Сбор журналов поддержки в Microsoft Defender для конечной точки с помощью динамического ответа
Область применения:
Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
При обращении в службу поддержки может потребоваться предоставить выходной пакет средства Microsoft Defender для конечной точки клиентского анализатора.
В этой статье содержатся инструкции по запуску средства с помощью Live Response на компьютерах с Windows и Linux.
Windows
Скачайте и извлеките необходимые скрипты, доступные в подкаталоге Сервис клиентского анализатора Microsoft Defender для конечной точки.
Например, чтобы получить базовые журналы работоспособности датчиков и устройств, извлеките
..\Tools\MDELiveAnalyzer.ps1.- Если требуются дополнительные журналы, связанные с Microsoft Defender антивирусной программой, используйте .
..\Tools\MDELiveAnalyzerAV.ps1 - Если вам требуются журналы, связанные с предотвращением потери данных конечной точки Майкрософт, используйте .
..\Tools\MDELiveAnalyzerDLP.ps1 - Если вам требуются журналы, связанные с сетью и платформой фильтрации Windows, используйте .
..\Tools\MDELiveAnalyzerNet.ps1 - Если требуются журналы монитора процессов, используйте .
..\Tools\MDELiveAnalyzerAppCompat.ps1
- Если требуются дополнительные журналы, связанные с Microsoft Defender антивирусной программой, используйте .
Инициируйте сеанс динамического реагирования на компьютере, который необходимо исследовать.
Выберите Отправить файл в библиотеку.
Выберите Выбрать файл.
Выберите скачанный файл с именем
MDELiveAnalyzer.ps1, а затем выберите Подтвердить.
Повторите этот шаг для
MDEClientAnalyzerPreview.zipфайла.Оставаясь в сеансе LiveResponse, используйте следующие команды, чтобы запустить анализатор и собрать полученный файл.
Putfile MDEClientAnalyzerPreview.zip Run MDELiveAnalyzer.ps1 GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDECA\MDEClientAnalyzerResult.zip"
Дополнительные сведения
Последнюю предварительную версию MDEClientAnalyzer можно скачать здесь: https://aka.ms/MDEClientAnalyzerPreview.
Дополнительные сведения о локальном сборе данных на компьютере в случае, если компьютер не взаимодействует с Microsoft Defender для конечной точки облачными службами или не отображается на портале Microsoft Defender для конечной точки должным образом, см. в статье Проверка подключения клиента к Microsoft Defender для конечной точки URL-адреса служб.
Как описано в разделе Примеры динамических ответов, вы можете использовать
&символ в конце команды для сбора журналов в качестве фонового действия:Run MDELiveAnalyzer.ps1&
Linux
Средство анализатора клиента XMDE можно скачать в виде двоичного пакета или пакета Python , который можно извлечь и выполнить на компьютерах Linux. Обе версии анализатора клиента XMDE могут выполняться во время сеанса динамического ответа.
Предварительные условия
Для установки
unzipтребуется пакет.Для выполнения
aclтребуется пакет.
Важно!
Окно использует невидимые символы возврата каретки и канала строки для представления конца одной строки и начала новой строки в файле, но системы Linux используют только невидимый символ канала строки в конце строк файла. При использовании следующих скриптов эта разница может привести к ошибкам и сбоям выполняемых скриптов. Потенциальное решение заключается в использовании подсистема Windows для Linux и dos2unix пакета для переформатировать скрипт так, чтобы он соответствовал стандарту формата Unix и Linux.
Установка клиентского анализатора XMDE
Обе версии анализатора клиента XMDE, двоичный и Python, автономный пакет, который необходимо скачать и извлечь перед выполнением, и полный набор шагов для этого процесса можно найти:
Из-за ограниченного количества команд, доступных в Live Response, шаги, описанные в скрипте bash, должны выполняться в скрипте bash, и, разделив часть этих команд, можно запустить сценарий установки один раз, а сценарий выполнения несколько раз.
Важно!
В примерах скриптов предполагается, что компьютер имеет прямой доступ к Интернету и может получить анализатор клиента XMDE от корпорации Майкрософт. Если компьютер не имеет прямого доступа к Интернету, необходимо обновить сценарии установки, чтобы получить анализатор клиента XMDE из расположения, к котором компьютеры могут получить доступ.
Скрипт установки двоичного анализатора клиента
Следующий скрипт выполняет первые шесть шагов для запуска двоичной версии клиентского анализатора. После завершения двоичный файл клиентского анализатора XMDE будет доступен из /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer каталога.
