Tukilokien kerääminen Microsoft Defender for Endpoint reaaliaikaisen vastauksen avulla

Koskee seuraavia:

• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Kun otat yhteyttä tukeen, sinua saatetaan pyytää antamaan Microsoft Defender for Endpoint Client Analyzer -työkalun tulostepaketti.

Tässä artikkelissa annetaan ohjeet työkalun suorittamiseen Live Response -toiminnon kautta Windowsissa ja Linux-koneissa.

Windows

1. Lataa ja nouda vaaditut komentosarjat, jotka ovat käytettävissä Microsoft Defender for Endpoint Client AnalyzerinTyökalut-alihakemistosta.

   Jos haluat esimerkiksi saada perusanturin ja laitteen kuntolokit, nouda ..\Tools\MDELiveAnalyzer.ps1.

   • Jos tarvitset lisää Microsoft Defender virustentorjuntaan liittyviä lokeja, käytä -..\Tools\MDELiveAnalyzerAV.ps1
   • Jos tarvitset Microsoft Endpoint Data Loss Preventioniin liittyviä lokeja, käytä -..\Tools\MDELiveAnalyzerDLP.ps1
   • Jos tarvitset verkkoon ja Windows-suodatinympäristöön liittyviä lokeja, käytä ...\Tools\MDELiveAnalyzerNet.ps1
   • Jos tarvitset Prosessin valvonta -lokit, käytä ...\Tools\MDELiveAnalyzerDLP.ps1

2. Aloita live-vastausistunto tietokoneessa, jota sinun on tutkittava.

3. Valitse Lataa tiedosto kirjastoon.

   

4. Valitse Valitse tiedosto.

   

5. Valitse ladattu tiedosto nimeltä MDELiveAnalyzer.ps1, ja valitse sitten Vahvista.

   

   Toista tämä vaihe tiedostolle MDEClientAnalyzerPreview.zip .

6. Kun olet vielä LiveResponse-istunnossa, suorita analyzer ja kerää tulokseksi saatava tiedosto seuraavien komentojen avulla.

   Putfile MDEClientAnalyzerPreview.zip
   Run MDELiveAnalyzer.ps1
   GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDECA\MDEClientAnalyzerResult.zip"
   

   

Lisätietoja

• MDEClientAnalyzerin uusin esikatseluversio on ladattavissa täältä: https://aka.ms/Betamdeanalyzer.

• Jos et voi sallia tietokoneen saavuttaa yllä olevaa URL-osoitetta, lataa MDEClientAnalyzerPreview.zip tiedosto kirjastoon ennen LiveAnalyzer-komentosarjan suorittamista:

  PutFile MDEClientAnalyzerPreview.zip -overwrite
  Run MDELiveAnalyzer.ps1
  GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDECA\MDEClientAnalyzerResult.zip"
  

• Lisätietoja tietojen keräämisestä paikallisesti tietokoneessa siltä varalta, että kone ei ole yhteydessä Microsoft Defender for Endpoint pilvipalveluihin tai ei näy Microsoft Defender for Endpoint portaalissa odotetulla tavalla, on artikkelissa Asiakasyhteyden tarkistaminen Microsoft Defender for Endpoint palvelun URL-osoitteet.

• Kuten live-vastauksen komentoesimerkeissä on kuvattu, haluat ehkä käyttää & -symbolia komennon lopussa ja kerätä lokit taustatoimintona:

  Run MDELiveAnalyzer.ps1&
  

Linux

XMDE Client Analyzer -työkalun voi ladata binaari - tai Python-pakettina , joka voidaan poimia ja suorittaa Linux-koneissa. Molemmat XMDE Client Analyzer -versiot voidaan suorittaa reaaliaikaisen vastausistunnon aikana.

Ennakkovaatimukset

• Asennusta unzip varten paketti on pakollinen.

• Paketin suorittaminen acl edellyttää.

