Sdílet prostřednictvím

Spuštění analyzátoru klienta na Linux

  • Platí pro: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Pokud máte problémy s Microsoft Defender for Endpoint na Linux a potřebujete podporu, můžete být požádáni o zadání výstupu z nástroje Client Analyzer. Jedná se o diagnostický nástroj, který pomáhá správcům a týmům podpory řešit problémy s Microsoft Defender for Endpoint. Shromažďuje podrobné informace o instalaci, konfiguraci, stavu služby, protokolech, stavu připojení atd. Tento nástroj se primárně používá ke kontrole stavu systému, ověřování konfigurací a odstraňování potenciálních problémů.

Tento článek vysvětluje, jak nástroj používat na vašem zařízení nebo s živou odezvou. Můžete použít řešení založené na Pythonu nebo binární verzi, která Python nepotřebuje.

Tip

Podívejte se na toto video a získejte přehled analyzátoru klienta : Přehled analyzátoru klienta Defenderu for Endpoint

Spuštění binární verze klientského analyzátoru

Binární verze klientského analyzátoru je k dispozici dvěma způsoby:

  • Dodáno s Microsoft Defender pro Linux
  • Dodáváno jako samostatný nástroj

Spusťte binární soubor Client Analyzer dodávaný s Microsoft Defender pro Linux:

Poznámka

Počínaje verzí 101.25082.0000Defenderu for Endpoint se analyzátor klienta dodává s agentem. Najdete ho v následujícím umístění: /opt/microsoft/mdatp/tools/client_analyzer/binary

Chcete-li spustit tento analyzátor klienta, postupujte takto:

  1. Přejděte do adresáře /opt/microsoft/mdatp/tools/client_analyzer/binary:

    cd /opt/microsoft/mdatp/tools/client_analyzer/binary

  2. Spuštěním nástroje jako kořenového adresáře vygenerujte diagnostický balíček:

    sudo ./MDESupportTool -d

Stažení a spuštění samostatného binárního nástroje Client Analyzer

Pokud chcete použít samostatný binární soubor ClientAnalyzer, postupujte podle následujících kroků.

  1. Stáhněte si binární nástroj XMDE Client Analyzer do počítače Linux, který potřebujete prozkoumat. Pokud používáte terminál, stáhněte si nástroj zadáním následujícího příkazu:

    wget --quiet -O XMDEClientAnalyzerBinary.zip "https://go.microsoft.com/fwlink/?linkid=2336125"

  2. Ověřte stažení:

    echo '0C8F010D09557478E0CF626D439D5F7EAB1F6C7EEFF69FF1E98A7289520983E1 XMDEClientAnalyzerBinary.zip' | sha256sum -c

  3. Extrahujte obsah na XMDEClientAnalyzerBinary.zip počítači.

    unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary

  4. Změňte adresář:

    cd XMDEClientAnalyzerBinary

  5. Vytvoří se dva nové soubory ZIP:

    • SupportToolLinuxamd64Binary.zip: Pro zařízení Linux x86
    • SupportToolLinuxarm64Binary.zip: Pro zařízení Linux ARM

  6. Rozbalte soubor ZIP sepecific na základě architektury operačního systému Linux. Tady například použijeme SupportToolLinuxamd64Binary.zip soubor.

    unzip -q SupportToolLinuxamd64Binary.zip

  7. Spuštěním nástroje jako kořenového adresáře vygenerujte diagnostický balíček:

    sudo ./MDESupportTool -d

Spuštění analyzátoru klienta založeného na Pythonu

Verze pythonu klientského analyzátoru je dostupná dvěma způsoby:

  • Dodáno s Microsoft Defender pro Linux
  • Dodáváno jako samostatný nástroj

Poznámka

  • Analyzátor závisí na několika dalších balíčcích PIP (decorator, sh, distro, lxmla psutil), které jsou nainstalovány v operačním systému, když jsou v kořenovém adresáři, aby se vytvořil výstup výsledku. Pokud není nainstalovaný, analyzátor se ho pokusí načíst z oficiálního úložiště pro balíčky Pythonu.
  • Kromě toho nástroj v současné době vyžaduje, aby byl na vašem zařízení nainstalovaný Python verze 3 nebo novější.
  • Počínaje nástrojem Client Analyzer pro MDE Linux verze 1.7.0 je k dispozici podpora spuštění analyzátoru klienta založeného na Pythonu ve virtuálním prostředí Pythonu (venv). Použití virtuálního prostředí je volitelné a nevyžaduje se.
  • Pokud je vaše zařízení za proxy serverem, můžete do skriptu předat proxy server jako proměnnou mde_support_tool.sh prostředí. Příklad: https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh".

