جمع سجلات الدعم في Microsoft Defender لنقطة النهاية باستخدام الاستجابة المباشرة

عند الاتصال بالدعم، قد يطلب منك توفير حزمة الإخراج لأداة Microsoft Defender لنقطة النهاية Client Analyzer.

توفر هذه المقالة إرشادات حول كيفية تشغيل الأداة عبر Live Response على Windows وعلى أجهزة Linux.

بالنسبة لنظام التشغيل

1. قم بتنزيل وإحضار البرامج النصية المطلوبة المتوفرة من داخل الدليل الفرعي Toolsل Microsoft Defender لنقطة النهاية Client Analyzer.

   على سبيل المثال، للحصول على المستشعر الأساسي وسجلات سلامة الجهاز، قم بإحضار ..\Tools\MDELiveAnalyzer.ps1.

   • إذا كنت بحاجة إلى سجلات إضافية متعلقة Microsoft Defender Antivirus، فاستخدم ..\Tools\MDELiveAnalyzerAV.ps1.
   • إذا كنت تحتاج إلى سجلات Microsoft Endpoint Data Loss Prevention ذات الصلة، فاستخدم ..\Tools\MDELiveAnalyzerDLP.ps1.
   • إذا كنت بحاجة إلى سجلات متعلقة بالشبكة وWindows Filter Platform ، فاستخدم ..\Tools\MDELiveAnalyzerNet.ps1.
   • إذا كنت بحاجة إلى سجلات مراقبة العملية ، فاستخدم ..\Tools\MDELiveAnalyzerAppCompat.ps1.

2. ابدأ جلسة Live Response على الجهاز الذي تحتاج إلى التحقيق فيه.

3. حدد Upload file to library.

   

4. حدد اختيار ملف.

5. حدد الملف الذي تم تنزيله باسم MDELiveAnalyzer.ps1، ثم حدد تأكيد.

   

   كرر هذه الخطوة للملف MDEClientAnalyzerPreview.zip .

6. أثناء وجودك في جلسة LiveResponse، استخدم الأوامر التالية لتشغيل المحلل وجمع الملف الناتج.

   Putfile MDEClientAnalyzerPreview.zip
   Run MDELiveAnalyzer.ps1
   GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDECA\MDEClientAnalyzerResult.zip"
   

   

معلومات إضافية

• يمكن تنزيل أحدث إصدار معاينة من MDE Client Analyzer على https://aka.ms/MDEClientAnalyzerPreview.

• لمزيد من المعلومات حول جمع البيانات محليا على جهاز في حالة عدم اتصال الجهاز بخدمات السحابة Microsoft Defender لنقطة النهاية، أو عدم ظهوره في مدخل Microsoft Defender لنقطة النهاية كما هو متوقع، راجع التحقق من اتصال العميل عناوين URL للخدمة Microsoft Defender لنقطة النهاية.

• كما هو موضح في أمثلة أوامر الاستجابة المباشرة، قد تحتاج إلى استخدام & الرمز في نهاية الأمر لجمع السجلات كإجراء في الخلفية:

  Run MDELiveAnalyzer.ps1&
  

ينكس

يمكن تنزيل أداة محلل عميل XMDE كحزمة ثنائية أو Python يمكن استخراجها وتنفيذها على أجهزة Linux. يمكن تنفيذ كلا الإصدارين من محلل عميل XMDE أثناء جلسة استجابة مباشرة.

المتطلبات الأساسية

• لتثبيت الحزمة unzip مطلوبة.

• لتنفيذ الحزمة acl مطلوبة.

هام

تستخدم النافذة حرفي Return وLine Feed غير المرئيين لتمثيل نهاية سطر واحد وبداية سطر جديد في ملف، ولكن تستخدم أنظمة Linux الحرف غير المرئي لموجز الأسطر فقط في نهاية أسطر الملفات الخاصة به. عند استخدام البرامج النصية التالية، إذا تم ذلك على Windows، يمكن أن يؤدي هذا الاختلاف إلى أخطاء وفشل البرامج النصية للتشغيل. الحل المحتمل لهذا هو الاستفادة من نظام Windows الفرعي لـ Linux‬ والحزمة dos2unix بغية إعادة تنسيق البرنامج النصي بحيث يتوافق مع معيار تنسيق Unix وLinux.

تثبيت محلل عميل XMDE

كلا الإصدارين من محلل عميل XMDE، ثنائي وPython، حزمة قائمة بذاتها يجب تنزيلها واستخراجها قبل التنفيذ. لمزيد من المعلومات، راجع استكشاف أخطاء سلامة المستشعر وإصلاحها باستخدام Microsoft Defender لنقطة النهاية Client Analyzer

نظرا للأوامر المحدودة المتوفرة في Live Response، يجب تنفيذ الخطوات التفصيلية في برنامج نصي bash، وعن طريق تقسيم جزء التثبيت والتنفيذ من هذه الأوامر، من الممكن تشغيل البرنامج النصي للتثبيت مرة واحدة، أثناء تشغيل البرنامج النصي للتنفيذ عدة مرات.

هام

تفترض البرامج النصية المثال أن الجهاز لديه وصول مباشر إلى الإنترنت ويمكنه استرداد محلل عميل XMDE من Microsoft. إذا لم يكن لدى الجهاز وصول مباشر إلى الإنترنت، فستحتاج البرامج النصية للتثبيت إلى التحديث لإحضار محلل عميل XMDE من موقع يمكن للأجهزة الوصول إليه بنجاح.

