مشاركة عبر

جمع سجلات الدعم في Microsoft Defender لنقطة النهاية باستخدام الاستجابة المباشرة

  • مقالة

ينطبق على:

هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.

عند الاتصال بالدعم، قد يطلب منك توفير حزمة الإخراج لأداة Microsoft Defender for Endpoint Client Analyzer.

توفر هذه المقالة إرشادات حول كيفية تشغيل الأداة عبر Live Response على Windows وعلى أجهزة Linux.

بالنسبة لنظام التشغيل

  1. قم بتنزيل وإحضار البرامج النصية المطلوبة المتوفرة من داخل الدليل الفرعي Tools ل Microsoft Defender for Endpoint Client Analyzer.

    على سبيل المثال، للحصول على المستشعر الأساسي وسجلات سلامة الجهاز، قم بإحضار ..\Tools\MDELiveAnalyzer.ps1.

    إذا كنت تحتاج أيضا إلى سجلات دعم برنامج الحماية من الفيروسات من Microsoft Defender (MpSupportFiles.cab)، فجلب ..\Tools\MDELiveAnalyzerAV.ps1.

  2. ابدأ جلسة Live Response على الجهاز الذي تحتاج إلى التحقيق فيه.

  3. حدد Upload file to library.

    ملف التحميل

  4. حدد اختيار ملف.

    الزر choose file-1

  5. حدد الملف الذي تم تنزيله باسم MDELiveAnalyzer.ps1، ثم حدد تأكيد.

    الزر choose file-2

  6. أثناء وجودك في جلسة LiveResponse، استخدم الأوامر التالية لتشغيل المحلل وجمع الملف الناتج.

    Run MDELiveAnalyzer.ps1
GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDEClientAnalyzerResult.zip"

    صورة الأوامر.

معلومات إضافية

  • يمكن تنزيل أحدث إصدار معاينة من MDEClientAnalyzer هنا: https://aka.ms/Betamdeanalyzer.

  • يقوم البرنامج النصي LiveAnalyzer بتنزيل حزمة استكشاف الأخطاء وإصلاحها على الجهاز الوجهة من: https://mdatpclientanalyzer.blob.core.windows.net.

  • إذا لم تتمكن من السماح للجهاز بالوصول إلى عنوان URL أعلاه، فحمل MDEClientAnalyzerPreview.zip الملف إلى المكتبة قبل تشغيل البرنامج النصي LiveAnalyzer:

    PutFile MDEClientAnalyzerPreview.zip -overwrite
Run MDELiveAnalyzer.ps1
GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDEClientAnalyzerResult.zip"

  • لمزيد من المعلومات حول جمع البيانات محليا على جهاز في حالة عدم اتصال الجهاز بخدمات سحابة Microsoft Defender لنقطة النهاية، أو عدم ظهوره في مدخل Microsoft Defender لنقطة النهاية كما هو متوقع، راجع التحقق من اتصال العميل بعناوين URL لخدمة Microsoft Defender لنقطة النهاية.

  • كما هو موضح في أمثلة أوامر الاستجابة المباشرة، قد تحتاج إلى استخدام & الرمز في نهاية الأمر لجمع السجلات كإجراء في الخلفية:

    Run MDELiveAnalyzer.ps1&

ينكس

يمكن تنزيل أداة محلل عميل XMDE كحزمة ثنائية أو Python يمكن استخراجها وتنفيذها على أجهزة Linux. يمكن تنفيذ كلا الإصدارين من محلل عميل XMDE أثناء جلسة استجابة مباشرة.

المتطلبات الأساسية

  • لتثبيت الحزمة unzip مطلوبة.

  • لتنفيذ الحزمة acl مطلوبة.

هام

تستخدم النافذة حرفي Return وLine Feed غير المرئيين لتمثيل نهاية سطر واحد وبداية سطر جديد في ملف، ولكن تستخدم أنظمة Linux الحرف غير المرئي لموجز الأسطر فقط في نهاية أسطر الملفات الخاصة به. عند استخدام البرامج النصية التالية، إذا تم ذلك على Windows، يمكن أن يؤدي هذا الاختلاف إلى أخطاء وفشل البرامج النصية للتشغيل. أحد الحلول المحتملة لهذا هو استخدام نظام Windows الفرعي لنظام التشغيل Linux والحزمة dos2unix لإدارة البرنامج النصي بحيث يتوافق مع معيار تنسيق Unix وLinux.

تثبيت محلل عميل XMDE

يمكن العثور على كلا إصداري XMDE Client Analyzer، ثنائي وPython، وهي حزمة قائمة بذاتها يجب تنزيلها واستخراجها قبل التنفيذ، ومجموعة كاملة من الخطوات لهذه العملية:

نظرا للأوامر المحدودة المتوفرة في Live Response، يجب تنفيذ الخطوات التفصيلية في برنامج نصي bash، وعن طريق تقسيم جزء التثبيت والتنفيذ من هذه الأوامر، من الممكن تشغيل البرنامج النصي للتثبيت مرة واحدة، أثناء تشغيل البرنامج النصي للتنفيذ عدة مرات.

هام

تفترض البرامج النصية المثال أن الجهاز لديه وصول مباشر إلى الإنترنت ويمكنه استرداد محلل عميل XMDE من Microsoft. إذا لم يكن لدى الجهاز وصول مباشر إلى الإنترنت، فستحتاج البرامج النصية للتثبيت إلى التحديث لإحضار محلل عميل XMDE من موقع يمكن للأجهزة الوصول إليه بنجاح.

