Exécuter l’analyse du client sur macOS ou Linux

S’applique à :

• Microsoft Defender pour point de terminaison Plan 1
• Microsoft Defender pour point de terminaison Plan 2

XMDEClientAnalyzer est utilisé pour diagnostiquer Microsoft Defender pour point de terminaison problèmes d’intégrité ou de fiabilité sur les appareils intégrés exécutant Linux ou macOS.

Il existe deux façons d’exécuter l’outil analyseur client :

1. Utilisation d’une version binaire (aucune dépendance Python)
2. Utilisation d’une solution basée sur Python

Exécution de la version binaire de l’analyseur client

1. Téléchargez l’outil binaire XMDE Client Analyzer sur la machine macOS ou Linux que vous devez examiner.
   Si vous utilisez un terminal, téléchargez l’outil en entrant la commande suivante :

   wget --quiet -O XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary
   

2. Vérifiez le téléchargement.

   Remarque

   Le hachage SHA256 actuel de « XMDEClientAnalyzerBinary.zip » téléchargé à partir de ce lien est : « 9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 »

   • Linux

   echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 XMDEClientAnalyzerBinary.zip' | sha256sum -c
   

   • macOS

   echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469  XMDEClientAnalyzerBinary.zip' | shasum -a 256 -c
   

3. Extrayez le contenu de XMDEClientAnalyzerBinary.zip sur l’ordinateur.

   Si vous utilisez un terminal, extrayez les fichiers en entrant la commande suivante :

   unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary
   

4. Accédez au répertoire de l’outil en entrant la commande suivante :

   cd XMDEClientAnalyzerBinary
   

5. Trois nouveaux fichiers zip sont générés :

   • SupportToolLinuxBinary.zip : pour tous les appareils Linux
   • SupportToolMacOSBinary.zip : Pour les appareils Mac

6. Décompressez l’un des 2 fichiers zip ci-dessus en fonction de l’ordinateur que vous devez examiner.
   Lorsque vous utilisez un terminal, décompressez le fichier en entrant l’une des commandes suivantes en fonction du type de système d’exploitation :

   • Linux

     unzip -q SupportToolLinuxBinary.zip
     

   • Mac

     unzip -q SupportToolMacOSBinary.zip
     

7. Exécutez l’outil en tant que racine pour générer le package de diagnostic :

   sudo ./MDESupportTool -d
   

Exécution de l’analyseur client basé sur Python

Remarque

• L’analyseur dépend de quelques packages PIP supplémentaires (sh, distribution, lxml, pandas) qui sont installés dans le système d’exploitation lorsqu’ils sont à la racine pour produire la sortie du résultat. S’il n’est pas installé, l’analyseur tente de l’extraire du référentiel officiel pour les packages Python.

  Avertissement

  L’exécution de l’analyseur client basé sur Python nécessite l’installation de packages PIP, ce qui peut entraîner des problèmes dans votre environnement. Pour éviter les problèmes, il est recommandé d’installer les packages dans un environnement PIP utilisateur.

• En outre, l’outil nécessite actuellement l’installation de Python version 3 ou ultérieure.

• Si votre appareil se trouve derrière un proxy, vous pouvez simplement passer le serveur proxy en tant que variable d’environnement au script mde_support_tool.sh. Par exemple : . https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh"

1. Téléchargez l’outil XMDE Client Analyzer sur la machine macOS ou Linux que vous devez examiner.

   Si vous utilisez un terminal, téléchargez l’outil en exécutant la commande suivante :

   wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer
   

2. Vérifier le téléchargement

   • Linux

   echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c
   

   • macOS

   echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66  XMDEClientAnalyzer.zip' | shasum -a 256 -c
   

3. Extrayez le contenu de XMDEClientAnalyzer.zip sur l’ordinateur.
   Si vous utilisez un terminal, extrayez les fichiers à l’aide de la commande suivante :

   unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzer
   

4. Remplacez le répertoire par l’emplacement extrait.

   cd XMDEClientAnalyzer
   

5. Accordez l’autorisation exécutable à l’outil :

   chmod a+x mde_support_tool.sh
   

6. Exécutez en tant qu’utilisateur non racine pour installer les dépendances requises :

   ./mde_support_tool.sh
   

7. Pour collecter le package de diagnostic réel et générer le fichier d’archive des résultats, réexécutez en tant que racine :

   sudo ./mde_support_tool.sh -d
   

Options de ligne de commande

Lignes de commande principales

Utilisez la commande suivante pour obtenir le diagnostic de la machine.

-h, --help            show this help message and exit
--output OUTPUT, -o OUTPUT
                      Output path to export report
--outdir OUTDIR       Directory where diagnostics file will be generated
--no-zip, -nz         If set a directory will be created instead of an archive file
--force, -f           Will overwrite if output directory exists
--diagnostic, -d      Collect extensive machine diagnostic information
--bypass-disclaimer   Do not display disclaimer banner
--mdatp-log {info,debug,verbose,error,trace,warning}
                      Set MDATP log level
--max-log-size MAX_LOG_SIZE
                      Maximum log file size in MB before rotating(Will restart mdatp)

Exemple d’utilisation : sudo ./MDESupportTool -d

Arguments positionnels

Collecter des informations sur les performances

Collectez un suivi complet des performances de l’ordinateur pour l’analyse d’un scénario de performances qui peut être reproduit à la demande.

