Sammeln von Supportprotokollen in Microsoft Defender für Endpunkt mithilfe von Liveantworten
Gilt für:
Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion
Wenn Sie sich an den Support wenden, werden Sie möglicherweise aufgefordert, das Ausgabepaket des Microsoft Defender für Endpunkt-Clientanalysetools bereitzustellen.
Dieser Artikel enthält Anweisungen zum Ausführen des Tools über Live Response unter Windows und auf Linux-Computern.
Windows
Laden Sie die erforderlichen Skripts aus dem Unterverzeichnis Tools der Microsoft Defender für Endpunkt-Clientanalyse herunter, und rufen Sie sie ab.
Um beispielsweise die grundlegenden Sensor- und Geräteintegritätsprotokolle abzurufen, rufen Sie ab
..\Tools\MDELiveAnalyzer.ps1.Wenn Sie auch Microsoft Defender Antivirus-Supportprotokolle (
MpSupportFiles.cab) benötigen, rufen Sie ab..\Tools\MDELiveAnalyzerAV.ps1.Initiieren Sie eine Live Response-Sitzung auf dem Computer, den Sie untersuchen müssen.
Wählen Sie Datei in Bibliothek hochladen aus.
Wählen Sie Datei auswählen aus.
Wählen Sie die heruntergeladene Datei mit dem Namen aus
MDELiveAnalyzer.ps1, und wählen Sie dann Bestätigen aus.
Verwenden Sie während der LiveResponse-Sitzung die folgenden Befehle, um das Analysetool auszuführen und die resultierende Datei zu erfassen.
Run MDELiveAnalyzer.ps1 GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDEClientAnalyzerResult.zip"
Weitere Informationen
Die neueste Vorschauversion von MDEClientAnalyzer kann hier heruntergeladen werden: https://aka.ms/Betamdeanalyzer.
Das LiveAnalyzer-Skript lädt das Problembehandlungspaket auf den Zielcomputer von herunter:
https://mdatpclientanalyzer.blob.core.windows.net.Wenn Sie nicht zulassen können, dass der Computer die oben genannte URL erreicht, laden Sie die Datei in die Bibliothek hoch
MDEClientAnalyzerPreview.zip, bevor Sie das LiveAnalyzer-Skript ausführen:PutFile MDEClientAnalyzerPreview.zip -overwrite Run MDELiveAnalyzer.ps1 GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDEClientAnalyzerResult.zip"Weitere Informationen zum lokalen Sammeln von Daten auf einem Computer, falls der Computer nicht mit Microsoft Defender für Endpunkt-Clouddiensten kommuniziert oder nicht wie erwartet im Microsoft Defender für Endpunkt-Portal angezeigt wird, finden Sie unter Überprüfen der Clientkonnektivität mit Microsoft Defender für Endpunkt-Dienst-URLs.
Wie in Beispielen für Liveantwortbefehle beschrieben, sollten Sie das
&Symbol am Ende des Befehls verwenden, um Protokolle als Hintergrundaktion zu sammeln:Run MDELiveAnalyzer.ps1&
Linux
Das XMDE-Client analyzer-Tool kann als Binär- oder Python-Paket heruntergeladen werden, das auf Linux-Computern extrahiert und ausgeführt werden kann. Beide Versionen der XMDE-Clientanalyse können während einer Live Response-Sitzung ausgeführt werden.
Voraussetzungen
Für die Installation ist das
unzipPaket erforderlich.Für die Ausführung ist das
aclPaket erforderlich.
Wichtig
Window verwendet die unsichtbaren Zeichen Wagenrücklauf und Zeilenvorschub, um das Ende einer Zeile und den Anfang einer neuen Zeile in einer Datei darzustellen, aber Linux-Systeme verwenden nur das unsichtbare Zeichen Zeilenvorschub am Ende der Dateizeilen. Wenn Sie die folgenden Skripts verwenden, kann dieser Unterschied unter Windows zu Fehlern und Fehlern der auszuführenden Skripts führen. Eine mögliche Lösung hierfür besteht darin, das Windows-Subsystem für Linux und das dos2unix Paket zu verwenden, um das Skript so zu formatieren, dass es dem Unix- und Linux-Formatstandard entspricht.
Installieren der XMDE-Clientanalyse
Beide Versionen von XMDE Client Analyzer, binär und Python, ein eigenständiges Paket, das vor der Ausführung heruntergeladen und extrahiert werden muss, sowie die vollständigen Schritte für diesen Prozess finden Sie:
Aufgrund der eingeschränkten Befehle, die in Live Response verfügbar sind, müssen die detaillierten Schritte in einem Bash-Skript ausgeführt werden. Durch die Aufteilung des Installations- und Ausführungsteils dieser Befehle ist es möglich, das Installationsskript einmal auszuführen, während das Ausführungsskript mehrmals ausgeführt wird.
Wichtig
In den Beispielskripts wird davon ausgegangen, dass der Computer über direkten Internetzugriff verfügt und den XMDE-Client Analyzer von Microsoft abrufen kann. Wenn der Computer keinen direkten Internetzugriff hat, müssen die Installationsskripts aktualisiert werden, um die XMDE-Clientanalyse von einem Speicherort abzurufen, auf den die Computer erfolgreich zugreifen können.
