesmo.

   #! /usr/bin/bash
   
   echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
   cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
   
   echo "Running MDESupportTool"
   ./MDESupportTool $@
   
   

Script de execução do analisador de cliente Python

A versão python do analisador de cliente aceita parâmetros de linha de comandos para realizar testes de análise diferentes. Para fornecer capacidades semelhantes durante a resposta em direto, o script de execução tira partido da $@ variável bash para transmitir todos os parâmetros de entrada fornecidos ao script para o Analisador de Cliente XMDE.

1. Crie um ficheiro MDESupportTool.sh bash e cole o seguinte conteúdo no mesmo.

   #! /usr/bin/bash  
   
   echo "cd /tmp/XMDEClientAnalyzer"
   cd /tmp/XMDEClientAnalyzer 
   
   echo "Running mde_support_tool"
   ./mde_support_tool.sh $@
   
   

Executar o script do analisador de cliente

Nota

Se tiver uma sessão de resposta ativa em direto, pode ignorar o Passo 1.

1. Inicie uma sessão de Resposta em Direto no computador que pretende investigar.

2. Selecione Carregar ficheiro para a biblioteca.

3. Selecione Escolher ficheiro.

4. Selecione o ficheiro transferido com o nome MDESupportTool.she, em seguida, selecione Confirmar.

5. Ainda na sessão de resposta em direto, utilize os seguintes comandos para executar o analisador e recolher o ficheiro resultante:

   run MDESupportTool.sh -parameters "--bypass-disclaimer -d"
   GetFile "/tmp/your_archive_file_name_here.zip"
   

Recolher Microsoft Defender para Endpoint registos de suporte localmente

Esta secção fornece instruções sobre como executar a ferramenta localmente nos computadores Linux.

Executar a versão binária do analisador de cliente

Resumo

1. Obter a partir de https://go.microsoft.com/fwlink/?linkid=2297517. Em alternativa, se o seu servidor Linux tiver acesso à Internet, utilize wget para transferir o ficheiro:

   wget --quiet -O XMDEClientAnalyzerBinary.zip https://go.microsoft.com/fwlink/?linkid=2297517
   

2. Deszipe o ficheiro que é transferido e, em seguida, deszipe novamente os ficheiros extraídos do SupportToolLinuxBinary.zip

   unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary
   

3. Executar o binário

   sudo ./MDESupportTool -d --mdatp-log debug
   

4. Siga as instruções apresentadas no ecrã e, em seguida, acompanhe no final da coleção de registos. Os registos estarão localizados no /tmp diretório.

5. O conjunto de registos será propriedade do utilizador raiz, pelo que poderá precisar de privilégios de raiz para remover o conjunto de registos.

6. Carregue o ficheiro para o engenheiro de suporte.

Detalhes

1. Transfira a ferramenta Binária do Analisador de Cliente XMDE para o computador Linux que precisa de investigar.

   Se estiver a utilizar um terminal, transfira a ferramenta ao introduzir o seguinte comando:

   wget --quiet -O XMDEClientAnalyzerBinary.zip https://go.microsoft.com/fwlink/?linkid=2297517
   

2. Verifique a transferência.

   echo '2A9BF0A6183831BE43C7BCB7917A40D772D226301B4CDA8EE4F258D00B6E4E97 XMDEClientAnalyzerBinary.zip' | sha256sum -c
   

3. Extraia o conteúdo de XMDEClientAnalyzerBinary.zip no computador.

   Se estiver a utilizar um terminal, extraia os ficheiros ao introduzir o seguinte comando:

   unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary
   

4. Altere para o diretório da ferramenta ao introduzir o seguinte comando:

   cd XMDEClientAnalyzerBinary
   

5. São produzidos dois novos ficheiros zip:

   • SupportToolLinuxBinary.zip: para todos os dispositivos Linux
   • SupportToolMacOSBinary.zip: para dispositivos Mac, ignore este.