-h, --help            show this help message and exit
--frequency FREQUENCY
                      profile at this frequency
--length LENGTH       length of time to collect (in seconds)

Exemple d’utilisation : sudo ./MDESupportTool performance --frequency 2

Utiliser la trace du système d’exploitation (pour macOS uniquement)

Utilisez les fonctionnalités de suivi du système d’exploitation pour enregistrer les traces de performances de Defender pour point de terminaison.

Remarque

Cette fonctionnalité existe uniquement dans la solution Python.

-h, --help       show this help message and exit
--length LENGTH  Length of time to record the trace (in seconds).
--mask MASK      Mask to select with event to trace. Defaults to all

Lors de la première exécution de cette commande, elle installe une configuration de profil.

Suivez cette procédure pour approuver l’installation du profil : Guide de support Apple.

Exemple d’utilisation ./mde_support_tool.sh trace --length 5

Mode d’exclusion

Ajoutez des exclusions pour la surveillance audit-d.

Remarque

Cette fonctionnalité existe uniquement pour Linux.

  -h, --help            show this help message and exit
  -e <executable>, --exe <executable>
                        exclude by executable name, i.e: bash
  -p <process id>, --pid <process id>
                        exclude by process id, i.e: 911
  -d <directory>, --dir <directory>
                        exclude by target path, i.e: /var/foo/bar
  -x <executable> <directory>, --exe_dir <executable> <directory>
                        exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
  -q <q_size>, --queue <q_size>
                        set dispatcher q_depth size
  -r, --remove          remove exclusion file
  -s, --stat            get statistics about common executables
  -l, --list            list auditd rules
  -o, --override        Override the existing auditd exclusion rules file for mdatp
  -c <syscall number>, --syscall <syscall number>
                        exclude all process of the given syscall

Exemple d’utilisation : sudo ./MDESupportTool exclude -d /var/foo/bar

Limiteur de débit audité

Syntaxe qui peut être utilisée pour limiter le nombre d’événements signalés par le plug-in auditD. Cette option définit la limite de débit globale pour AuditD, ce qui entraîne une baisse de tous les événements d’audit. Lorsque le limiteur est activé, le nombre d’événements audités est limité à 2500 événements/s. Cette option peut être utilisée dans les cas où nous constatons une utilisation élevée du processeur côté AuditD.

Remarque

Cette fonctionnalité existe uniquement pour Linux.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the rate limit with default values

Exemple d’utilisation : sudo ./mde_support_tool.sh ratelimit -e true

Remarque

Cette fonctionnalité doit être utilisée avec soin pour limiter le nombre d’événements signalés par le sous-système audité dans son ensemble. Cela peut également réduire le nombre d’événements pour d’autres abonnés.

AuditD Skip Faulty Rules

Cette option vous permet d’ignorer les règles défectueuses ajoutées dans le fichier de règles auditées lors du chargement. Cette option permet au sous-système audité de continuer à charger des règles, même en cas de règle défectueuse. Cette option résume les résultats du chargement des règles. En arrière-plan, cette option exécute auditctl avec l’option -c.

Remarque

Cette fonctionnalité est disponible uniquement sur Linux.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.

Exemple d’utilisation : sudo ./mde_support_tool.sh skipfaultyrules -e true

Remarque

Cette fonctionnalité ignore les règles défectueuses. La règle défectueuse doit ensuite être identifiée et corrigée.

Contenu du package de résultats sur macOS et Linux

• report.html

  Description : le main fichier de sortie HTML qui contient les résultats et les conseils que le script d’analyseur exécuté sur l’ordinateur peut produire.

• mde_diagnostic.zip

  Description : même sortie de diagnostic générée lors de l’exécution de la création de diagnostic mdatp sur macOS ou Linux.

• mde.xml

  Description : sortie XML générée lors de l’exécution et utilisée pour générer le fichier de rapport html.

• Processes_information.txt

  Description : contient les détails des processus associés Microsoft Defender pour point de terminaison en cours d’exécution sur le système.

• Log.txt

  Description : contient les mêmes messages de journal écrits à l’écran pendant la collecte de données.

• Health.txt

  Description : Même sortie d’intégrité de base que celle affichée lors de l’exécution de la commande mdatp health .

• Events.xml

  Description : fichier XML supplémentaire utilisé par l’analyseur lors de la création du rapport HTML.

• Audited_info.txt

  Description : détails sur le service audité et les composants associés pour le système d’exploitation Linux .

• perf_benchmark.tar.gz

  Description : rapports de test de performances. Cela s’affiche uniquement si vous utilisez le paramètre de performance.

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.