Upozornění

Spuštění analyzátoru klienta založeného na Pythonu vyžaduje instalaci balíčků PIP, které by mohly způsobit určité problémy ve vašem prostředí. Aby nedocházelo k problémům, doporučujeme nainstalovat balíčky do uživatelského prostředí PIP.

Spuštění verze Pythonu nástroje Client Analyzer dodávaná s Microsoft Defender pro Linux

Poznámka

Počínaje verzí 101.25082.0000Defenderu for Endpoint se analyzátor klienta dodává s agentem. Najdete ho v následujícím umístění: /opt/microsoft/mdatp/tools/client_analyzer/python

Chcete-li spustit tento analyzátor klienta, postupujte takto:

  1. Přejděte do adresáře /opt/microsoft/mdatp/tools/client_analyzer/python:

    cd /opt/microsoft/mdatp/tools/client_analyzer/python

  2. Spusťte příkaz jako uživatel root a nainstalujte požadované závislosti.

    sudo ./mde_support_tool.sh

  3. Pokud chcete shromáždit balíček diagnostiky a vygenerovat soubor archivu výsledků, spusťte znovu příkaz jako root.

    sudo ./mde_support_tool.sh -d

Stažení a spuštění samostatné verze Pythonu nástroje Client Analyzer

  1. Stáhněte si nástroj XMDE Client Analyzer na Linux počítači, který potřebujete prozkoumat. Pokud používáte terminál, stáhněte si nástroj zadáním následujícího příkazu:

    wget --quiet -O XMDEClientAnalyzerPython.zip "https://go.microsoft.com/fwlink/?linkid=2336046"

  2. Ověřte stažení:

    echo '62F92CD9D191063663FBAC7B29E1C967C8F9A30B9B769DA5E968FC4276C1F030 XMDEClientAnalyzerPython.zip' | sha256sum -c

  3. Extrahujte obsah na XMDEClientAnalyzer.zip počítači:

    unzip -q XMDEClientAnalyzerPython.zip -d XMDEClientAnalyzerPython

  4. Změňte adresář:

    cd XMDEClientAnalyzerPython

  5. Udělte spustitelnému souboru nástroje oprávnění:

    chmod a+x mde_support_tool.sh

  6. Spusťte jako nerootový uživatel a nainstalujte požadované závislosti:

    ./mde_support_tool.sh

  7. Pokud chcete shromáždit diagnostický balíček a vygenerovat soubor archivu výsledků, spusťte znovu příkaz jako root:

    sudo ./mde_support_tool.sh -d

Tip

Další informace o problémech s onboardingem: Problémy s onboardingem analyzátoru klienta Defenderu for Endpoint najdete v tomto videu.

Možnosti příkazového řádku

Níže jsou uvedeny možnosti příkazového řádku poskytované analyzátorem klienta:


usage: MDESupportTool [-h] [--output OUTPUT] [--outdir OUTDIR] [--no-zip]
                      [--force] [--diagnostic] [--skip-mdatp]
                      [--bypass-disclaimer] [--interactive] [--delay DELAY]
                      [--mdatp-log {trace,info,warning,error,debug,verbose}]
                      [--max-log-size MAX_LOG_SIZE]
                      {certinfocollection,performance,installation,exclude,ratelimit,skipfaultyrules,trace,observespikes,connectivitytest}
                      ...

