Teilen über

Ausführen der Clientanalyse unter macOS und Linux

  • Artikel

Der XMDEClientAnalyzer wird verwendet, um Microsoft Defender for Endpoint Integritäts- oder Zuverlässigkeitsprobleme auf integrierten Geräten zu diagnostizieren, auf denen Linux oder macOS ausgeführt wird.

Es gibt zwei Möglichkeiten, das Clientanalysetool auszuführen:

  1. Verwenden einer Binärversion (keine externe Python-Abhängigkeit)
  2. Verwenden einer Python-basierten Lösung

Ausführen der binärversion des Clientanalysetools

  1. Laden Sie das XMDE-Client analyzer Binary-Tool auf den macOS- oder Linux-Computer herunter, den Sie untersuchen müssen.
    Wenn Sie ein Terminal verwenden, laden Sie das Tool herunter, indem Sie den folgenden Befehl eingeben:

    wget --quiet -O XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary

  2. Überprüfen Sie den Download.

    • Linux
    echo '2A9BF0A6183831BE43C7BCB7917A40D772D226301B4CDA8EE4F258D00B6E4E97 XMDEClientAnalyzerBinary.zip' | sha256sum -c
    • macOS
    echo '2A9BF0A6183831BE43C7BCB7917A40D772D226301B4CDA8EE4F258D00B6E4E97  XMDEClientAnalyzerBinary.zip' | shasum -a 256 -c

  3. Extrahieren Sie den Inhalt von XMDEClientAnalyzerBinary.zip auf dem Computer.

    Wenn Sie ein Terminal verwenden, extrahieren Sie die Dateien, indem Sie den folgenden Befehl eingeben:

    unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary

  4. Wechseln Sie zum Verzeichnis des Tools, indem Sie den folgenden Befehl eingeben:

    cd XMDEClientAnalyzerBinary

  5. Es werden zwei neue ZIP-Dateien erstellt:

    • SupportToolLinuxBinary.zip : Für alle Linux-Geräte
    • SupportToolMacOSBinary.zip : Für Mac-Geräte

  6. Entzippen Sie eine der beiden oben genannten ZIP-Dateien basierend auf dem Computer, den Sie untersuchen müssen.

    Wenn Sie ein Terminal verwenden, entzippen Sie die Datei, indem Sie je nach Betriebssystemtyp einen der folgenden Befehle eingeben:

    • Linux

      unzip -q SupportToolLinuxBinary.zip

    • Mac

      unzip -q SupportToolMacOSBinary.zip

  7. Führen Sie das Tool als Stamm aus , um ein Diagnosepaket zu generieren:

    sudo ./MDESupportTool -d

Ausführen der Python-basierten Clientanalyse

Hinweis

  • Das Analysetool hängt von einigen zusätzlichen PIP-Paketen (decorator, , distro, lxmlund psutil) ab, shdie im Betriebssystem installiert sind, wenn sie sich im Stamm befinden, um die Ergebnisausgabe zu erzeugen. Wenn es nicht installiert ist, versucht das Analysetool, es aus dem offiziellen Repository für Python-Pakete abzurufen.
  • Darüber hinaus muss für das Tool derzeit Python-Version 3 oder höher auf Ihrem Gerät installiert sein.
  • Wenn sich Ihr Gerät hinter einem Proxy befindet, können Sie den Proxyserver einfach als Umgebungsvariable an das mde_support_tool.sh Skript übergeben. Beispiel: https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh".

Warnung

Die Ausführung des Python-basierten Clientanalysetools erfordert die Installation von PIP-Paketen, was zu Problemen in Ihrer Umgebung führen kann. Um Probleme zu vermeiden, wird empfohlen, die Pakete in einer PIP-Benutzerumgebung zu installieren.

