إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
إذا كانت لديك مشكلات في Microsoft Defender لنقطة النهاية على Linux وتحتاج إلى دعم، فقد يطلب منك توفير الإخراج من أداة محلل العميل. وهي أداة تشخيص تساعد المسؤولين والفرق الداعمة على استكشاف المشكلات المتعلقة Microsoft Defender لنقطة النهاية وإصلاحها. يجمع معلومات مفصلة حول التثبيت والتكوين وصحة الخدمة والسجلات وحالة الاتصال وما إلى ذلك. تستخدم هذه الأداة بشكل أساسي للتحقق من صحة النظام والتحقق من صحة التكوينات والمساعدة في استكشاف المشكلات المحتملة وإصلاحها.
تشرح هذه المقالة كيفية استخدام الأداة على جهازك أو مع الاستجابة المباشرة. يمكنك استخدام حل يستند إلى Python أو إصدار ثنائي لا يحتاج إلى Python.
تلميح
شاهد هذا الفيديو للحصول على نظرة عامة على محلل العميل: نظرة عامة على محلل عميل Defender لنقطة النهاية
تشغيل الإصدار الثنائي من محلل العميل
يتم توفير الإصدار الثنائي من محلل العميل بطريقتين:
- تم شحنه مع Microsoft Defender لنظام التشغيل Linux
- تم الشحن كأداة مستقلة
تشغيل ثنائي محلل العميل المشحون مع Microsoft Defender لنظام التشغيل Linux:
ملاحظة
بدءا من إصدار 101.25082.0000Defender لنقطة النهاية ، يتم شحن محلل العميل مع عامل. يمكن العثور عليه في الموقع التالي: /opt/microsoft/mdatp/tools/client_analyzer/binary
لتشغيل محلل العميل هذا، اتبع الخطوات التالية:
انتقل إلى الدليل
/opt/microsoft/mdatp/tools/client_analyzer/binary:cd /opt/microsoft/mdatp/tools/client_analyzer/binaryقم بتشغيل الأداة كجذر لإنشاء حزمة تشخيص:
sudo ./MDESupportTool -d
تنزيل وتشغيل أداة ثنائية مستقلة لمحلل العميل
اتبع الخطوات أدناه لاستخدام ثنائي ClientAnalyzer المستقل
قم بتنزيل أداة XMDE Client Analyzer Binary إلى جهاز Linux الذي تحتاج إلى التحقيق فيه. إذا كنت تستخدم محطة طرفية، فقم بتنزيل الأداة عن طريق إدخال الأمر التالي:
wget --quiet -O XMDEClientAnalyzerBinary.zip "https://go.microsoft.com/fwlink/?linkid=2336125"تحقق من التنزيل:
echo '0C8F010D09557478E0CF626D439D5F7EAB1F6C7EEFF69FF1E98A7289520983E1 XMDEClientAnalyzerBinary.zip' | sha256sum -cاستخراج محتويات
XMDEClientAnalyzerBinary.zipعلى الجهاز.unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinaryتغيير الدليل:
cd XMDEClientAnalyzerBinaryيتم إنتاج ملفين مضغوطين جديدين:
- SupportToolLinuxamd64Binary.zip: لأجهزة x86 Linux
- SupportToolLinuxarm64Binary.zip: لأجهزة ARM Linux
قم بفك ضغط الرمز المضغوط sepecific استنادا إلى بنية نظام التشغيل Linux. على سبيل المثال، نستخدم هنا
SupportToolLinuxamd64Binary.zipالملف .unzip -q SupportToolLinuxamd64Binary.zipقم بتشغيل الأداة كجذر لإنشاء حزمة تشخيص:
sudo ./MDESupportTool -d
تشغيل محلل العميل المستند إلى Python
يتم توفير إصدار python من محلل العميل بطريقتين:
- تم شحنه مع Microsoft Defender لنظام التشغيل Linux
- تم الشحن كأداة مستقلة
ملاحظة
- يعتمد المحلل على عدد قليل من حزم PIP الإضافية (
decoratorوshdistroوlxmlpsutil) المثبتة في نظام التشغيل عندما تكون في الجذر لإنتاج إخراج النتيجة. إذا لم يتم تثبيته، يحاول المحلل إحضاره من المستودع الرسمي لحزم Python. - بالإضافة إلى ذلك، تتطلب الأداة حاليا تثبيت الإصدار 3 أو أحدث من Python على جهازك.