MDE Diagnostics Tool

positional arguments:
  {certinfocollection,performance,installation,exclude,ratelimit,skipfaultyrules,trace,observespikes,connectivitytest}
    certinfocollection  Collect cert information: Subject name and Hashes
    performance         Collect extensive machine performance tracing for
                        analysis of a performance scenario that can be
                        reproduced on demand
    installation        Collect different installation/onboarding reports
    exclude             Exclude specific processes from audit-d monitoring.
    ratelimit           Set the rate limit for auditd events. Rate limit will
                        update the limits for auditd events for all the
                        applications using auditd, which could impact
                        applications other than MDE.
    skipfaultyrules     Continue loading rules in spite of an error. This
                        summarizes the results of loading the rules. The exit
                        code will not be success if any rule fails to load.
    trace               Use OS tracing facilities to record Defender
                        performance traces.
    observespikes       Collect the process logs in case of spike or mdatp
                        crash
    connectivitytest    Perform connectivity test for MDE

optional arguments:
  -h, --help            show this help message and exit
  --output OUTPUT, -o OUTPUT
                        Output path to export report
  --outdir OUTDIR       Directory where diagnostics file will be generated.
  --no-zip, -nz         If set a directory will be created instead of an
                        archive file.
  --force, -f           Will overwrite if output directory exists.
  --diagnostic, -d      Collect extensive machine diagnostic information.
  --skip-mdatp          Skip any mdatp command. Use this when the mdatp
                        command is unresponsive.
  --bypass-disclaimer   Do not display disclaimer banner.
  --interactive, -i     Interactive diagnostic,
  --delay DELAY, -dd DELAY
                        Delay diagnostic by how many minutes (0~2880), use
                        this to wait for more debug logs before it collects.
  --mdatp-log {trace,info,warning,error,debug,verbose}
                        Set MDATP log level. If you use interactive or delay
                        mode, the log level will set to debug automatically,
                        and reset after 48h.
  --max-log-size MAX_LOG_SIZE
                        Maximum log file size in MB before rotating(Will
                        restart mdatp).

Režim diagnostiky

Režim diagnostiky se používá ke shromažďování rozsáhlé sady informací o počítači, jako je paměť, disk a protokoly MDATP. Tato sada souborů poskytuje primární sadu informací potřebných k ladění jakéhokoli problému souvisejícího s Defenderem for Endpoint.

Podporované možnosti jsou následující:


optional arguments:
  -h, --help            show this help message and exit
  --output OUTPUT, -o OUTPUT
                        Output path to export report
  --outdir OUTDIR       Directory where diagnostics file will be generated.
  --no-zip, -nz         If set a directory will be created instead of an
                        archive file.
  --force, -f           Will overwrite if output directory exists.
  --diagnostic, -d      Collect extensive machine diagnostic information.
  --skip-mdatp          Skip any mdatp command. Use this when the mdatp
                        command is unresponsive.
  --bypass-disclaimer   Do not display disclaimer banner.
  --interactive, -i     Interactive diagnostic,
  --delay DELAY, -dd DELAY
                        Delay diagnostic by how many minutes (0~2880), use
                        this to wait for more debug logs before it collects.
  --mdatp-log {trace,info,warning,error,debug,verbose}
                        Set MDATP log level. If you use interactive or delay
                        mode, the log level will set to debug automatically,
                        and reset after 48h.
  --max-log-size MAX_LOG_SIZE
                        Maximum log file size in MB before rotating(Will
                        restart mdatp).

Příklad použití: sudo ./MDESupportTool -d

Poznámka

Funkce automatické sady na úrovni protokolu je k dispozici pouze ve verzi agenta 101.24052.0002 nebo vyšší.

Soubory vygenerované při použití tohoto režimu jsou shrnuty v následující tabulce:

Soubor Poznámky
mde_diagnostic.zip Protokoly a konfigurace Defenderu for Endpoint
health.txt Stav Defenderu for Endpoint
(K dispozici pouze v případě, že je nainstalovaný Defender for Endpoint.)
health_details_features.txt Stav ostatních funkcí Defenderu for Endpoint
(K dispozici pouze v případě, že je nainstalovaný Defender for Endpoint.)
permissions.txt Problémy s oprávněními u složek vlastněných nebo používaných defenderem for Endpoint
(K dispozici pouze v případě, že je nainstalovaný Defender for Endpoint.)
crashes Výpisy stavu systému vygenerované defenderem for Endpoint
process_information.txt Proces spuštěný v počítači při spuštění nástroje
proc_directory_info.txt Mapování virtuální paměti procesů Defenderu for Endpoint
(K dispozici pouze v případě, že je nainstalovaný Defender for Endpoint.)
auditd_info.txt Auditovaný stav, pravidla, protokoly
auditd_log_analysis.txt Souhrn událostí zpracovaných auditovanými
auditd_logs.zip Auditované soubory protokolů
ebpf_kernel_config.txt Aktuálně načtená konfigurace jádra Linux
ebpf_enabled_func.txt Seznam všech funkcí jádra, které jsou aktuálně povolené pro trasování
ebpf_syscalls.zip Informace o trasování systémových volání
ebpf_raw_syscalls.zip Trasování událostí souvisejících s nezpracovaná systémová volání
ebpf_maps_info.txt ID a informace o velikosti map eBPF
syslog.zip Soubory ve složce /var/log/syslog
messages.zip Soubory ve složce /var/log/messages
conflicting_processes_information.txt Konfliktní procesy Defenderu for Endpoint
exclusions.txt Seznam vyloučení antivirové ochrany
definitions.txt Informace o definici antivirového programu
mde_directories.txt Seznam souborů v adresářích Defenderu for Endpoint
disk_usage.txt Podrobnosti o využití disku
mde_user.txt Informace o uživateli defenderu for Endpoint
mde_definitions_mount.txt Přípojný bod definic defenderu pro koncové body
service_status.txt Stav služby Defender for Endpoint
service_file.txt Soubor služby Defender for Endpoint Service
hardware_info.txt Informace o hardwaru
mount.txt Informace o přípojné bodě
uname.txt Informace o jádru
memory.txt Informace o systémové paměti
meminfo.txt Podrobné informace o využití paměti systému
cpuinfo.txt Informace o procesoru
lsns_info.txt Linux informace o oboru názvů
lsof.txt Informace o otevřených popisovačech souborů v Defenderu pro koncový bod
(viz poznámka za touto tabulkou)
sestatus.txt Informace o otevřených popisovačech souborů v Defenderu pro koncový bod
lsmod.txt Stav modulů v jádru Linux
dmesg.txt Zprávy z ringové vyrovnávací paměti jádra
kernel_lockdown.txt informace o uzamčení jádra
rtp_statistics.txt Statistiky služby Defender for Endpoint Real Time Protection (RTP)
(K dispozici pouze v případě, že je nainstalovaný Defender for Endpoint.)
libc_info.txt Informace o knihovně libc
uptime_info.txt Čas od posledního restartování
last_info.txt Výpis naposledy přihlášených uživatelů
locale_info.txt Zobrazit aktuální národní prostředí
tmp_files_owned_by_mdatp.txt Soubory /tmp vlastněné skupinou: mdatp
(K dispozici pouze v případě, že je nainstalovaný Defender for Endpoint.)
mdatp_config.txt Všechny konfigurace Defenderu for Endpoint
(K dispozici pouze v případě, že je nainstalovaný Defender for Endpoint.)
mpenginedb.db
mpenginedb.db-wal
mpenginedb.db-shm		 Soubor definic antivirové ochrany
(K dispozici pouze v případě, že je nainstalovaný Defender for Endpoint.)
iptables_rules.txt pravidla Linux iptables
network_info.txt Informace o síti
sysctl_info.txt informace o nastavení jádra
hostname_diagnostics.txt Diagnostické informace o názvu hostitele
mde_event_statistics.txt Statistika událostí Defenderu for Endpoint
(K dispozici pouze v případě, že je nainstalovaný Defender for Endpoint.)
mde_ebpf_statistics.txt Statistika eBPF v Defenderu for Endpoint
(K dispozici pouze v případě, že je nainstalovaný Defender for Endpoint.)
kernel_logs.zip Protokoly jádra
mdc_log.zip Microsoft Defender pro cloudové protokoly
netext_config.txt
threat_list.txt Seznam hrozeb zjištěných defenderem for Endpoint
(K dispozici pouze v případě, že je nainstalovaný Defender for Endpoint.)
top_output.txt Proces spuštěný v počítači při spuštění nástroje
top_summary.txt Analýza využití paměti a procesoru spuštěného procesu

Volitelné argumenty pro nástroj Client Analyzer

Nástroj Client Analyzer poskytuje následující volitelné argumenty pro shromažďování dalších dat:

Shromažďování informací o výkonu

Shromážděte rozsáhlé trasování výkonu počítačů procesů Defenderu for Endpoint pro účely analýzy scénáře výkonu, který je možné reprodukovat na vyžádání.

