Partager via

Exécuter l’analyse du client sur macOS ou Linux

  • Article

XMDEClientAnalyzer est utilisé pour diagnostiquer Microsoft Defender pour point de terminaison problèmes d’intégrité ou de fiabilité sur les appareils intégrés exécutant Linux ou macOS.

Il existe deux façons d’exécuter l’outil analyseur client :

  1. Utilisation d’une version binaire (aucune dépendance Python externe)
  2. Utilisation d’une solution basée sur Python

Exécution de la version binaire de l’analyseur client

  1. Téléchargez l’outil binaire XMDE Client Analyzer sur la machine macOS ou Linux que vous devez examiner.
    Si vous utilisez un terminal, téléchargez l’outil en entrant la commande suivante :

    wget --quiet -O XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary

  2. Vérifiez le téléchargement.

    • Linux
    echo '2A9BF0A6183831BE43C7BCB7917A40D772D226301B4CDA8EE4F258D00B6E4E97 XMDEClientAnalyzerBinary.zip' | sha256sum -c
    • macOS
    echo '2A9BF0A6183831BE43C7BCB7917A40D772D226301B4CDA8EE4F258D00B6E4E97  XMDEClientAnalyzerBinary.zip' | shasum -a 256 -c

  3. Extrayez le contenu de XMDEClientAnalyzerBinary.zip sur l’ordinateur.

    Si vous utilisez un terminal, extrayez les fichiers en entrant la commande suivante :

    unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary

  4. Accédez au répertoire de l’outil en entrant la commande suivante :

    cd XMDEClientAnalyzerBinary

  5. Deux nouveaux fichiers zip sont générés :

    • SupportToolLinuxBinary.zip : pour tous les appareils Linux
    • SupportToolMacOSBinary.zip : Pour les appareils Mac

  6. Décompressez l’un des 2 fichiers zip ci-dessus en fonction de l’ordinateur que vous devez examiner.

    Lorsque vous utilisez un terminal, décompressez le fichier en entrant l’une des commandes suivantes en fonction du type de système d’exploitation :

    • Linux

      unzip -q SupportToolLinuxBinary.zip

    • Mac

      unzip -q SupportToolMacOSBinary.zip

  7. Exécutez l’outil en tant que racine pour générer le package de diagnostic :

    sudo ./MDESupportTool -d

Exécution de l’analyseur client basé sur Python

Remarque

  • L’analyseur dépend de quelques packages PIP supplémentaires (decorator, , shdistro, lxmlet psutil) qui sont installés dans le système d’exploitation lorsqu’ils sont à la racine pour produire la sortie du résultat. S’il n’est pas installé, l’analyseur tente de l’extraire du dépôt officiel pour les packages Python.
  • En outre, l’outil nécessite actuellement l’installation de Python version 3 ou ultérieure sur votre appareil.
  • Si votre appareil se trouve derrière un proxy, vous pouvez simplement passer le serveur proxy en tant que variable d’environnement au mde_support_tool.sh script. Par exemple : https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh".

Avertissement

L’exécution de l’analyseur client basé sur Python nécessite l’installation de packages PIP, ce qui peut entraîner des problèmes dans votre environnement. Pour éviter les problèmes, il est recommandé d’installer les packages dans un environnement PIP utilisateur.

  1. Téléchargez l’outil XMDE Client Analyzer sur la machine macOS ou Linux que vous devez examiner.

    Si vous utilisez un terminal, téléchargez l’outil en exécutant la commande suivante :

    wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer

  2. Vérifier le téléchargement

    • Linux
    echo '84C9718FF3D29DA0EEE650FB2FC0625549A05CD1228AC253DBB92C8B1D9F1D11 XMDEClientAnalyzer.zip' | sha256sum -c
    • macOS
    echo '84C9718FF3D29DA0EEE650FB2FC0625549A05CD1228AC253DBB92C8B1D9F1D11  XMDEClientAnalyzer.zip' | shasum -a 256 -c

  3. Extrayez le contenu de XMDEClientAnalyzer.zip sur l’ordinateur. Si vous utilisez un terminal, extrayez les fichiers à l’aide de la commande suivante :

    unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzer

  4. Remplacez le répertoire par l’emplacement extrait.

    cd XMDEClientAnalyzer

  5. Accordez l’autorisation exécutable à l’outil :

    chmod a+x mde_support_tool.sh

  6. Exécutez en tant qu’utilisateur non racine pour installer les dépendances requises :

    ./mde_support_tool.sh

  7. Pour collecter le package de diagnostic réel et générer le fichier d’archive des résultats, réexécutez en tant que racine :

    sudo ./mde_support_tool.sh -d

Options de ligne de commande

Lignes de commande principales

Utilisez la commande suivante pour obtenir le diagnostic de la machine.

-h, --help            show this help message and exit
--output OUTPUT, -o OUTPUT
                      Output path to export report
--outdir OUTDIR       Directory where diagnostics file will be generated
--no-zip, -nz         If set a directory will be created instead of an archive file
--force, -f           Will overwrite if output directory exists
--diagnostic, -d      Collect extensive machine diagnostic information
--bypass-disclaimer   Do not display disclaimer banner
--interactive, -i     Interactive diagnostic
--delay DELAY, -dd DELAY
                      Set MDATP log level. If you use interactive or delay mode, the log level will set to debug automatically, and reset after 48h.
--mdatp-log {info,debug,verbose,error,trace,warning}
                      Set MDATP log level
--max-log-size MAX_LOG_SIZE
                      Maximum log file size in MB before rotating(Will restart mdatp)

Exemple d’utilisation : sudo ./MDESupportTool -d

REMARQUE : La fonctionnalité de réinitialisation automatique au niveau du journal est disponible uniquement dans la version 2405 ou ultérieure du client.