- بدءا من Client Analyzer for MDE Linux الإصدار 1.7.0، يتوفر دعم لتشغيل محلل العميل المستند إلى Python في بيئة Python الظاهرية (venv). استخدام بيئة ظاهرية اختياري وغير مطلوب.
- إذا كان جهازك خلف وكيل، فيمكنك تمرير الخادم الوكيل كمتغير بيئة إلى
mde_support_tool.shالبرنامج النصي. على سبيل المثال:https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh".
تحذير
يتطلب تشغيل محلل العميل المستند إلى Python تثبيت حزم PIP التي قد تتسبب في بعض المشكلات في بيئتك. لتجنب حدوث مشكلات، نوصي بتثبيت الحزم في بيئة PIP للمستخدم.
تشغيل إصدار Python محلل العميل المشحون مع Microsoft Defender لنظام التشغيل Linux
ملاحظة
بدءا من إصدار 101.25082.0000Defender لنقطة النهاية ، يتم شحن محلل العميل مع عامل. يمكن العثور عليه في الموقع التالي: /opt/microsoft/mdatp/tools/client_analyzer/python
لتشغيل محلل العميل هذا، اتبع الخطوات التالية:
انتقل إلى الدليل
/opt/microsoft/mdatp/tools/client_analyzer/python:cd /opt/microsoft/mdatp/tools/client_analyzer/pythonقم بتشغيل كمستخدم جذر لتثبيت التبعيات المطلوبة.
sudo ./mde_support_tool.shلجمع حزمة التشخيص وإنشاء ملف أرشيف النتائج، قم بتشغيل مرة أخرى كجذر.
sudo ./mde_support_tool.sh -d
قم بتنزيل وتشغيل إصدار Python المستقل لمحلل العميل
قم بتنزيل أداة محلل عميل XMDE على جهاز Linux الذي تحتاج إلى التحقيق فيه. إذا كنت تستخدم محطة طرفية، فقم بتنزيل الأداة عن طريق إدخال الأمر التالي:
wget --quiet -O XMDEClientAnalyzerPython.zip "https://go.microsoft.com/fwlink/?linkid=2336046"تحقق من التنزيل:
echo '62F92CD9D191063663FBAC7B29E1C967C8F9A30B9B769DA5E968FC4276C1F030 XMDEClientAnalyzerPython.zip' | sha256sum -cاستخراج محتويات
XMDEClientAnalyzer.zipعلى الجهاز:unzip -q XMDEClientAnalyzerPython.zip -d XMDEClientAnalyzerPythonتغيير الدليل:
cd XMDEClientAnalyzerPythonمنح الأداة إذنا قابلا للتنفيذ:
chmod a+x mde_support_tool.shقم بتشغيل كمستخدم غير مستخدم لتثبيت التبعيات المطلوبة:
./mde_support_tool.shلجمع حزمة التشخيص وإنشاء ملف أرشيف النتائج، قم بتشغيل مرة أخرى كجذر:
sudo ./mde_support_tool.sh -d
تلميح
شاهد هذا الفيديو لمعرفة المزيد حول مشكلات الإعداد: مشكلات إلحاق محلل عميل Defender لنقطة النهاية
خيارات سطر الأوامر
فيما يلي خيارات سطر الأوامر التي يوفرها محلل العميل:
usage: MDESupportTool [-h] [--output OUTPUT] [--outdir OUTDIR] [--no-zip]
[--force] [--diagnostic] [--skip-mdatp]
[--bypass-disclaimer] [--interactive] [--delay DELAY]
[--mdatp-log {trace,info,warning,error,debug,verbose}]
[--max-log-size MAX_LOG_SIZE]
{certinfocollection,performance,installation,exclude,ratelimit,skipfaultyrules,trace,observespikes,connectivitytest}
...