-h, --help            show this help message and exit
--frequency FREQUENCY
                      profile at this frequency
--length LENGTH       length of time to collect (in seconds)

Příklad použití: sudo ./MDESupportTool performance --frequency 500

Níže je soubor vygenerovaný při použití tohoto režimu:

Soubor Poznámky
perf_benchmark.tar.gz Defender for Endpoint zpracovává data o výkonu

Poznámka

Vygenerují se také soubory odpovídající režimu diagnostiky.

Tar obsahuje soubory ve formátu <pid of a MDE process>.data. Datový soubor je možné přečíst pomocí příkazu:

perf report -i <pid>.data

Spuštění testu připojení

Tento režim testuje, jestli jsou cloudové prostředky potřebné pro Defender for Endpoint dostupné nebo ne.


  -h, --help            show this help message and exit
  -o ONBOARDING_SCRIPT, --onboarding-script ONBOARDING_SCRIPT
                        Path to onboarding script
  -g GEO, --geo GEO     Geo string to test <US|UK|EU|AU|CH|IN>

Příklad použití:

sudo ./MDESupportTool connectivitytest -o ~/MicrosoftDefenderATPOnboardingLinuxServer.py`

Výstup vytištěný na obrazovce ukazuje, jestli jsou adresy URL dostupné nebo ne.

Shromažďování různých sestav instalace a onboardingu

Tento režim shromažďuje informace související s instalací, jako jsou požadavky na distribuci a systém.


  -h, --help                show this help message and exit
  -d, --distro              Check for distro support
  -m, --min-requirement     Check for the system info against offical minimum requirements
  -e, --external-dep        Check for externel package dependency
  -c, --connectivity        Check for connectivity for services used by MDE
  -a, --all                 Run all checks
  -o ONBOARDING_SCRIPT, --onboarding-script ONBOARDING_SCRIPT
                            Path to onboarding script
  -g GEO, --geo GEO         Geo string to test <US|UK|EU|AU|CH|IN>

Příklad použití:

sudo ./MDESupportTool installation --all

Vygeneruje se jedna sestava installation_report.json . Klíče v souboru jsou následující:

Klíč Poznámky
agent_version Nainstalovaná verze Defenderu for Endpoint.
onboarding_status Informace o onboardingu a vyzvánění
support_status MDE se podporuje s aktuálními konfiguracemi systému.
Distro Distribuce, ve které je agent nainstalovaný, je nebo není podporovaná.
test připojení Stav testů připojení
min_requirement Jsou splněny minimální požadavky na procesor a paměť.
external_depedency Externí závislosti jsou nebo nejsou splněné.
mde_health Stav agenta MDE
folder_perm Požadovaná oprávnění ke složce jsou nebo nejsou splněna.

Režim vyloučení

Tento režim přidává vyloučení pro audit-d monitorování.


  -h, --help            show this help message and exit
  -e <executable>, --exe <executable>
                        exclude by executable name, i.e: bash
  -p <process id>, --pid <process id>
                        exclude by process id, i.e: 911
  -d <directory>, --dir <directory>
                        exclude by target path, i.e: /var/foo/bar
  -x <executable> <directory>, --exe_dir <executable> <directory>
                        exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
  -q <q_size>, --queue <q_size>
                        set dispatcher q_depth size
  -r, --remove          remove exclusion file
  -s, --stat            get statistics about common executables
  -l, --list            list auditd rules
  -o, --override        Override the existing auditd exclusion rules file for mdatp
  -c <syscall number>, --syscall <syscall number>
                        exclude all process of the given syscall

Příklad použití:

sudo ./MDESupportTool exclude -d /var/foo/bar`

AuditD rate limiter

Tato možnost nastaví limit četnosti pro AuditD globálně, což způsobí pokles všech událostí auditu. Pokud je omezovač povolený, auditované události jsou omezené na 2500 událostí za sekundu. Tuto možnost je možné použít v případech, kdy dochází k vysokému využití procesoru na straně AuditD.


