使用实时响应在 Microsoft Defender for Endpoint 中收集支持日志

适用于：

• Microsoft Defender for Endpoint 计划 2
• Microsoft Defender XDR

希望体验 Defender for Endpoint？ 注册免费试用版。

联系支持人员时，系统可能会要求你提供Microsoft Defender for Endpoint客户端分析器工具的输出包。

本文提供有关如何在 Windows 和 Linux 计算机上通过实时响应运行该工具的说明。

Windows

1. 从 Microsoft Defender for Endpoint 客户端分析器的“工具”子目录中下载并提取所需的脚本。

   例如，若要获取基本的传感器和设备运行状况日志，请提取 ..\Tools\MDELiveAnalyzer.ps1。

   • 如果需要与 Microsoft Defender 防病毒相关的其他日志，请使用 ..\Tools\MDELiveAnalyzerAV.ps1。
   • 如果需要 Microsoft终结点数据丢失防护 相关日志，请使用 ..\Tools\MDELiveAnalyzerDLP.ps1。
   • 如果需要与网络和 Windows 筛选器平台 相关的日志，请使用 ..\Tools\MDELiveAnalyzerNet.ps1。
   • 如果需要 进程监视器 日志，请使用 ..\Tools\MDELiveAnalyzerAppCompat.ps1。

2. 在需要调查的计算机上启动 实时响应会话 。

3. 选择“ 将文件上传到库”。

   

4. 选择“ 选择文件”。

   

5. 选择名为 MDELiveAnalyzer.ps1的下载文件，然后选择“ 确认”。

   

   对 MDEClientAnalyzerPreview.zip 文件重复此步骤。

6. 仍在 LiveResponse 会话中时，使用以下命令运行分析器并收集生成的文件。

   Putfile MDEClientAnalyzerPreview.zip
   Run MDELiveAnalyzer.ps1
   GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDECA\MDEClientAnalyzerResult.zip"
   

   

其他信息

• 可在此处下载 MDEClientAnalyzer 的最新预览版： https://aka.ms/MDEClientAnalyzerPreview。

• 如果无法允许计算机访问上述 URL，请在运行 LiveAnalyzer 脚本之前将文件上传到 MDEClientAnalyzerPreview.zip 库：

  PutFile MDEClientAnalyzerPreview.zip -overwrite
  Run MDELiveAnalyzer.ps1
  GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDECA\MDEClientAnalyzerResult.zip"
  

• 有关在计算机上本地收集数据的详细信息，以防计算机未与Microsoft Defender for Endpoint云服务通信，或者未按预期显示在 Microsoft Defender for Endpoint 门户中，请参阅验证客户端连接Microsoft Defender for Endpoint服务 URL。

• 如 实时响应命令示例中所述，你可能希望使用 & 命令末尾的 符号来收集日志作为后台操作：

  Run MDELiveAnalyzer.ps1&
  

Linux

XMDE 客户端分析器工具可以作为 二进制 包或 Python 包下载，可在 Linux 计算机上提取和执行。 这两个版本的 XMDE 客户端分析器都可以在实时响应会话期间执行。

先决条件

• 对于安装， unzip 需要包。

• 若要执行， acl 需要包。

重要

窗口使用回车符和换行不可见字符来表示文件中一行的结束和新行的开头，但 Linux 系统仅使用文件行末尾的换行不可见字符。 使用以下脚本时，如果在 Windows 上执行，此差异可能会导致脚本运行错误和失败。 一个潜在的解决方案是利用 适用于 Linux 的 Windows 子系统 和 dos2unix 包重新格式化脚本，使其与 Unix 和 Linux 格式标准保持一致。

安装 XMDE 客户端分析器

两个版本的 XMDE 客户端分析器、二进制文件和 Python，这是在执行之前必须下载和提取的独立包，并且可以找到此过程的完整步骤集：

• 运行客户端分析器的二进制版本

• 运行 Python 版本的客户端分析器

由于实时响应中可用的命令有限，因此必须在 bash 脚本中执行详细步骤，并且通过拆分这些命令的安装和执行部分，可以在多次运行执行脚本时运行一次安装脚本。

重要

示例脚本假定计算机具有直接 Internet 访问权限，并且可以从Microsoft检索 XMDE 客户端分析器。 如果计算机没有直接 Internet 访问权限，则需要更新安装脚本，以便从计算机可以成功访问的位置提取 XMDE 客户端分析器。

二进制客户端分析器安装脚本

以下脚本执行 客户端分析器运行二进制版本的前六个步骤。 完成后，可从 目录中获取 /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer XMDE 客户端分析器二进制文件。