MDE Diagnostics Tool
positional arguments:
{certinfocollection,performance,installation,exclude,ratelimit,skipfaultyrules,trace,observespikes,connectivitytest}
certinfocollection Collect cert information: Subject name and Hashes
performance Collect extensive machine performance tracing for
analysis of a performance scenario that can be
reproduced on demand
installation Collect different installation/onboarding reports
exclude Exclude specific processes from audit-d monitoring.
ratelimit Set the rate limit for auditd events. Rate limit will
update the limits for auditd events for all the
applications using auditd, which could impact
applications other than MDE.
skipfaultyrules Continue loading rules in spite of an error. This
summarizes the results of loading the rules. The exit
code will not be success if any rule fails to load.
trace Use OS tracing facilities to record Defender
performance traces.
observespikes Collect the process logs in case of spike or mdatp
crash
connectivitytest Perform connectivity test for MDE
optional arguments:
-h, --help show this help message and exit
--output OUTPUT, -o OUTPUT
Output path to export report
--outdir OUTDIR Directory where diagnostics file will be generated.
--no-zip, -nz If set a directory will be created instead of an
archive file.
--force, -f Will overwrite if output directory exists.
--diagnostic, -d Collect extensive machine diagnostic information.
--skip-mdatp Skip any mdatp command. Use this when the mdatp
command is unresponsive.
--bypass-disclaimer Do not display disclaimer banner.
--interactive, -i Interactive diagnostic,
--delay DELAY, -dd DELAY
Delay diagnostic by how many minutes (0~2880), use
this to wait for more debug logs before it collects.
--mdatp-log {trace,info,warning,error,debug,verbose}
Set MDATP log level. If you use interactive or delay
mode, the log level will set to debug automatically,
and reset after 48h.
--max-log-size MAX_LOG_SIZE
Maximum log file size in MB before rotating(Will
restart mdatp).
وضع التشخيص
يتم استخدام وضع التشخيص لجمع مجموعة واسعة من معلومات الجهاز، مثل الذاكرة والقرص وسجلات MDATP. توفر هذه المجموعة من الملفات المجموعة الأساسية من المعلومات المطلوبة لتصحيح أي مشكلة تتعلق ب Defender For Endpoint.
الخيارات المدعومة هي كما يلي:
optional arguments:
-h, --help show this help message and exit
--output OUTPUT, -o OUTPUT
Output path to export report
--outdir OUTDIR Directory where diagnostics file will be generated.
--no-zip, -nz If set a directory will be created instead of an
archive file.
--force, -f Will overwrite if output directory exists.
--diagnostic, -d Collect extensive machine diagnostic information.
--skip-mdatp Skip any mdatp command. Use this when the mdatp
command is unresponsive.
--bypass-disclaimer Do not display disclaimer banner.
--interactive, -i Interactive diagnostic,
--delay DELAY, -dd DELAY
Delay diagnostic by how many minutes (0~2880), use
this to wait for more debug logs before it collects.
--mdatp-log {trace,info,warning,error,debug,verbose}
Set MDATP log level. If you use interactive or delay
mode, the log level will set to debug automatically,
and reset after 48h.
--max-log-size MAX_LOG_SIZE
Maximum log file size in MB before rotating(Will
restart mdatp).
مثال الاستخدام: sudo ./MDESupportTool -d
ملاحظة
تتوفر ميزة الضبط التلقائي على مستوى السجل فقط في إصدار العامل 101.24052.0002 أو أعلى.