-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the rate limit with default values

Příklad použití:

sudo ./mde_support_tool.sh ratelimit -e true

Poznámka

Tato funkce by měla být pečlivě používána, protože omezuje počet událostí, které auditovaný subsystém hlásí jako celek. To by mohlo snížit počet událostí i pro ostatní předplatitele.

AuditD – přeskočení chybných pravidel

Tato možnost umožňuje přeskočit chybná pravidla přidaná do souboru auditovaných pravidel při jejich načítání. Umožňuje auditovanému subsystému pokračovat v načítání pravidel, i když existuje chybné pravidlo.


-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.

Příklad použití:

sudo ./mde_support_tool.sh skipfaultyrules -e true

Poznámka

Tato funkce přeskočí chybná pravidla. Chybná pravidla musí být dále identifikována a opravena.

Shromažďování protokolů podpory pomocí živé odpovědi v Defenderu for Endpoint

Nástroj XMDE Client Analyzer je možné stáhnout jako binární balíček nebo balíček Pythonu, který je možné extrahovat a spustit na Linux počítačích. Obě verze analyzátoru klienta XMDE lze spustit během relace živé odpovědi.

  • Pro instalaci unzip se vyžaduje balíček.
  • Ke spuštění acl se vyžaduje balíček.

Důležité

Okno používá znak návratu řádku a čárového kanálu neviditelné k reprezentaci konce jednoho řádku a začátku nového řádku v souboru, ale Linux systémy používají pouze neviditelný znak kanálu řádků na konci řádků souboru. Pokud použijete následující skripty, pokud jsou hotové ve Windows, může tento rozdíl způsobit chyby a selhání skriptů, které se mají spustit. Potenciálním řešením je využít Subsystém Windows pro Linux a dos2unix balíček k přeformátování skriptu tak, aby odpovídal standardu unixového a Linux formátu.

Instalace analyzátoru klienta XMDE

Stáhněte a extrahujte analyzátor klienta XMDE. Můžete použít binární verzi nebo verzi Pythonu následujícím způsobem:

Vzhledem k omezeným příkazům dostupným v živé odpovědi musí být podrobné kroky provedeny ve skriptu Bash. Rozdělením instalační a spouštěcí části těchto příkazů je možné spustit instalační skript jednou a spustit spouštěcí skript několikrát.

Důležité

Ukázkové skripty předpokládají, že počítač má přímý přístup k internetu a může načíst analyzátor klienta XMDE od Microsoftu. Pokud počítač nemá přímý přístup k internetu, je potřeba aktualizovat instalační skripty, aby načítá analyzátor klienta XMDE z umístění, ke kterým mají počítače úspěšně přístup.

Instalační skript binárního analyzátoru klienta

Následující skript provede prvních šest kroků spuštění binární verze analyzátoru klienta. Po dokončení je z adresáře k dispozici binární soubor analyzátoru /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer klienta XMDE.

  1. Vytvořte soubor InstallXMDEClientAnalyzer.sh Bash a vložte do něj následující obsah.

    #! /usr/bin/bash 

echo "Starting Client Analyzer Script. Running As:"
whoami

echo "Getting XMDEClientAnalyzerBinary"
wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary
echo 'C65A4E4C6851D130942BFACD147A9D18B8A92B4F50FACF519477FD1C41A1C323 /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c

echo "Unzipping XMDEClientAnalyzerBinary.zip"
unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary

echo "Unzipping SupportToolLinuxBinary.zip"
unzip -q /tmp/XMDEClientAnalyzerBinary/XMDEClientAnalyzer/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer

echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"

Instalační skript analyzátoru klienta Pythonu

Následující skript provede prvních šest kroků spuštění verze Pythonu klientského analyzátoru. Po dokončení budou skripty Pythonu nástroje XMDE Client Analyzer dostupné z /tmp/XMDEClientAnalyzer adresáře.