6. Deszipe o SupportToolLinuxBinary.zip do computador Linux que pretende investigar.

    unzip -q SupportToolLinuxBinary.zip 
   

7. Execute a ferramenta como raiz para gerar o pacote de diagnóstico:

   sudo ./MDESupportTool -d
   

Executar o analisador de cliente baseado em Python

Nota

• O analisador depende de poucos pacotes PIP adicionais (decorator, sh, distro, lxmle psutil) que são instalados no sistema operativo quando estão na raiz para produzir o resultado. Se não estiver instalado, o analisador tenta ocorrê-lo a partir do repositório oficial dos pacotes Python.
• Além disso, a ferramenta requer atualmente a instalação da versão 3 ou posterior do Python no seu dispositivo.
• Se o dispositivo estiver protegido por um proxy, pode simplesmente transmitir o servidor proxy como uma variável de ambiente para o mde_support_tool.sh script. Por exemplo: https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh".

Aviso

Executar o analisador de cliente baseado em Python requer a instalação de pacotes PIP, o que pode causar alguns problemas no seu ambiente. Para evitar que ocorram problemas, recomenda-se que instale os pacotes num ambiente PIP de utilizador.

1. Transfira a ferramenta XMDE Client Analyzer para o computador Linux que precisa de investigar.

   Se estiver a utilizar um terminal, transfira a ferramenta ao executar o seguinte comando:

   wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer
   

2. Verifique a transferência.

   echo '84C9718FF3D29DA0EEE650FB2FC0625549A05CD1228AC253DBB92C8B1D9F1D11 XMDEClientAnalyzer.zip' | sha256sum -c
   

3. Extraia o conteúdo de XMDEClientAnalyzer.zip no computador.

   Se estiver a utilizar um terminal, extraia os ficheiros com o seguinte comando:

   unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzer
   

4. Altere o diretório para a localização extraída.

   cd XMDEClientAnalyzer
   

5. Conceder permissão executável à ferramenta:

   chmod a+x mde_support_tool.sh
   

6. Execute como um utilizador não raiz para instalar as dependências necessárias:

   ./mde_support_tool.sh
   

7. Para recolher o pacote de diagnóstico real e gerar o ficheiro de arquivo de resultados, execute novamente como raiz:

   sudo ./mde_support_tool.sh -d
   

Opções da linha de comandos

Linhas de comandos primárias

Utilize o seguinte comando para obter o diagnóstico do computador.

-h, --help            show this help message and exit
--output OUTPUT, -o OUTPUT
                      Output path to export report
--outdir OUTDIR       Directory where diagnostics file will be generated
--no-zip, -nz         If set a directory will be created instead of an archive file
--force, -f           Will overwrite if output directory exists
--diagnostic, -d      Collect extensive machine diagnostic information
--bypass-disclaimer   Do not display disclaimer banner
--interactive, -i     Interactive diagnostic
--delay DELAY, -dd DELAY
                      Set MDATP log level. If you use interactive or delay mode, the log level will set to debug automatically, and reset after 48h.
--mdatp-log {info,debug,verbose,error,trace,warning}
                      Set MDATP log level
--max-log-size MAX_LOG_SIZE
                      Maximum log file size in MB before rotating(Will restart mdatp)

Exemplo de utilização: sudo ./MDESupportTool -d

Nota

A funcionalidade autoreset de nível de registo só está disponível na versão 2405 ou mais recente do cliente.

Argumentos posicionais

Recolher informações de desempenho

Recolha rastreios extensivos de desempenho da máquina para análise de um cenário de desempenho que pode ser reproduzido a pedido.

-h, --help            show this help message and exit
--frequency FREQUENCY
                      profile at this frequency
--length LENGTH       length of time to collect (in seconds)

Exemplo de utilização: sudo ./MDESupportTool performance --frequency 2

Modo de exclusão

Adicione exclusões para monitorização auditada.

Nota

Esta funcionalidade existe apenas para Linux.