يتم تلخيص الملفات التي تم إنشاؤها عند استخدام هذا الوضع في الجدول التالي:
| ملف | ملاحظات |
|---|---|
mde_diagnostic.zip |
سجلات وتكوينات Defender لنقطة النهاية |
health.txt |
الحالة الصحية ل Defender لنقطة النهاية (تقديم فقط عند تثبيت Defender لنقطة النهاية) |
health_details_features.txt |
الحالة الصحية لميزات Defender لنقطة النهاية الأخرى (تقديم فقط عند تثبيت Defender لنقطة النهاية) |
permissions.txt |
مشكلات الأذونات في المجلدات المملوكة/المستخدمة من قبل Defender لنقطة النهاية (تقديم فقط عند تثبيت Defender لنقطة النهاية) |
crashes |
تفريغ الأعطال التي تم إنشاؤها بواسطة Defender لنقطة النهاية |
process_information.txt |
العملية قيد التشغيل في الجهاز عند تشغيل الأداة |
proc_directory_info.txt |
تعيين الذاكرة الظاهرية لعمليات Defender لنقطة النهاية (تقديم فقط عند تثبيت Defender لنقطة النهاية) |
auditd_info.txt |
الصحة المدققة والقواعد والسجلات |
auditd_log_analysis.txt |
ملخص الأحداث التي تمت معالجتها بواسطة التدقيق |
auditd_logs.zip |
ملفات السجل المدققة |
ebpf_kernel_config.txt |
تكوين Linux Kernel المحمل حاليا |
ebpf_enabled_func.txt |
قائمة بجميع دالات النواة التي تم تمكينها حاليا للتتبع |
ebpf_syscalls.zip |
معلومات حول تتبع استدعاء النظام |
ebpf_raw_syscalls.zip |
تتبع الأحداث المتعلقة باستدعاءات النظام الأولية |
ebpf_maps_info.txt |
معرف خرائط eBPF ومعلومات الحجم |
syslog.zip |
الملفات ضمن /var/log/syslog |
messages.zip |
الملفات ضمن /var/log/messages |
conflicting_processes_information.txt |
Defender for Endpoint Conflicting Processes |
exclusions.txt |
قائمة استثناءات مكافحة الفيروسات |
definitions.txt |
معلومات تعريف برنامج الحماية من الفيروسات |
mde_directories.txt |
قائمة الملفات في دلائل Defender لنقطة النهاية |
disk_usage.txt |
تفاصيل استخدام القرص |
mde_user.txt |
معلومات مستخدم Defender لنقطة النهاية |
mde_definitions_mount.txt |
نقطة تحميل تعريفات Defender لنقطة النهاية |
service_status.txt |
حالة خدمة Defender لنقطة النهاية |
service_file.txt |
ملف خدمة Defender لنقطة النهاية |
hardware_info.txt |
معلومات الأجهزة |
mount.txt |
معلومات نقطة التحميل |
uname.txt |
معلومات Kernel |
memory.txt |
معلومات ذاكرة النظام |
meminfo.txt |
معلومات مفصلة حول استخدام ذاكرة النظام |
cpuinfo.txt |
معلومات وحدة المعالجة المركزية |
lsns_info.txt |
معلومات مساحة اسم Linux |
lsof.txt |
معلومات واصفات الملفات المفتوحة ل Defender لنقطة النهاية (راجع الملاحظة بعد هذا الجدول) |
sestatus.txt |
معلومات واصفات الملفات المفتوحة ل Defender لنقطة النهاية |
lsmod.txt |
حالة الوحدات النمطية في نواة Linux |
dmesg.txt |
رسائل من المخزن المؤقت لحلقة النواة |
kernel_lockdown.txt |
معلومات تأمين kernel |
rtp_statistics.txt |
إحصائيات Defender for Endpoint Real Time Protection (RTP) (تقديم فقط عند تثبيت Defender لنقطة النهاية) |
libc_info.txt |