1. 创建 bash 文件 InstallXMDEClientAnalyzer.sh 并将以下内容粘贴到其中。

   #! /usr/bin/bash
   
   echo "Starting Client Analyzer Script. Running As:"
   whoami
   
   echo "Getting XMDEClientAnalyzerBinary"
   wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://go.microsoft.com/fwlink/?linkid=2297517
   echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c
   
   echo "Unzipping XMDEClientAnalyzerBinary.zip"
   unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary
   
   echo "Unzipping SupportToolLinuxBinary.zip"
   unzip -q /tmp/XMDEClientAnalyzerBinary/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
   
   echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
   
   

Python 客户端分析器安装脚本

以下脚本执行 运行 Python 版本的客户端分析器的前六个步骤。 完成后，可从 目录中获取 /tmp/XMDEClientAnalyzer XMDE 客户端分析器 Python 脚本。

1. 创建 bash 文件 InstallXMDEClientAnalyzer.sh 并将以下内容粘贴到其中。

   #! /usr/bin/bash
   
   echo "Starting Client Analyzer Install Script. Running As:"
   whoami
   
   echo "Getting XMDEClientAnalyzer.zip"
   wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer 
   echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c  
   
   echo "Unzipping XMDEClientAnalyzer.zip"
   unzip -q XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer  
   
   echo "Setting execute permissions on mde_support_tool.sh script"
   cd /tmp/XMDEClientAnalyzer 
   chmod a+x mde_support_tool.sh  
   
   echo "Performing final support tool setup"
   ./mde_support_tool.sh
   
   

运行客户端分析器安装脚本

1. 在需要调查的计算机上启动 实时响应会话 。

2. 选择“ 将文件上传到库”。

3. 选择“ 选择文件”。

4. 选择名为 InstallXMDEClientAnalyzer.sh的下载文件，然后选择“ 确认”。

5. 仍在 LiveResponse 会话中时，使用以下命令安装分析器：

   run InstallXMDEClientAnalyzer.sh
   

运行 XMDE 客户端分析器

实时响应不支持直接运行 XMDE 客户端分析器或 Python，因此需要执行脚本。

重要

以下脚本假定使用前面提到的脚本中的相同位置安装了 XMDE 客户端分析器。 如果你的组织已选择将脚本安装到其他位置，则需要更新以下脚本，以便与组织选择的安装位置保持一致。

二进制客户端分析器运行脚本

二进制客户端分析器接受命令行参数来执行不同的分析测试。 为了在实时响应期间提供类似的功能，执行脚本利用 $@ bash 变量将提供给脚本的所有输入参数传递给 XMDE 客户端分析器。

1. 创建 bash 文件 MDESupportTool.sh 并将以下内容粘贴到其中。

   #! /usr/bin/bash
   
   echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
   cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
   
   echo "Running MDESupportTool"
   ./MDESupportTool $@
   
   

Python 客户端分析器运行脚本

Python 客户端分析器接受命令行参数来执行不同的分析测试。 为了在实时响应期间提供类似的功能，执行脚本利用 $@ bash 变量将提供给脚本的所有输入参数传递给 XMDE 客户端分析器。

1. 创建 bash 文件 MDESupportTool.sh 并将以下内容粘贴到其中。

   #! /usr/bin/bash  
   
   echo "cd /tmp/XMDEClientAnalyzer"
   cd /tmp/XMDEClientAnalyzer 
   
   echo "Running mde_support_tool"
   ./mde_support_tool.sh $@
   
   

运行客户端分析器脚本

注意

如果有活动的实时响应会话，则可以跳过步骤 1。

1. 在需要调查的计算机上启动 实时响应会话 。

2. 选择“ 将文件上传到库”。

3. 选择“ 选择文件”。

4. 选择名为 MDESupportTool.sh的下载文件，然后选择“ 确认”。

5. 仍在实时响应会话中时，使用以下命令运行分析器并收集生成的文件。

   run MDESupportTool.sh -parameters "--bypass-disclaimer -d"
   GetFile "/tmp/your_archive_file_name_here.zip"
   

另请参阅

• 客户端分析器概述
• 下载并运行分析器
• 在 Windows 上运行客户端分析器
• 在 macOS 或 Linux 上运行客户端分析器
• 用于在 Windows 上进行高级故障排除的数据收集
• 了解分析器 HTML 报表

提示

想要了解更多信息？ Engage技术社区中的Microsoft安全社区：Microsoft Defender for Endpoint技术社区。