Installationsskript für binary Client Analyzer
Das folgende Skript führt die ersten sechs Schritte der Ausführung der Binärversion des Client Analyzer aus. Nach Abschluss des Vorgangs ist die XMDE-Clientanalyse-Binärdatei im /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer Verzeichnis verfügbar.
Erstellen Sie eine Bash-Datei
InstallXMDEClientAnalyzer.sh, und fügen Sie den folgenden Inhalt ein.#! /usr/bin/bash echo "Starting Client Analyzer Script. Running As:" whoami echo "Getting XMDEClientAnalyzerBinary" wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c echo "Unzipping XMDEClientAnalyzerBinary.zip" unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary echo "Unzipping SupportToolLinuxBinary.zip" unzip -q /tmp/XMDEClientAnalyzerBinary/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
Installationsskript für Python Client Analyzer
Das folgende Skript führt die ersten sechs Schritte der Ausführung der Python-Version des Client Analyzer aus. Nach Abschluss des Vorgangs sind die Python-Skripts der XMDE-Clientanalyse im /tmp/XMDEClientAnalyzer Verzeichnis verfügbar.
Erstellen Sie eine Bash-Datei
InstallXMDEClientAnalyzer.sh, und fügen Sie den folgenden Inhalt ein.#! /usr/bin/bash echo "Starting Client Analyzer Install Script. Running As:" whoami echo "Getting XMDEClientAnalyzer.zip" wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c echo "Unzipping XMDEClientAnalyzer.zip" unzip -q XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer echo "Setting execute permissions on mde_support_tool.sh script" cd /tmp/XMDEClientAnalyzer chmod a+x mde_support_tool.sh echo "Performing final support tool setup" ./mde_support_tool.sh
Ausführen der Client Analyzer-Installationsskripts
Initiieren Sie eine Live Response-Sitzung auf dem Computer, den Sie untersuchen müssen.
Wählen Sie Datei in Bibliothek hochladen aus.
Wählen Sie Datei auswählen aus.
Wählen Sie die heruntergeladene Datei mit dem Namen aus
InstallXMDEClientAnalyzer.sh, und wählen Sie dann Bestätigen aus.Verwenden Sie während der LiveResponse-Sitzung die folgenden Befehle, um das Analysetool zu installieren:
run InstallXMDEClientAnalyzer.sh
Ausführen der XMDE-Clientanalyse
Live Response unterstützt die direkte Ausführung der XMDE-Clientanalyse oder Python nicht, sodass ein Ausführungsskript erforderlich ist.
Wichtig
Bei den folgenden Skripts wird davon ausgegangen, dass die XMDE-Clientanalyse mit denselben Speicherorten aus den zuvor erwähnten Skripts installiert wurde. Wenn Ihre Organisation sich dafür entschieden hat, die Skripts an einem anderen Speicherort zu installieren, müssen die folgenden Skripts aktualisiert werden, um sie an den von Ihrer Organisation ausgewählten Installationsspeicherort anzupassen.
Ausführungsskript für binäre Clientanalyse
Das Binary Client Analyzer akzeptiert Befehlszeilenparameter, um verschiedene Analysetests durchzuführen. Um ähnliche Funktionen während der Liveantwort bereitzustellen, nutzt das Ausführungsskript die $@ Bash-Variable, um alle Eingabeparameter an das Skript an die XMDE-Clientanalyse zu übergeben.
Erstellen Sie eine Bash-Datei
MDESupportTool.sh, und fügen Sie den folgenden Inhalt ein.#! /usr/bin/bash echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer" cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer echo "Running MDESupportTool" ./MDESupportTool $@
Ausführen des Skripts für die Python-Clientanalyse
Die Python-Clientanalyse akzeptiert Befehlszeilenparameter, um verschiedene Analysetests durchzuführen. Um ähnliche Funktionen während der Liveantwort bereitzustellen, nutzt das Ausführungsskript die $@ Bash-Variable, um alle Eingabeparameter an das Skript an die XMDE-Clientanalyse zu übergeben.
Erstellen Sie eine Bash-Datei
MDESupportTool.sh, und fügen Sie den folgenden Inhalt ein.#! /usr/bin/bash echo "cd /tmp/XMDEClientAnalyzer" cd /tmp/XMDEClientAnalyzer echo "Running mde_support_tool" ./mde_support_tool.sh $@
Ausführen des Client Analyzer-Skripts
Hinweis
Wenn Sie über eine aktive Live Response-Sitzung verfügen, können Sie Schritt 1 überspringen.
Initiieren Sie eine Live Response-Sitzung auf dem Computer, den Sie untersuchen müssen.
Wählen Sie Datei in Bibliothek hochladen aus.
Wählen Sie Datei auswählen aus.
Wählen Sie die heruntergeladene Datei mit dem Namen aus
MDESupportTool.sh, und wählen Sie dann Bestätigen aus.Verwenden Sie während der Live Response-Sitzung die folgenden Befehle, um das Analysetool auszuführen und die resultierende Datei zu sammeln.
run MDESupportTool.sh -parameters "--bypass-disclaimer -d" GetFile "/tmp/your_archive_file_name_here.zip"
Siehe auch
- Client Analyzer – Überblick
- Herunterladen und Ausführen des Client Analyzer
- Ausführen des Client Analyzer unter Windows
- Ausführung des Client Analyzer unter macOS oder Linux
- Datensammlung für erweiterte Problembehandlung unter Windows
- Verstehen des HTML-Berichts des Analysetools
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.