معلومات مكتبة libc |
uptime_info.txt |
الوقت منذ آخر إعادة تشغيل |
last_info.txt |
سرد آخر المستخدمين الذين تم تسجيل دخولهم |
locale_info.txt |
إظهار اللغات المحلية الحالية |
tmp_files_owned_by_mdatp.txt |
ملفات /tmp المملوكة للمجموعة: mdatp (تقديم فقط عند تثبيت Defender لنقطة النهاية) |
mdatp_config.txt |
جميع تكوينات Defender لنقطة النهاية (تقديم فقط عند تثبيت Defender لنقطة النهاية) |
mpenginedb.dbmpenginedb.db-walmpenginedb.db-shm |
ملف تعريفات مكافحة الفيروسات (تقديم فقط عند تثبيت Defender لنقطة النهاية) |
iptables_rules.txt |
قواعد Linux iptables |
network_info.txt |
معلومات الشبكة |
sysctl_info.txt |
معلومات إعدادات النواة |
hostname_diagnostics.txt |
معلومات تشخيص اسم المضيف |
mde_event_statistics.txt |
إحصائيات حدث Defender لنقطة النهاية (تقديم فقط عند تثبيت Defender لنقطة النهاية) |
mde_ebpf_statistics.txt |
إحصائيات Defender لنقطة النهاية eBPF (تقديم فقط عند تثبيت Defender لنقطة النهاية) |
kernel_logs.zip |
سجلات Kernel |
mdc_log.zip |
Microsoft Defender لسجلات السحابة |
netext_config.txt |
|
threat_list.txt |
قائمة التهديدات التي اكتشفها Defender لنقطة النهاية (تقديم فقط عند تثبيت Defender لنقطة النهاية) |
top_output.txt |
العملية قيد التشغيل في الجهاز عند تشغيل الأداة |
top_summary.txt |
تحليلات استخدام الذاكرة ووحدة المعالجة المركزية للعملية قيد التشغيل |
الوسيطات الاختيارية لمحلل العميل
يوفر Client Analyzer الوسيطات الاختيارية التالية لجمع البيانات الإضافية:
جمع معلومات الأداء
جمع تتبع أداء الجهاز الشامل لعمليات Defender لنقطة النهاية لتحليل سيناريو الأداء الذي يمكن إعادة إنتاجه عند الطلب.
-h, --help show this help message and exit
--frequency FREQUENCY
profile at this frequency
--length LENGTH length of time to collect (in seconds)
مثال الاستخدام: sudo ./MDESupportTool performance --frequency 500
فيما يلي الملف الذي تم إنشاؤه عند استخدام هذا الوضع:
| ملف | ملاحظات |
|---|---|
perf_benchmark.tar.gz |
يعالج Defender لنقطة النهاية بيانات الأداء |
ملاحظة
يتم أيضا إنشاء الملفات المقابلة لوضع التشخيص.
يحتوي tar على ملفات بالتنسيق <pid of a MDE process>.data.
يمكن قراءة ملف البيانات باستخدام الأمر :
perf report -i <pid>.data
تشغيل اختبار الاتصال
يختبر هذا الوضع ما إذا كانت موارد السحابة التي يحتاجها Defender لنقطة النهاية قابلة للوصول أم لا.
-h, --help show this help message and exit
-o ONBOARDING_SCRIPT, --onboarding-script ONBOARDING_SCRIPT
Path to onboarding script
-g GEO, --geo GEO Geo string to test <US|UK|EU|AU|CH|IN>
مثال الاستخدام:
sudo ./MDESupportTool connectivitytest -o ~/MicrosoftDefenderATPOnboardingLinuxServer.py`
يظهر الإخراج المطبوع على الشاشة ما إذا كانت عناوين URL قابلة للوصول أم لا.
جمع تقارير تثبيت/إلحاق مختلفة
يجمع هذا الوضع المعلومات المتعلقة بالتثبيت مثل التوزيع ومتطلبات النظام.