Arguments positionnels

Collecter des informations sur les performances

Collectez un suivi complet des performances de l’ordinateur pour l’analyse d’un scénario de performances qui peut être reproduit à la demande.

-h, --help            show this help message and exit
--frequency FREQUENCY
                      profile at this frequency
--length LENGTH       length of time to collect (in seconds)

Exemple d’utilisation : sudo ./MDESupportTool performance --frequency 2

Utiliser la trace du système d’exploitation (pour macOS uniquement)

Utilisez les fonctionnalités de suivi du système d’exploitation pour enregistrer les traces de performances de Defender pour point de terminaison.

Remarque

Cette fonctionnalité existe uniquement dans la solution Python.

-h, --help       show this help message and exit
--length LENGTH  Length of time to record the trace (in seconds).
--mask MASK      Mask to select with event to trace. Defaults to all

Lors de la première exécution de cette commande, elle installe une configuration de profil.

Suivez cette procédure pour approuver l’installation du profil : Guide de support Apple.

Exemple d’utilisation ./mde_support_tool.sh trace --length 5

Mode d’exclusion

Ajoutez des exclusions pour la surveillance audit-d.

Remarque

Cette fonctionnalité existe uniquement pour Linux.

  -h, --help            show this help message and exit
  -e <executable>, --exe <executable>
                        exclude by executable name, i.e: bash
  -p <process id>, --pid <process id>
                        exclude by process id, i.e: 911
  -d <directory>, --dir <directory>
                        exclude by target path, i.e: /var/foo/bar
  -x <executable> <directory>, --exe_dir <executable> <directory>
                        exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
  -q <q_size>, --queue <q_size>
                        set dispatcher q_depth size
  -r, --remove          remove exclusion file
  -s, --stat            get statistics about common executables
  -l, --list            list auditd rules
  -o, --override        Override the existing auditd exclusion rules file for mdatp
  -c <syscall number>, --syscall <syscall number>
                        exclude all process of the given syscall

Exemple d’utilisation : sudo ./MDESupportTool exclude -d /var/foo/bar

Limiteur de débit audité

Syntaxe qui peut être utilisée pour limiter le nombre d’événements signalés par le plug-in auditD. Cette option définit la limite de débit globale pour AuditD, ce qui entraîne une baisse de tous les événements d’audit. Lorsque le limiteur est activé, le nombre d’événements audités est limité à 2500 événements/s. Cette option peut être utilisée dans les cas où nous constatons une utilisation élevée du processeur côté AuditD.

Remarque

Cette fonctionnalité existe uniquement pour Linux.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the rate limit with default values

Exemple d’utilisation : sudo ./mde_support_tool.sh ratelimit -e true

Remarque

Cette fonctionnalité doit être utilisée avec soin pour limiter le nombre d’événements signalés par le sous-système audité dans son ensemble. Cela peut également réduire le nombre d’événements pour d’autres abonnés.

AuditD Skip Faulty Rules

Cette option vous permet d’ignorer les règles défectueuses ajoutées dans le fichier de règles auditées lors du chargement. Cette option permet au sous-système audité de continuer à charger des règles, même en cas de règle défectueuse. Cette option résume les résultats du chargement des règles. En arrière-plan, cette option exécute auditctl avec l’option -c.

Remarque

Cette fonctionnalité est disponible uniquement sur Linux.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.

Exemple d’utilisation : sudo ./mde_support_tool.sh skipfaultyrules -e true

Remarque

Cette fonctionnalité ignore les règles défectueuses. La règle défectueuse doit ensuite être identifiée et corrigée.

Contenu du package de résultats sur macOS et Linux

  • report.html

    Description : le main fichier de sortie HTML qui contient les résultats et les instructions de l’exécution de l’outil analyseur client sur l’appareil. Ce fichier est généré uniquement lors de l’exécution de la version basée sur Python de l’outil analyseur client.

  • mde_diagnostic.zip

    Description : même sortie de diagnostic générée lors de l’exécution de la création de diagnostic mdatp sur macOS ou Linux.

  • mde.xml

    Description : sortie XML générée lors de l’exécution et utilisée pour générer le fichier de rapport html.

  • Processes_information.txt

    Description : contient les détails des processus associés Microsoft Defender pour point de terminaison en cours d’exécution sur le système.

  • Log.txt

    Description : contient les mêmes messages de journal écrits à l’écran pendant la collecte de données.

  • Health.txt

    Description : Même sortie d’intégrité de base que celle affichée lors de l’exécution de la commande mdatp health .

  • Events.xml

    Description : fichier XML supplémentaire utilisé par l’analyseur lors de la création du rapport HTML.

  • Audited_info.txt

    Description : détails sur le service audité et les composants associés pour le système d’exploitation Linux .

  • perf_benchmark.tar.gz

    Description : rapports de test de performances. Cela s’affiche uniquement si vous utilisez le paramètre de performance.

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.