  1. Laden Sie das XMDE-Client analyzer-Tool auf den macOS- oder Linux-Computer herunter, den Sie untersuchen müssen.

    Wenn Sie ein Terminal verwenden, laden Sie das Tool herunter, indem Sie den folgenden Befehl ausführen:

    wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer

  2. Überprüfen des Downloads

    • Linux
    echo '84C9718FF3D29DA0EEE650FB2FC0625549A05CD1228AC253DBB92C8B1D9F1D11 XMDEClientAnalyzer.zip' | sha256sum -c
    • macOS
    echo '84C9718FF3D29DA0EEE650FB2FC0625549A05CD1228AC253DBB92C8B1D9F1D11  XMDEClientAnalyzer.zip' | shasum -a 256 -c

  3. Extrahieren Sie den Inhalt von XMDEClientAnalyzer.zip auf dem Computer. Wenn Sie ein Terminal verwenden, extrahieren Sie die Dateien mit dem folgenden Befehl:

    unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzer

  4. Wechseln Sie zum extrahierten Speicherort.

    cd XMDEClientAnalyzer

  5. Erteilen Sie dem Tool die Berechtigung ausführbare Datei:

    chmod a+x mde_support_tool.sh

  6. Führen Sie als Nicht-Root-Benutzer aus, um die erforderlichen Abhängigkeiten zu installieren:

    ./mde_support_tool.sh

  7. Führen Sie erneut als Stamm aus, um das tatsächliche Diagnosepaket zu erfassen und die Ergebnisarchivdatei zu generieren:

    sudo ./mde_support_tool.sh -d

Befehlszeilenoptionen

Primäre Befehlszeilen

Verwenden Sie den folgenden Befehl, um die Computerdiagnose abzurufen.

-h, --help            show this help message and exit
--output OUTPUT, -o OUTPUT
                      Output path to export report
--outdir OUTDIR       Directory where diagnostics file will be generated
--no-zip, -nz         If set a directory will be created instead of an archive file
--force, -f           Will overwrite if output directory exists
--diagnostic, -d      Collect extensive machine diagnostic information
--bypass-disclaimer   Do not display disclaimer banner
--interactive, -i     Interactive diagnostic
--delay DELAY, -dd DELAY
                      Set MDATP log level. If you use interactive or delay mode, the log level will set to debug automatically, and reset after 48h.
--mdatp-log {info,debug,verbose,error,trace,warning}
                      Set MDATP log level
--max-log-size MAX_LOG_SIZE
                      Maximum log file size in MB before rotating(Will restart mdatp)

Verwendungsbeispiel: sudo ./MDESupportTool -d

HINWEIS: Das Feature zum automatischen Zurücksetzen auf Protokollebene ist nur in der Clientversion 2405 oder höher verfügbar.

Positionsargumente

Sammeln von Leistungsinformationen

Sammeln Sie eine umfangreiche Ablaufverfolgung der Computerleistung für die Analyse eines Leistungsszenarios, das bei Bedarf reproduziert werden kann.

-h, --help            show this help message and exit
--frequency FREQUENCY
                      profile at this frequency
--length LENGTH       length of time to collect (in seconds)

Verwendungsbeispiel: sudo ./MDESupportTool performance --frequency 2

Verwenden der Betriebssystemablaufverfolgung (nur für macOS)

Verwenden Sie Funktionen für die Betriebssystemablaufverfolgung, um Leistungsablaufverfolgungen von Defender für Endpunkt aufzuzeichnen.

Hinweis

Diese Funktionalität ist nur in der Python-Lösung vorhanden.

-h, --help       show this help message and exit
--length LENGTH  Length of time to record the trace (in seconds).
--mask MASK      Mask to select with event to trace. Defaults to all

Wenn dieser Befehl zum ersten Mal ausgeführt wird, wird eine Profilkonfiguration installiert.

Gehen Sie wie folgt vor, um die Profilinstallation zu genehmigen: Apple-Supporthandbuch.

Verwendungsbeispiel ./mde_support_tool.sh trace --length 5

Ausschlussmodus

Fügen Sie Ausschlüsse für die Überwachung von audit-d hinzu.

Hinweis

Diese Funktionalität ist nur für Linux vorhanden.