  -h, --help            show this help message and exit
  -e <executable>, --exe <executable>
                        exclude by executable name, i.e: bash
  -p <process id>, --pid <process id>
                        exclude by process id, i.e: 911
  -d <directory>, --dir <directory>
                        exclude by target path, i.e: /var/foo/bar
  -x <executable> <directory>, --exe_dir <executable> <directory>
                        exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
  -q <q_size>, --queue <q_size>
                        set dispatcher q_depth size
  -r, --remove          remove exclusion file
  -s, --stat            get statistics about common executables
  -l, --list            list auditd rules
  -o, --override        Override the existing auditd exclusion rules file for mdatp
  -c <syscall number>, --syscall <syscall number>
                        exclude all process of the given syscall

Exemplo de utilização: sudo ./MDESupportTool exclude -d /var/foo/bar

Limitador de taxa AuditD

Sintaxe que pode ser utilizada para limitar o número de eventos comunicados pelo plug-in auditD. Esta opção define o limite de taxa globalmente para AuditD, causando uma queda em todos os eventos de auditoria. Quando o limitador está ativado, o número de eventos auditados está limitado a 2500 eventos/seg. Esta opção pode ser utilizada nos casos em que vemos uma utilização elevada da CPU do lado AuditD.

Nota

Esta funcionalidade existe apenas para Linux.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the rate limit with default values

Exemplo de utilização: sudo ./mde_support_tool.sh ratelimit -e true

Nota

Esta funcionalidade deve ser cuidadosamente utilizada como limita o número de eventos comunicados pelo subsistema auditado como um todo. Isto também pode reduzir o número de eventos para outros subscritores.

AuditD ignorar regras com falhas

Esta opção permite-lhe ignorar as regras com falhas adicionadas no ficheiro de regras auditadas ao carregá-las. Esta opção permite que o subsistema auditado continue a carregar regras, mesmo que exista uma regra com falhas. Esta opção resume os resultados do carregamento das regras. Em segundo plano, esta opção executa o auditctl com a opção -c.

Nota

Esta funcionalidade só está disponível no Linux.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.

Exemplo de utilização: sudo ./mde_support_tool.sh skipfaultyrules -e true

Nota

Esta funcionalidade irá ignorar as regras com falhas. A regra com falhas tem de ser identificada e corrigida.

Conteúdo do pacote de resultados no Linux

Ficheiro	Descrição
report.html	O ficheiro de saída HTML principal que contém as conclusões e a documentação de orientação da execução da ferramenta de analisador de cliente no dispositivo. Este ficheiro só é gerado ao executar a versão baseada em Python da ferramenta de analisador de cliente.
mde_diagnostic.zip	A mesma saída de diagnóstico que é gerada ao executar a criação de diagnóstico mdatp no Linux.
mde.xml	Saída XML gerada durante a execução e utilizada para criar o ficheiro de relatório html.
Processes_information.txt	Contém os detalhes da execução Microsoft Defender para Endpoint processos relacionados no sistema.
Log.txt	Contém as mesmas mensagens de registo escritas no ecrã durante a recolha de dados.
Health.txt	A mesma saída básica do estado de funcionamento que é apresentada ao executar o comando de estado de funcionamento do mdatp .
Events.xml	Outro ficheiro XML utilizado pelo analisador ao criar o relatório HTML.
Audited_info.txt	Detalhes sobre o serviço auditado e os componentes relacionados para o SO Linux .
perf_benchmark.tar.gz	O teste de desempenho reporta. Só verá este ficheiro se estiver a utilizar o parâmetro de desempenho.

Consulte também

• Descrição geral do Client Analyzer

• Transferir e executar o Client Analyzer

• Executar o Client Analyzer no Windows

• Executar o Client Analyzer no macOS ou Linux

• Recolha de dados para resolução de problemas avançados no Windows

• Compreender o relatório HTML do Analyzer

Documentos de resolução de problemas do Defender para Endpoint no Linux

• Resolver problemas de instalação do Microsoft Defender para Endpoint no Linux

• Investigar problemas de estado de funcionamento do agente

• Resolver problemas de conectividade da cloud para Microsoft Defender para Endpoint no Linux

• Resolver problemas de desempenho de Microsoft Defender para Endpoint no Linux

• Resolver problemas de eventos ou alertas em falta para Microsoft Defender para Endpoint no Linux

• Resolver falsos positivos/negativos no Microsoft Defender para Endpoint

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.