-h, --help show this help message and exit
-d, --distro Check for distro support
-m, --min-requirement Check for the system info against offical minimum requirements
-e, --external-dep Check for externel package dependency
-c, --connectivity Check for connectivity for services used by MDE
-a, --all Run all checks
-o ONBOARDING_SCRIPT, --onboarding-script ONBOARDING_SCRIPT
Path to onboarding script
-g GEO, --geo GEO Geo string to test <US|UK|EU|AU|CH|IN>
مثال الاستخدام:
sudo ./MDESupportTool installation --all
يتم إنشاء تقرير installation_report.json واحد. المفاتيح الموجودة في الملف هي كما يلي:
| المفتاح | ملاحظات |
|---|---|
| agent_version | تم تثبيت إصدار Defender لنقطة النهاية. |
| onboarding_status | معلومات الإلحاق والرنين |
| support_status | يتم دعم MDE مع تكوينات النظام الحالية. |
| توزيعه | التوزيعة التي يتم تثبيت العامل عليها في مدعومة أم لا. |
| الاتصالية | حالة اختبارات الاتصال. |
| min_requirement | يتم استيفاء الحد الأدنى من متطلبات وحدة المعالجة المركزية والذاكرة. |
| external_depedency | التبعيات الخارجية راضية أم لا. |
| mde_health | الحالة الصحية لعامل MDE |
| folder_perm | يتم استيفاء أذونات المجلد المطلوبة أم لا. |
وضع الاستبعاد
يضيف هذا الوضع استثناءات للمراقبة audit-d .
-h, --help show this help message and exit
-e <executable>, --exe <executable>
exclude by executable name, i.e: bash
-p <process id>, --pid <process id>
exclude by process id, i.e: 911
-d <directory>, --dir <directory>
exclude by target path, i.e: /var/foo/bar
-x <executable> <directory>, --exe_dir <executable> <directory>
exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
-q <q_size>, --queue <q_size>
set dispatcher q_depth size
-r, --remove remove exclusion file
-s, --stat get statistics about common executables
-l, --list list auditd rules
-o, --override Override the existing auditd exclusion rules file for mdatp
-c <syscall number>, --syscall <syscall number>
exclude all process of the given syscall
مثال الاستخدام:
sudo ./MDESupportTool exclude -d /var/foo/bar`
محدد معدل التدقيق
يعين هذا الخيار حد المعدل عالميا ل AuditD مما يتسبب في انخفاض في جميع أحداث التدقيق. عند تمكين المحدد، تقتصر الأحداث المدققة على 2500 حدث/ثانية. يمكن استخدام هذا الخيار في الحالات التي نرى فيها استخداما عاليا لوحدة المعالجة المركزية من جانب AuditD.
-h, --help show this help message and exit
-e <true/false>, --enable <true/false> enable/disable the rate limit with default values
مثال الاستخدام:
sudo ./mde_support_tool.sh ratelimit -e true
ملاحظة
يجب استخدام هذه الوظيفة بعناية لأنها تحد من عدد الأحداث التي يبلغ عنها النظام الفرعي المدقق ككل. قد يقلل هذا من عدد الأحداث للمشتركين الآخرين أيضا.
تجاوز القواعد المعيبة ل AuditD
يمكنك هذا الخيار من تخطي القواعد الخاطئة المضافة في ملف القواعد المدققة أثناء تحميلها. يسمح النظام الفرعي المدقق بمتابعة تحميل القواعد حتى إذا كانت هناك قاعدة خاطئة.
-h, --help show this help message and exit
-e <true/false>, --enable <true/false> enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.
مثال الاستخدام:
sudo ./mde_support_tool.sh skipfaultyrules -e true
ملاحظة
تتخطى هذه الوظيفة القواعد الخاطئة. يجب تحديد القواعد الخاطئة وإصلاحها بشكل أكبر.
استخدام الاستجابة المباشرة في Defender لنقطة النهاية لجمع سجلات الدعم
يمكن تنزيل أداة محلل عميل XMDE كحزمة ثنائية أو Python يمكن استخراجها وتنفيذها على أجهزة Linux. يمكن تنفيذ كلا الإصدارين من محلل عميل XMDE أثناء جلسة استجابة مباشرة.
- للتثبيت، الحزمة
unzipمطلوبة. - للتنفيذ، الحزمة
aclمطلوبة.