البرنامج النصي لتثبيت محلل العميل الثنائي

ينفذ البرنامج النصي التالي الخطوات الست الأولى من تشغيل الإصدار الثنائي من محلل العميل. عند الانتهاء، يتوفر ثنائي محلل عميل XMDE من /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer الدليل.

1. إنشاء ملف InstallXMDEClientAnalyzer.sh bash ولصق المحتوى التالي فيه.

   #! /usr/bin/bash
   
   echo "Starting Client Analyzer Script. Running As:"
   whoami
   
   echo "Getting XMDEClientAnalyzerBinary"
   wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://go.microsoft.com/fwlink/?linkid=2297517
   echo 'C65A4E4C6851D130942BFACD147A9D18B8A92B4F50FACF519477FD1C41A1C323 /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c
   
   echo "Unzipping XMDEClientAnalyzerBinary.zip"
   unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary
   
   echo "Unzipping SupportToolLinuxBinary.zip"
   unzip -q /tmp/XMDEClientAnalyzerBinary/XMDEClientAnalyzer/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
   
   echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
   
   

البرنامج النصي لتثبيت محلل عميل Python

ينفذ البرنامج النصي التالي الخطوات الست الأولى من تشغيل إصدار Python من محلل العميل. عند الانتهاء، تتوفر البرامج النصية XMDE Client Analyzer Python من /tmp/XMDEClientAnalyzer الدليل.

1. إنشاء ملف InstallXMDEClientAnalyzer.sh bash ولصق المحتوى التالي فيه.

   #! /usr/bin/bash
   
   echo "Starting Client Analyzer Install Script. Running As:"
   whoami
   
   echo "Getting XMDEClientAnalyzer.zip"
   wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer 
   echo '07E6A7B89E28A78309D5B6F1E25E4CDFBA9CA141450E422D76441C03AD3477E7 XMDEClientAnalyzer.zip' | sha256sum -c  
   
   echo "Unzipping XMDEClientAnalyzer.zip"
   unzip -q XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer  
   
   echo "Setting execute permissions on mde_support_tool.sh script"
   cd /tmp/XMDEClientAnalyzer 
   chmod a+x mde_support_tool.sh  
   
   echo "Performing final support tool setup"
   ./mde_support_tool.sh
   
   

تشغيل البرامج النصية لتثبيت محلل العميل

1. ابدأ جلسة Live Response على الجهاز الذي تحتاج إلى التحقيق فيه.

2. حدد Upload file to library.

3. حدد اختيار ملف.

4. حدد الملف الذي تم تنزيله باسم InstallXMDEClientAnalyzer.sh، ثم حدد Confirm.

5. أثناء وجودك في جلسة LiveResponse، استخدم الأوامر التالية لتثبيت المحلل:

   run InstallXMDEClientAnalyzer.sh
   

تشغيل محلل عميل XMDE

لا تدعم Live Response تشغيل محلل عميل XMDE أو Python مباشرة، لذلك من الضروري وجود برنامج نصي للتنفيذ.

هام

تفترض البرامج النصية التالية أنه تم تثبيت XMDE Client Analyzer باستخدام نفس المواقع من البرامج النصية المذكورة سابقا. إذا اختارت مؤسستك تثبيت البرامج النصية في موقع مختلف، فيجب تحديث البرامج النصية التالية لتتماشى مع موقع التثبيت الذي تختاره مؤسستك.

البرنامج النصي لتشغيل محلل العميل الثنائي

يقبل Binary Client Analyzer معلمات سطر الأوامر لإجراء اختبارات تحليل مختلفة. لتوفير قدرات مماثلة أثناء Live Response، يستفيد البرنامج النصي للتنفيذ من $@ متغير bash لتمرير جميع معلمات الإدخال المقدمة إلى البرنامج النصي إلى محلل عميل XMDE.

1. إنشاء ملف MDESupportTool.sh bash ولصق المحتوى التالي فيه.

   #! /usr/bin/bash
   
   echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
   cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
   
   echo "Running MDESupportTool"
   ./MDESupportTool $@
   
   

البرنامج النصي لتشغيل محلل عميل Python

يقبل Python Client Analyzer معلمات سطر الأوامر لإجراء اختبارات تحليل مختلفة. لتوفير قدرات مماثلة أثناء Live Response، يستفيد البرنامج النصي للتنفيذ من $@ متغير bash لتمرير جميع معلمات الإدخال المقدمة إلى البرنامج النصي إلى محلل عميل XMDE.

1. إنشاء ملف MDESupportTool.sh bash ولصق المحتوى التالي فيه.

   #! /usr/bin/bash  
   
   echo "cd /tmp/XMDEClientAnalyzer"
   cd /tmp/XMDEClientAnalyzer 
   
   echo "Running mde_support_tool"
   ./mde_support_tool.sh $@
   
   

تشغيل البرنامج النصي لمحلل العميل

ملاحظة

إذا كان لديك جلسة Live Response نشطة، فيمكنك تخطي الخطوة 1.

1. ابدأ جلسة Live Response على الجهاز الذي تحتاج إلى التحقيق فيه.

2. حدد Upload file to library.

3. حدد اختيار ملف.

4. حدد الملف الذي تم تنزيله باسم MDESupportTool.sh، ثم حدد Confirm.

5. أثناء وجودك في جلسة Live Response، استخدم الأوامر التالية لتشغيل المحلل وجمع الملف الناتج.

   run MDESupportTool.sh -parameters "--bypass-disclaimer -d"
   GetFile "/tmp/your_archive_file_name_here.zip"
   

راجع أيضًا

• نظرة عامة حول محلل العميل
• تجميع البيانات من أجل استكشاف الأخطاء وإصلاحها على Windows
• فهم تقرير HTML الخاص ب المحلل