البرنامج النصي لتثبيت محلل العميل الثنائي

ينفذ البرنامج النصي التالي الخطوات الست الأولى من تشغيل الإصدار الثنائي من محلل العميل. عند الانتهاء، يتوفر ثنائي محلل عميل XMDE من /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer الدليل.

  1. إنشاء ملف InstallXMDEClientAnalyzer.sh bash ولصق المحتوى التالي فيه.

    #! /usr/bin/bash

echo "Starting Client Analyzer Script. Running As:"
whoami

echo "Getting XMDEClientAnalyzerBinary"
wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary
echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c

echo "Unzipping XMDEClientAnalyzerBinary.zip"
unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary

echo "Unzipping SupportToolLinuxBinary.zip"
unzip -q /tmp/XMDEClientAnalyzerBinary/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer

echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"

البرنامج النصي لتثبيت محلل عميل Python

ينفذ البرنامج النصي التالي الخطوات الست الأولى من تشغيل إصدار Python من محلل العميل. عند الانتهاء، تتوفر البرامج النصية XMDE Client Analyzer Python من /tmp/XMDEClientAnalyzer الدليل.

  1. إنشاء ملف InstallXMDEClientAnalyzer.sh bash ولصق المحتوى التالي فيه.

    #! /usr/bin/bash

echo "Starting Client Analyzer Install Script. Running As:"
whoami

echo "Getting XMDEClientAnalyzer.zip"
wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer 
echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c  

echo "Unzipping XMDEClientAnalyzer.zip"
unzip -q XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer  

echo "Setting execute permissions on mde_support_tool.sh script"
cd /tmp/XMDEClientAnalyzer 
chmod a+x mde_support_tool.sh  

echo "Performing final support tool setup"
./mde_support_tool.sh

تشغيل البرامج النصية لتثبيت محلل العميل

  1. ابدأ جلسة Live Response على الجهاز الذي تحتاج إلى التحقيق فيه.

  2. حدد Upload file to library.

  3. حدد اختيار ملف.

  4. حدد الملف الذي تم تنزيله باسم InstallXMDEClientAnalyzer.sh، ثم حدد Confirm.

  5. أثناء وجودك في جلسة LiveResponse، استخدم الأوامر التالية لتثبيت المحلل:

    run InstallXMDEClientAnalyzer.sh

تشغيل محلل عميل XMDE

لا تدعم Live Response تشغيل محلل عميل XMDE أو Python مباشرة، لذلك من الضروري وجود برنامج نصي للتنفيذ.

هام

تفترض البرامج النصية التالية أنه تم تثبيت XMDE Client Analyzer باستخدام نفس المواقع من البرامج النصية المذكورة سابقا. إذا اختارت مؤسستك تثبيت البرامج النصية في موقع مختلف، فيجب تحديث البرامج النصية التالية لتتماشى مع موقع التثبيت الذي تختاره مؤسستك.

البرنامج النصي لتشغيل محلل العميل الثنائي

يقبل Binary Client Analyzer معلمات سطر الأوامر لإجراء اختبارات تحليل مختلفة. لتوفير قدرات مماثلة أثناء Live Response، يستفيد البرنامج النصي للتنفيذ من $@ متغير bash لتمرير جميع معلمات الإدخال المقدمة إلى البرنامج النصي إلى محلل عميل XMDE.

  1. إنشاء ملف MDESupportTool.sh bash ولصق المحتوى التالي فيه.

    #! /usr/bin/bash

echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer

echo "Running MDESupportTool"
./MDESupportTool $@

البرنامج النصي لتشغيل محلل عميل Python

يقبل Python Client Analyzer معلمات سطر الأوامر لإجراء اختبارات تحليل مختلفة. لتوفير قدرات مماثلة أثناء Live Response، يستفيد البرنامج النصي للتنفيذ من $@ متغير bash لتمرير جميع معلمات الإدخال المقدمة إلى البرنامج النصي إلى محلل عميل XMDE.

  1. إنشاء ملف MDESupportTool.sh bash ولصق المحتوى التالي فيه.

    #! /usr/bin/bash  

echo "cd /tmp/XMDEClientAnalyzer"
cd /tmp/XMDEClientAnalyzer 

echo "Running mde_support_tool"
./mde_support_tool.sh $@

تشغيل البرنامج النصي لمحلل العميل

ملاحظة

إذا كان لديك جلسة Live Response نشطة، فيمكنك تخطي الخطوة 1.

  1. ابدأ جلسة Live Response على الجهاز الذي تحتاج إلى التحقيق فيه.

  2. حدد Upload file to library.

  3. حدد اختيار ملف.

  4. حدد الملف الذي تم تنزيله باسم MDESupportTool.sh، ثم حدد Confirm.

  5. أثناء وجودك في جلسة Live Response، استخدم الأوامر التالية لتشغيل المحلل وجمع الملف الناتج.

    run MDESupportTool.sh -parameters "--bypass-disclaimer -d"
GetFile "/tmp/your_archive_file_name_here.zip"

راجع أيضًا

تلميح

هل تريد معرفة المزيد؟ التفاعل مع مجتمع أمان Microsoft في مجتمع التكنولوجيا لدينا: Microsoft Defender for Endpoint Tech Community.