هام
تستخدم النافذة حرفي Return وLine Feed غير المرئيين لتمثيل نهاية سطر واحد وبداية سطر جديد في ملف، ولكن تستخدم أنظمة Linux الحرف غير المرئي لموجز الأسطر فقط في نهاية أسطر الملفات الخاصة به. عند استخدام البرامج النصية التالية، إذا تم ذلك على Windows، يمكن أن يؤدي هذا الاختلاف إلى أخطاء وفشل البرامج النصية للتشغيل. الحل المحتمل لهذا هو الاستفادة من نظام Windows الفرعي لـ Linux والحزمة dos2unix بغية إعادة تنسيق البرنامج النصي بحيث يتوافق مع معيار تنسيق Unix وLinux.
تثبيت محلل عميل XMDE
قم بتنزيل واستخراج محلل عميل XMDE. يمكنك استخدام إما الإصدار الثنائي أو إصدار Python، كما يلي:
نظرا للأوامر المحدودة المتوفرة في الاستجابة المباشرة، يجب تنفيذ الخطوات المفصلة في برنامج نصي bash. من خلال تقسيم جزء التثبيت والتنفيذ من هذه الأوامر، من الممكن تشغيل البرنامج النصي للتثبيت مرة واحدة، وتشغيل البرنامج النصي للتنفيذ عدة مرات.
هام
تفترض البرامج النصية المثال أن الجهاز لديه وصول مباشر إلى الإنترنت ويمكنه استرداد محلل عميل XMDE من Microsoft. إذا لم يكن لدى الجهاز وصول مباشر إلى الإنترنت، فيجب تحديث البرامج النصية للتثبيت لإحضار محلل عميل XMDE من موقع يمكن للأجهزة الوصول إليه بنجاح.
البرنامج النصي لتثبيت محلل العميل الثنائي
ينفذ البرنامج النصي التالي الخطوات الست الأولى من تشغيل الإصدار الثنائي من محلل العميل. عند الانتهاء، يتوفر ثنائي محلل عميل XMDE من /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer الدليل.
إنشاء ملف
InstallXMDEClientAnalyzer.shbash ولصق المحتوى التالي فيه.#! /usr/bin/bash echo "Starting Client Analyzer Script. Running As:" whoami echo "Getting XMDEClientAnalyzerBinary" wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary echo 'C65A4E4C6851D130942BFACD147A9D18B8A92B4F50FACF519477FD1C41A1C323 /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c echo "Unzipping XMDEClientAnalyzerBinary.zip" unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary echo "Unzipping SupportToolLinuxBinary.zip" unzip -q /tmp/XMDEClientAnalyzerBinary/XMDEClientAnalyzer/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
البرنامج النصي لتثبيت محلل عميل Python
ينفذ البرنامج النصي التالي الخطوات الست الأولى من تشغيل إصدار Python من محلل العميل. عند الانتهاء، تتوفر البرامج النصية XMDE Client Analyzer Python من /tmp/XMDEClientAnalyzer الدليل.
إنشاء ملف
InstallXMDEClientAnalyzer.shbash ولصق المحتوى التالي فيه.#! /usr/bin/bash echo "Starting Client Analyzer Install Script. Running As:" whoami echo "Getting XMDEClientAnalyzer.zip" wget --quiet -O /tmp/XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer echo '07E6A7B89E28A78309D5B6F1E25E4CDFBA9CA141450E422D76441C03AD3477E7 /tmp/XMDEClientAnalyzer.zip' | sha256sum -c echo "Unzipping XMDEClientAnalyzer.zip" unzip -q /tmp/XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer echo "Setting execute permissions on mde_support_tool.sh script" cd /tmp/XMDEClientAnalyzer chmod a+x mde_support_tool.sh echo "Performing final support tool setup" ./mde_support_tool.sh
تلميح
شاهد هذا الفيديو لمعرفة المزيد حول إعدادات نقطة النهاية: إعدادات نقطة نهاية محلل عميل Defender لنقطة النهاية
تشغيل البرامج النصية لتثبيت محلل العميل
ابدأ جلسة Live Response على الجهاز الذي تريد التحقيق فيه.