Tärkeää

Ikkuna käyttää näkymättömiä Rivinvaihto- ja Rivisyöte-merkkejä edustamaan tiedoston yhden rivin loppua ja uuden rivin alkua, mutta Linux-järjestelmissä käytetään vain näkymätöntä viivasyötemerkkiä tiedostorivien lopussa. Jos käytät seuraavia komentosarjoja Windowsissa, tämä ero voi johtaa suoritettavien komentosarjojen virheisiin ja virheisiin. Mahdollinen ratkaisu tähän on käyttää Windows-alijärjestelmä Linuxille ja dos2unix pakettia komentosarjan uudelleenmuotoiluun niin, että se vastaa Unix- ja Linux-muotostandardia.

Asennetaan XMDE-asiakasanalysaattoria

Molemmat XMDE Client Analyzer -versiot, binaari ja Python, itsenäinen paketti, joka on ladattava ja purettava ennen suorittamista, ja tämän prosessin täydelliset vaiheet löytyvät:

• Suoritetaan Asiakasanalysaattorin binaariversiota

• Suoritetaan Client Analyzerin Python-versiota

Live Responsessa käytettävissä olevien rajoitettujen komentojen vuoksi yksityiskohtaiset vaiheet on suoritettava bash-komentosarjassa, ja jakamalla näiden komentojen asennus- ja suoritusosa on mahdollista suorittaa asennuskomentosarja kerran suoritettaessa suorituskomentosarjaa useita kertoja.

Tärkeää

Esimerkkikomentosarjoissa oletetaan, että koneella on suora Internet-yhteys, ja ne voivat noutaa XMDE Client Analyzerin Microsoftilta. Jos tietokoneessa ei ole suoraa Internet-yhteyttä, asennuskomentosarjat on päivitettävä, jotta XMDE-asiakasanalysaattori voidaan noutaa sijainnista, jota tietokoneet voivat käyttää onnistuneesti.

Binaarinen asiakasanalysaattorin asennuskomentosarja

Seuraava komentosarja suorittaa Client Analyzerin binaariversion suorittamisen kuusi ensimmäistä vaihetta. Kun kaikki on valmista, XMDE Client Analyzer -binaari on käytettävissä hakemistosta /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer .

1. Luo bash-tiedosto InstallXMDEClientAnalyzer.sh ja liitä siihen seuraava sisältö.

   #! /usr/bin/bash
   
   echo "Starting Client Analyzer Script. Running As:"
   whoami
   
   echo "Getting XMDEClientAnalyzerBinary"
   wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary
   echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c
   
   echo "Unzipping XMDEClientAnalyzerBinary.zip"
   unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary
   
   echo "Unzipping SupportToolLinuxBinary.zip"
   unzip -q /tmp/XMDEClientAnalyzerBinary/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
   
   echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
   
   

Python-asiakasanalysaattorin asennuskomentosarja

Seuraava komentosarja suorittaa Client Analyzerin Python-version suorittamisen kuusi ensimmäistä vaihetta. Kun kaikki on valmista, XMDE Client Analyzer Python -komentosarjat ovat käytettävissä hakemistosta /tmp/XMDEClientAnalyzer .

1. Luo bash-tiedosto InstallXMDEClientAnalyzer.sh ja liitä siihen seuraava sisältö.

   #! /usr/bin/bash
   
   echo "Starting Client Analyzer Install Script. Running As:"
   whoami
   
   echo "Getting XMDEClientAnalyzer.zip"
   wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer 
   echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c  
   
   echo "Unzipping XMDEClientAnalyzer.zip"
   unzip -q XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer  
   
   echo "Setting execute permissions on mde_support_tool.sh script"
   cd /tmp/XMDEClientAnalyzer 
   chmod a+x mde_support_tool.sh  
   
   echo "Performing final support tool setup"
   ./mde_support_tool.sh
   
   