  -h, --help            show this help message and exit
  -e <executable>, --exe <executable>
                        exclude by executable name, i.e: bash
  -p <process id>, --pid <process id>
                        exclude by process id, i.e: 911
  -d <directory>, --dir <directory>
                        exclude by target path, i.e: /var/foo/bar
  -x <executable> <directory>, --exe_dir <executable> <directory>
                        exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
  -q <q_size>, --queue <q_size>
                        set dispatcher q_depth size
  -r, --remove          remove exclusion file
  -s, --stat            get statistics about common executables
  -l, --list            list auditd rules
  -o, --override        Override the existing auditd exclusion rules file for mdatp
  -c <syscall number>, --syscall <syscall number>
                        exclude all process of the given syscall

Verwendungsbeispiel: sudo ./MDESupportTool exclude -d /var/foo/bar

AuditD-Ratenbegrenzung

Syntax, die verwendet werden kann, um die Anzahl der ereignisse zu begrenzen, die vom auditD-Plug-In gemeldet werden. Diese Option legt die Ratenbegrenzung global für AuditD fest, was zu einem Rückgang aller Überwachungsereignisse führt. Wenn der Grenzwert aktiviert ist, ist die Anzahl der überwachten Ereignisse auf 2500 Ereignisse/Sekunde beschränkt. Diese Option kann in Fällen verwendet werden, in denen eine hohe CPU-Auslastung aufseiten von AuditD angezeigt wird.

Hinweis

Diese Funktionalität ist nur für Linux vorhanden.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the rate limit with default values

Verwendungsbeispiel: sudo ./mde_support_tool.sh ratelimit -e true

Hinweis

Diese Funktionalität sollte sorgfältig verwendet werden, da die Anzahl der Ereignisse begrenzt wird, die vom überwachten Subsystem als Ganzes gemeldet werden. Dies könnte auch die Anzahl der Ereignisse für andere Abonnenten reduzieren.

AuditD Skip Faulty Rules

Mit dieser Option können Sie die fehlerhaften Regeln überspringen, die in der Überwachungsregeldatei beim Laden hinzugefügt wurden. Mit dieser Option kann das überwachte Subsystem weiterhin Regeln laden, auch wenn eine fehlerhafte Regel vorhanden ist. Diese Option fasst die Ergebnisse des Ladens der Regeln zusammen. Im Hintergrund führt diese Option auditctl mit der Option -c aus.

Hinweis

Diese Funktionalität ist nur unter Linux verfügbar.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.

Verwendungsbeispiel: sudo ./mde_support_tool.sh skipfaultyrules -e true

Hinweis

Diese Funktion überspringt die fehlerhaften Regeln. Die fehlerhafte Regel muss dann weiter identifiziert und behoben werden.

Inhalt des Ergebnispakets unter macOS und Linux

  • report.html

    Beschreibung: Die Standard HTML-Ausgabedatei, die die Ergebnisse und Anleitungen zur Ausführung des Clientanalysetools auf dem Gerät enthält. Diese Datei wird nur generiert, wenn die Python-basierte Version des Clientanalysetools ausgeführt wird.

  • mde_diagnostic.zip

    Beschreibung: Dieselbe Diagnoseausgabe, die beim Ausführen von mdatp diagnostic create unter macOS oder Linux generiert wird.

  • mde.xml

    Beschreibung: XML-Ausgabe, die während der Ausführung generiert wird und zum Erstellen der HTML-Berichtsdatei verwendet wird.

  • Processes_information.txt

    Beschreibung: Enthält die Details der ausgeführten Microsoft Defender for Endpoint zugehörigen Prozesse auf dem System.

  • Log.txt

    Beschreibung: Enthält die gleichen Protokollmeldungen, die während der Datensammlung auf dem Bildschirm geschrieben wurden.

  • Health.txt

    Beschreibung: Die gleiche grundlegende Integritätsausgabe, die beim Ausführen des Befehls mdatp health angezeigt wird.

  • Events.xml

    Beschreibung: Zusätzliche XML-Datei, die vom Analysetool beim Erstellen des HTML-Berichts verwendet wird.

  • Audited_info.txt

    Beschreibung: Details zum überwachten Dienst und zugehörigen Komponenten für das Linux-Betriebssystem .

  • perf_benchmark.tar.gz

    Beschreibung: Der Leistungstest meldet. Dies wird nur angezeigt, wenn Sie den Leistungsparameter verwenden.

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.