حدد Upload file to library.
حدد اختيار ملف.
حدد الملف الذي تم تنزيله باسم
InstallXMDEClientAnalyzer.sh، ثم حدد Confirm.أثناء وجودك في جلسة LiveResponse، استخدم الأوامر التالية لتثبيت المحلل:
run InstallXMDEClientAnalyzer.sh
تشغيل محلل عميل XMDE
لا تدعم الاستجابة المباشرة تشغيل محلل عميل XMDE أو Python مباشرة، لذلك من الضروري وجود برنامج نصي للتنفيذ.
هام
تفترض البرامج النصية التالية أنه تم تثبيت XMDE Client Analyzer باستخدام نفس المواقع من البرامج النصية المذكورة سابقا. إذا اختارت مؤسستك تثبيت البرامج النصية في موقع مختلف، فيجب تحديث البرامج النصية لتتماشى مع موقع التثبيت الذي تختاره مؤسستك.
برنامج نصي لتنفيذ محلل العميل الثنائي
يقبل الإصدار الثنائي من محلل العميل معلمات سطر الأوامر لإجراء اختبارات تحليل مختلفة. لتوفير قدرات مماثلة أثناء الاستجابة المباشرة، يستفيد البرنامج النصي للتنفيذ من $@ متغير bash لتمرير جميع معلمات الإدخال المقدمة إلى البرنامج النصي إلى محلل عميل XMDE.
إنشاء ملف
MDESupportTool.shbash ولصق المحتوى التالي فيه.#! /usr/bin/bash echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer" cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer echo "Running MDESupportTool" ./MDESupportTool $@
برنامج نصي لتنفيذ محلل عميل Python
يقبل إصدار Python من محلل العميل معلمات سطر الأوامر لإجراء اختبارات تحليل مختلفة. لتوفير قدرات مماثلة أثناء الاستجابة المباشرة، يستفيد البرنامج النصي للتنفيذ من $@ متغير bash لتمرير جميع معلمات الإدخال المقدمة إلى البرنامج النصي إلى محلل عميل XMDE.
إنشاء ملف
MDESupportTool.shbash ولصق المحتوى التالي فيه.#! /usr/bin/bash echo "cd /tmp/XMDEClientAnalyzer" cd /tmp/XMDEClientAnalyzer echo "Running mde_support_tool" ./mde_support_tool.sh $@
تشغيل البرنامج النصي لمحلل العميل
ملاحظة
إذا كان لديك جلسة استجابة مباشرة نشطة، يمكنك تخطي الخطوة 1.
ابدأ جلسة Live Response على الجهاز الذي تريد التحقيق فيه.
حدد Upload file to library.
حدد اختيار ملف.
حدد الملف الذي تم تنزيله باسم
MDESupportTool.sh، ثم حدد Confirm.أثناء وجودك في جلسة الاستجابة المباشرة، استخدم الأوامر التالية لتشغيل المحلل وجمع الملف الناتج:
run MDESupportTool.sh -parameters "--bypass-disclaimer -d" GetFile "/tmp/your_archive_file_name_here.zip"
راجع أيضًا
Defender لنقطة النهاية على مستندات استكشاف الأخطاء وإصلاحها في Linux
استكشاف مشكلات التثبيت Microsoft Defender لنقطة النهاية على Linux وإصلاحها
استكشاف مشكلات الاتصال السحابي وإصلاحها Microsoft Defender لنقطة النهاية على Linux
استكشاف مشكلات الأداء Microsoft Defender لنقطة النهاية على Linux وإصلاحها
استكشاف مشكلات الأحداث أو التنبيهات المفقودة Microsoft Defender لنقطة النهاية على Linux وإصلاحها
معالجة الإيجابيات/السلبيات الخاطئة في Microsoft Defender لنقطة النهاية