  1. Vytvořte soubor InstallXMDEClientAnalyzer.sh Bash a vložte do něj následující obsah.

    #! /usr/bin/bash

echo "Starting Client Analyzer Install Script. Running As:"
whoami

echo "Getting XMDEClientAnalyzer.zip"
wget --quiet -O /tmp/XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer 
echo '07E6A7B89E28A78309D5B6F1E25E4CDFBA9CA141450E422D76441C03AD3477E7 /tmp/XMDEClientAnalyzer.zip' | sha256sum -c  

echo "Unzipping XMDEClientAnalyzer.zip"
unzip -q /tmp/XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer  

echo "Setting execute permissions on mde_support_tool.sh script"
cd /tmp/XMDEClientAnalyzer 
chmod a+x mde_support_tool.sh  

echo "Performing final support tool setup"
./mde_support_tool.sh

Tip

Další informace o nastavení koncového bodu najdete v tomto videu: Nastavení koncového bodu analyzátoru klienta Defenderu for Endpoint.

Spuštění instalačních skriptů analyzátoru klienta

  1. Na počítači, který chcete prozkoumat, zahajte relaci živé odpovědi .

  2. Vyberte Nahrát soubor do knihovny.

  3. Vyberte Zvolit soubor.

  4. Vyberte stažený soubor s názvem InstallXMDEClientAnalyzer.sha pak vyberte Potvrdit.

  5. Dokud jste ještě v relaci LiveResponse, nainstalujte analyzátor pomocí následujících příkazů:

    run InstallXMDEClientAnalyzer.sh

Spuštění analyzátoru klienta XMDE

Živá odpověď nepodporuje přímé spuštění analyzátoru klienta XMDE nebo Pythonu, takže je nutný spouštěcí skript.

Důležité

Následující skripty předpokládají, že nástroj XMDE Client Analyzer byl nainstalován pomocí stejných umístění ze skriptů uvedených výše. Pokud se vaše organizace rozhodne nainstalovat skripty do jiného umístění, musí se skripty aktualizovat tak, aby odpovídaly zvolenému umístění instalace vaší organizace.

Skript pro spuštění binárního analyzátoru klienta

Binární verze klientského analyzátoru přijímá parametry příkazového řádku k provádění různých analytických testů. Aby bylo možné poskytnout podobné funkce během živé odezvy, spouštěcí skript využívá proměnnou $@ Bash k předání všech vstupních parametrů zadaných skriptu do analyzátoru klienta XMDE.

  1. Vytvořte soubor MDESupportTool.sh Bash a vložte do něj následující obsah.

    #! /usr/bin/bash

echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer

echo "Running MDESupportTool"
./MDESupportTool $@

Skript pro spuštění analyzátoru klienta Pythonu

Verze Pythonu klientského analyzátoru přijímá parametry příkazového řádku k provádění různých analytických testů. Aby bylo možné poskytnout podobné funkce během živé odezvy, spouštěcí skript využívá proměnnou $@ Bash k předání všech vstupních parametrů zadaných skriptu do analyzátoru klienta XMDE.

  1. Vytvořte soubor MDESupportTool.sh Bash a vložte do něj následující obsah.

    #! /usr/bin/bash  

echo "cd /tmp/XMDEClientAnalyzer"
cd /tmp/XMDEClientAnalyzer 

echo "Running mde_support_tool"
./mde_support_tool.sh $@

Spuštění skriptu analyzátoru klienta

Poznámka

Pokud máte aktivní relaci živé odpovědi, můžete krok 1 přeskočit.

  1. Na počítači, který chcete prozkoumat, zahajte relaci živé odpovědi .

  2. Vyberte Nahrát soubor do knihovny.

  3. Vyberte Zvolit soubor.

  4. Vyberte stažený soubor s názvem MDESupportTool.sha pak vyberte Potvrdit.

  5. Dokud jste ještě v živé relaci odpovědi, pomocí následujících příkazů spusťte analyzátor a shromážděte výsledný soubor:

    run MDESupportTool.sh -parameters "--bypass-disclaimer -d"
GetFile "/tmp/your_archive_file_name_here.zip"

Viz také

Dokumenty pro řešení potíží se službou Defender for Endpoint na Linux

  • Last updated on