Asiakasanalysaattorin asennuskomentosarjojen suorittaminen

1. Aloita live-vastausistunto tietokoneessa, jota sinun on tutkittava.

2. Valitse Lataa tiedosto kirjastoon.

3. Valitse Valitse tiedosto.

4. Valitse ladattu tiedosto nimeltä InstallXMDEClientAnalyzer.sh, ja valitse sitten Vahvista.

5. Kun olet vielä LiveResponse-istunnossa, asenna analysoija seuraavien komentojen avulla:

   run InstallXMDEClientAnalyzer.sh
   

XMDE-asiakasanalysaattorin suorittaminen

Reaaliaikainen vastaus ei tue XMDE-asiakasanalysaattorin tai Pythonin suorittamista suoraan, joten suorituskomentosarja on tarpeen.

Tärkeää

Seuraavissa komentosarjoissa oletetaan, että XMDE Client Analyzer on asennettu samoilla sijainnilla aiemmin mainituista komentosareista. Jos organisaatiosi on päättänyt asentaa komentosarjat eri sijaintiin, seuraavat komentosarjat on päivitettävä, jotta ne vastaavat organisaatiosi valitsemaa asennussijaintia.

Binaarinen asiakasanalysaattorin suorituskomentosarja

Binaarinen asiakasanalysaattori hyväksyy komentoriviparametreja eri analyysitestien suorittamiseksi. Jos haluat tarjota samanlaisia ominaisuuksia live-vastauksen aikana, suorituskomentosarja hyödyntää $@ bash-muuttujaa välittääkseen kaikki komentosarjaan annetut syöteparametrit XMDE Client Analyzeriin.

1. Luo bash-tiedosto MDESupportTool.sh ja liitä siihen seuraava sisältö.

   #! /usr/bin/bash
   
   echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
   cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
   
   echo "Running MDESupportTool"
   ./MDESupportTool $@
   
   

Python-asiakasanalysaattorin komentosarjan suorittaminen

Python-asiakasanalysaattori hyväksyy komentoriviparametrit eri analyysitestien suorittamiseksi. Jos haluat tarjota samanlaisia ominaisuuksia live-vastauksen aikana, suorituskomentosarja hyödyntää $@ bash-muuttujaa välittääkseen kaikki komentosarjaan annetut syöteparametrit XMDE Client Analyzeriin.

1. Luo bash-tiedosto MDESupportTool.sh ja liitä siihen seuraava sisältö.

   #! /usr/bin/bash  
   
   echo "cd /tmp/XMDEClientAnalyzer"
   cd /tmp/XMDEClientAnalyzer 
   
   echo "Running mde_support_tool"
   ./mde_support_tool.sh $@
   
   

Asiakkaan analysoinnin komentosarjan suorittaminen

Huomautus

Jos sinulla on aktiivinen live-vastausistunto, voit ohittaa vaiheen 1.

1. Aloita live-vastausistunto tietokoneessa, jota sinun on tutkittava.

2. Valitse Lataa tiedosto kirjastoon.

3. Valitse Valitse tiedosto.

4. Valitse ladattu tiedosto nimeltä MDESupportTool.sh, ja valitse sitten Vahvista.

5. Kun olet vielä live-vastausistunnossa, suorita analyzer ja kerää tulokseksi saatava tiedosto seuraavien komentojen avulla.

   run MDESupportTool.sh -parameters "--bypass-disclaimer -d"
   GetFile "/tmp/your_archive_file_name_here.zip"
   

Tutustu myös seuraaviin ohjeartikkeleihin:

• Asiakkaan analysointitoiminnon yleiskatsaus
• Lataa ja suorita asiakkaan analysointitoiminto
• Suorita asiakkaan analysointitoiminto Windowsissa
• Suorita asiakkaan analysointitoiminto macOS:ssä tai Linuxissa
• Tietojen kerääminen Windowsin edistynyttä vianmääritystä varten
• Tietoja analysointitoiminnon HTML-raportista

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.