Jaa

Tukilokien kerääminen Microsoft Defender for Endpoint reaaliaikaisen vastauksen avulla

  • Koskee seuraavia:: Microsoft Defender for Endpoint Plan 2

Kun otat yhteyttä tukeen, sinua saatetaan pyytää antamaan Microsoft Defender for Endpoint Client Analyzer -työkalun tulostepaketti.

Tässä artikkelissa annetaan ohjeet työkalun suorittamiseen Live Response -toiminnon kautta Windowsissa ja Linux-koneissa.

Windows

  1. Lataa ja nouda vaaditut komentosarjat, jotka ovat käytettävissä Microsoft Defender for Endpoint Client AnalyzerinTyökalut-alihakemistosta.

    Jos haluat esimerkiksi saada perusanturin ja laitteen kuntolokit, nouda ..\Tools\MDELiveAnalyzer.ps1.

  2. Aloita live-vastausistunto tietokoneessa, jota sinun on tutkittava.

  3. Valitse Lataa tiedosto kirjastoon.

    Lataustiedosto

  4. Valitse Valitse tiedosto. Valitse tiedosto -painike-1

  5. Valitse ladattu tiedosto nimeltä MDELiveAnalyzer.ps1, ja valitse sitten Vahvista.

    Valitse tiedosto -painike-2

    Toista tämä vaihe tiedostolle MDEClientAnalyzerPreview.zip .

  6. Kun olet vielä LiveResponse-istunnossa, suorita analyzer ja kerää tulokseksi saatava tiedosto seuraavien komentojen avulla.

    Putfile MDEClientAnalyzerPreview.zip
Run MDELiveAnalyzer.ps1
GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDECA\MDEClientAnalyzerResult.zip"

    Kuva komennoista.

Lisätietoja

Linux

XMDE Client Analyzer -työkalun voi ladata binaari - tai Python-pakettina , joka voidaan poimia ja suorittaa Linux-koneissa. Molemmat XMDE Client Analyzer -versiot voidaan suorittaa reaaliaikaisen vastausistunnon aikana.

Ennakkovaatimukset

  • Asennusta unzip varten paketti on pakollinen.

  • Paketin suorittaminen acl edellyttää.

Tärkeää

Ikkuna käyttää näkymättömiä Rivinvaihto- ja Rivisyöte-merkkejä edustamaan tiedoston yhden rivin loppua ja uuden rivin alkua, mutta Linux-järjestelmissä käytetään vain näkymätöntä viivasyötemerkkiä tiedostorivien lopussa. Jos käytät seuraavia komentosarjoja Windowsissa, tämä ero voi johtaa suoritettavien komentosarjojen virheisiin ja virheisiin. Mahdollinen ratkaisu tähän on käyttää Windows-alijärjestelmä Linuxille ja dos2unix pakettia komentosarjan uudelleenmuotoiluun niin, että se vastaa Unix- ja Linux-muotostandardia.

Asennetaan XMDE-asiakasanalysaattoria

Molemmat versiot XMDE Client Analyzerista, binaarista ja Pythonista, itsenäisestä paketista, joka on ladattava ja poimittava ennen suorittamista. Lisätietoja on artikkelissa Tunnistimen kunnon vianmääritys Microsoft Defender for Endpoint Client Analyzerin avulla

Live Responsessa käytettävissä olevien rajoitettujen komentojen vuoksi yksityiskohtaiset vaiheet on suoritettava bash-komentosarjassa, ja jakamalla näiden komentojen asennus- ja suoritusosa on mahdollista suorittaa asennuskomentosarja kerran suoritettaessa suorituskomentosarjaa useita kertoja.

Tärkeää

Esimerkkikomentosarjoissa oletetaan, että koneella on suora Internet-yhteys, ja ne voivat noutaa XMDE Client Analyzerin Microsoftilta. Jos tietokoneessa ei ole suoraa Internet-yhteyttä, asennuskomentosarjat on päivitettävä, jotta XMDE-asiakasanalysaattori voidaan noutaa sijainnista, jota tietokoneet voivat käyttää onnistuneesti.

Binaarinen asiakasanalysaattorin asennuskomentosarja

Seuraava komentosarja suorittaa Client Analyzerin binaariversion suorittamisen kuusi ensimmäistä vaihetta. Kun kaikki on valmista, XMDE Client Analyzer -binaari on käytettävissä hakemistosta /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer .

  1. Luo bash-tiedosto InstallXMDEClientAnalyzer.sh ja liitä siihen seuraava sisältö.

    #! /usr/bin/bash

echo "Starting Client Analyzer Script. Running As:"
whoami

echo "Getting XMDEClientAnalyzerBinary"
wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://go.microsoft.com/fwlink/?linkid=2297517
echo 'C65A4E4C6851D130942BFACD147A9D18B8A92B4F50FACF519477FD1C41A1C323 /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c

echo "Unzipping XMDEClientAnalyzerBinary.zip"
unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary

echo "Unzipping SupportToolLinuxBinary.zip"
unzip -q /tmp/XMDEClientAnalyzerBinary/XMDEClientAnalyzer/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer

echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"

Python-asiakasanalysaattorin asennuskomentosarja

Seuraava komentosarja suorittaa Client Analyzerin Python-version suorittamisen kuusi ensimmäistä vaihetta. Kun kaikki on valmista, XMDE Client Analyzer Python -komentosarjat ovat käytettävissä hakemistosta /tmp/XMDEClientAnalyzer .

  1. Luo bash-tiedosto InstallXMDEClientAnalyzer.sh ja liitä siihen seuraava sisältö.

    #! /usr/bin/bash

echo "Starting Client Analyzer Install Script. Running As:"
whoami

echo "Getting XMDEClientAnalyzer.zip"
wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer 
echo '07E6A7B89E28A78309D5B6F1E25E4CDFBA9CA141450E422D76441C03AD3477E7 XMDEClientAnalyzer.zip' | sha256sum -c  

echo "Unzipping XMDEClientAnalyzer.zip"
unzip -q XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer  

echo "Setting execute permissions on mde_support_tool.sh script"
cd /tmp/XMDEClientAnalyzer 
chmod a+x mde_support_tool.sh  

echo "Performing final support tool setup"
./mde_support_tool.sh

Asiakasanalysaattorin asennuskomentosarjojen suorittaminen

  1. Aloita live-vastausistunto tietokoneessa, jota sinun on tutkittava.

  2. Valitse Lataa tiedosto kirjastoon.

  3. Valitse Valitse tiedosto.

  4. Valitse ladattu tiedosto nimeltä InstallXMDEClientAnalyzer.sh, ja valitse sitten Vahvista.

  5. Kun olet vielä LiveResponse-istunnossa, asenna analysoija seuraavien komentojen avulla:

    run InstallXMDEClientAnalyzer.sh

XMDE-asiakasanalysaattorin suorittaminen

Reaaliaikainen vastaus ei tue XMDE-asiakasanalysaattorin tai Pythonin suorittamista suoraan, joten suorituskomentosarja on tarpeen.

Tärkeää

Seuraavissa komentosarjoissa oletetaan, että XMDE Client Analyzer on asennettu samoilla sijainnilla aiemmin mainituista komentosareista. Jos organisaatiosi on päättänyt asentaa komentosarjat eri sijaintiin, seuraavat komentosarjat on päivitettävä, jotta ne vastaavat organisaatiosi valitsemaa asennussijaintia.

Binaarinen asiakasanalysaattorin suorituskomentosarja

Binaarinen asiakasanalysaattori hyväksyy komentoriviparametreja eri analyysitestien suorittamiseksi. Jos haluat tarjota samanlaisia ominaisuuksia live-vastauksen aikana, suorituskomentosarja hyödyntää $@ bash-muuttujaa välittääkseen kaikki komentosarjaan annetut syöteparametrit XMDE Client Analyzeriin.

  1. Luo bash-tiedosto MDESupportTool.sh ja liitä siihen seuraava sisältö.

    #! /usr/bin/bash

echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer

echo "Running MDESupportTool"
./MDESupportTool $@

Python-asiakasanalysaattorin komentosarjan suorittaminen

Python-asiakasanalysaattori hyväksyy komentoriviparametrit eri analyysitestien suorittamiseksi. Jos haluat tarjota samanlaisia ominaisuuksia live-vastauksen aikana, suorituskomentosarja hyödyntää $@ bash-muuttujaa välittääkseen kaikki komentosarjaan annetut syöteparametrit XMDE Client Analyzeriin.

  1. Luo bash-tiedosto MDESupportTool.sh ja liitä siihen seuraava sisältö.

    #! /usr/bin/bash  

echo "cd /tmp/XMDEClientAnalyzer"
cd /tmp/XMDEClientAnalyzer 

echo "Running mde_support_tool"
./mde_support_tool.sh $@

Asiakkaan analysoinnin komentosarjan suorittaminen

Huomautus

Jos sinulla on aktiivinen live-vastausistunto, voit ohittaa vaiheen 1.

  1. Aloita live-vastausistunto tietokoneessa, jota sinun on tutkittava.

  2. Valitse Lataa tiedosto kirjastoon.

  3. Valitse Valitse tiedosto.

  4. Valitse ladattu tiedosto nimeltä MDESupportTool.sh, ja valitse sitten Vahvista.

  5. Kun olet vielä live-vastausistunnossa, suorita analyzer ja kerää tulokseksi saatava tiedosto seuraavien komentojen avulla.

    run MDESupportTool.sh -parameters "--bypass-disclaimer -d"
GetFile "/tmp/your_archive_file_name_here.zip"

Tutustu myös seuraaviin ohjeartikkeleihin:

  • Last updated on