Создайте bash-файл
InstallXMDEClientAnalyzer.shи вставьте в него следующее содержимое.#! /usr/bin/bash echo "Starting Client Analyzer Script. Running As:" whoami echo "Getting XMDEClientAnalyzerBinary" wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://go.microsoft.com/fwlink/?linkid=2297517 echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c echo "Unzipping XMDEClientAnalyzerBinary.zip" unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary echo "Unzipping SupportToolLinuxBinary.zip" unzip -q /tmp/XMDEClientAnalyzerBinary/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
Скрипт установки клиентского анализатора Python
Следующий скрипт выполняет первые шесть шагов для запуска версии Python клиентского анализатора. После завершения скрипты Python клиентского анализатора XMDE будут доступны из /tmp/XMDEClientAnalyzer каталога.
Создайте bash-файл
InstallXMDEClientAnalyzer.shи вставьте в него следующее содержимое.#! /usr/bin/bash echo "Starting Client Analyzer Install Script. Running As:" whoami echo "Getting XMDEClientAnalyzer.zip" wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c echo "Unzipping XMDEClientAnalyzer.zip" unzip -q XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer echo "Setting execute permissions on mde_support_tool.sh script" cd /tmp/XMDEClientAnalyzer chmod a+x mde_support_tool.sh echo "Performing final support tool setup" ./mde_support_tool.sh
Запуск скриптов установки клиентского анализатора
Инициируйте сеанс динамического реагирования на компьютере, который необходимо исследовать.
Выберите Отправить файл в библиотеку.
Выберите Выбрать файл.
Выберите скачанный файл с именем
InstallXMDEClientAnalyzer.sh, а затем нажмите кнопку Подтвердить.Оставаясь в сеансе LiveResponse, используйте следующие команды, чтобы установить анализатор:
run InstallXMDEClientAnalyzer.sh
Запуск клиентского анализатора XMDE
Live Response не поддерживает запуск клиентского анализатора XMDE или Python напрямую, поэтому требуется скрипт выполнения.
Важно!
В следующих сценариях предполагается, что анализатор клиента XMDE был установлен в том же расположении, что и упомянутые выше скрипты. Если ваша организация решила установить скрипты в другом расположении, то следующие скрипты необходимо обновить в соответствии с выбранным расположением установки вашей организации.
Выполнение скрипта двоичного клиентского анализатора
Двоичный анализатор клиента принимает параметры командной строки для выполнения различных аналитических тестов. Чтобы предоставить аналогичные возможности во время динамического $@ ответа, скрипт выполнения использует переменную bash для передачи всех входных параметров, предоставленных скрипту, в анализатор клиента XMDE.
Создайте bash-файл
MDESupportTool.shи вставьте в него следующее содержимое.#! /usr/bin/bash echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer" cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer echo "Running MDESupportTool" ./MDESupportTool $@
Запуск скрипта клиентского анализатора Python
Клиентский анализатор Python принимает параметры командной строки для выполнения различных аналитических тестов. Чтобы предоставить аналогичные возможности во время динамического $@ ответа, скрипт выполнения использует переменную bash для передачи всех входных параметров, предоставленных скрипту, в анализатор клиента XMDE.
Создайте bash-файл
MDESupportTool.shи вставьте в него следующее содержимое.#! /usr/bin/bash echo "cd /tmp/XMDEClientAnalyzer" cd /tmp/XMDEClientAnalyzer echo "Running mde_support_tool" ./mde_support_tool.sh $@
Выполнение скрипта клиентского анализатора
Примечание.
Если у вас есть активный сеанс динамического ответа, можно пропустить шаг 1.
Инициируйте сеанс динамического реагирования на компьютере, который необходимо исследовать.
Выберите Отправить файл в библиотеку.
Выберите Выбрать файл.
Выберите скачанный файл с именем
MDESupportTool.sh, а затем нажмите кнопку Подтвердить.Еще в сеансе динамического ответа используйте следующие команды, чтобы запустить анализатор и собрать результирующий файл.
run MDESupportTool.sh -parameters "--bypass-disclaimer -d" GetFile "/tmp/your_archive_file_name_here.zip"
См. также
- Обзор анализатора клиента
- Скачивание и запуск анализатор клиента
- Запуск анализатора клиента в Windows
- Запуск анализатора клиента в macOS или Linux
- Сбор данных для усовершенствованного устранения неполадок в Windows
- Понимание отчета анализатора в формате HTML
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.