הערה
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות להיכנס או לשנות מדריכי כתובות.
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות לשנות מדריכי כתובות.
אם אתה נתקל בבעיות Microsoft Defender עבור נקודת קצה ב- Linux ואתה זקוק לתמיכה, ייתכן שתתבקש לספק את הפלט מכלי מנתח הלקוחות. זהו כלי אבחון שמסייע למנהלי מערכת ולתמיכה בפתרון בעיות הקשורות Microsoft Defender עבור נקודת קצה. הוא אוסף מידע מפורט אודות התקנה, תצורה, תקינות שירות, יומני רישום, מצב קישוריות וכו'. כלי זה משמש בעיקר לצורך בדיקת תקינות המערכת, אימות תצורות ועזרה בפתרון בעיות פוטנציאליות.
מאמר זה מסביר כיצד להשתמש בכלי במכשיר שלך או בתגובה חיה. באפשרותך להשתמש בפתרון מבוסס Python או בגירסה בינארית שאינה זקוקה ל- Python.
עצה
צפה בסרטון וידאו זה כדי לקבל מבט כולל על מנתח הלקוח: מבט כולל על מנתח הלקוח של Defender for Endpoint
הפעל את הגירסה הבינארית של מנתח הלקוח
הגירסה הבינארית של מנתח הלקוח זמינה בשתי דרכים:
- נשלח עם Microsoft Defender עבור Linux
- נשלח ככלי עצמאי
הפעל את הקובץ הבינארי של Client Analyzer שנשלח עם Microsoft Defender עבור Linux:
הערה
החל מהגירסה Microsoft Defender עבור נקודת קצה 101.25082.0000, מנתח הלקוח נשלח עם סוכן. ניתן למצוא אותו במיקום הבא: /opt/microsoft/mdatp/tools/client_analyzer/binary
הפעלת כלי זה יוצרת חבילת אבחון כקובץ .zip במדריך הכתובות /tmp .
כדי להפעיל את Client Analyzer, בצע את הפעולות הבאות:
עבור אל מדריך הכתובות
/opt/microsoft/mdatp/tools/client_analyzer/binary:cd /opt/microsoft/mdatp/tools/client_analyzer/binaryהפעל את הכלי עם הרשאות בסיס כדי ליצור חבילת אבחון:
sudo ./MDESupportTool -d
הורד והפעל את הכלי הבינארי העצמאי Client Analyzer
כדי להשתמש בנתונים הבינאריים העצמאיים ClientAnalyzer, בצע את השלבים הבאים.
הורד את הכלי הבינארי של XMDE Client Analyzer למחשב Linux שעליך לחקור. אם אתה משתמש במסוף, הורד את הכלי על-ידי הזנת הפקודה הבאה:
wget --quiet -O XMDEClientAnalyzerBinary.zip "https://go.microsoft.com/fwlink/?linkid=2336125"אמת את ההורדה:
echo '0C8F010D09557478E0CF626D439D5F7EAB1F6C7EEFF69FF1E98A7289520983E1 XMDEClientAnalyzerBinary.zip' | sha256sum -cחלץ את תוכן
XMDEClientAnalyzerBinary.zipהמחשב.unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinaryשנה את הספריה:
cd XMDEClientAnalyzerBinaryשני קבצי zip חדשים מופקים:
- SupportToolLinuxamd64Binary.zip: עבור מכשירי Linux x86
- SupportToolLinuxarm64Binary.zip: עבור מכשירי LINUX ARM
בטל את דחיסת הדחיסה הספציפית בהתבסס על ארכיטקטורת מערכת ההפעלה Linux שלך. לדוגמה, אנחנו משתמשים כאן בקובץ
SupportToolLinuxamd64Binary.zip.unzip -q SupportToolLinuxamd64Binary.zipהפעל את הכלי עם הרשאות בסיס כדי ליצור חבילת אבחון:
sudo ./MDESupportTool -d
הפעל את מנתח הלקוח המבוסס על Python
גירסת Python של מנתח הלקוח זמינה בשתי דרכים:
- נשלח עם Microsoft Defender עבור Linux
- נשלח ככלי עצמאי
הערה
- המנתח תלוי בכמה חבילות PIP נוספות (
decorator,sh,distro, וpsutillxml- ) המותקנות במערכת ההפעלה כאשר הן נמצאות בבסיס כדי להפיק את פלט התוצאה. אם הוא אינו מותקן, המנתח מנסה להביא אותו מהמאגר הרשמי עבור חבילות Python. - בנוסף, הכלי דורש כעת התקנה של Python גירסה 3 ואילך במכשיר שלך.
- החל מ- Client Analyzer עבור MDE Linux גירסה 1.7.0, זמינה תמיכה בהפעלת מנתח הלקוחות המבוסס על Python בסביבה וירטואלית של Python (venv). השימוש בסביבה וירטואלית הוא אופציונלי ולא נדרש.
- אם המכשיר שלך נמצא מאחורי Proxy, באפשרותך להעביר את שרת ה- Proxy כמשתנה סביבה ל-
mde_support_tool.shScript. לדוגמה:https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh".
אזהרה
הפעלת מנתח הלקוחות המבוסס על Python דורשת התקנה של חבילות PIP, מה שעלול לגרום לבעיות מסוימות בסביבה שלך. כדי להימנע מבעיות שמתרחשות, מומלץ להתקין את החבילות בסביבה של משתמש PIP.
גירסת Python של Run Client Analyzer נשלחה עם Microsoft Defender עבור Linux
הערה
החל מגירסת נקודת הקצה של 101.25082.0000Defender עבור , מנתח הלקוח נשלח עם סוכן. ניתן למצוא אותו במיקום הבא: /opt/microsoft/mdatp/tools/client_analyzer/python
כדי להפעיל מנתח לקוח זה, בצע את הפעולות הבאות:
עבור אל מדריך הכתובות
/opt/microsoft/mdatp/tools/client_analyzer/python:cd /opt/microsoft/mdatp/tools/client_analyzer/pythonהפעל עם הרשאות בסיס כדי להתקין יחסי תלות נדרשים.
sudo ./mde_support_tool.shכדי לאסוף את חבילת האבחון וליצור את קובץ הארכיון של התוצאות, הפעל שוב עם הרשאות בסיס.
sudo ./mde_support_tool.sh -d
הורד והפעל את גירסת Python העצמאית של Client Analyzer
הורד את הכלי XMDE Client Analyzer במחשב Linux שעליך לחקור. אם אתה משתמש במסוף, הורד את הכלי על-ידי הזנת הפקודה הבאה:
wget --quiet -O XMDEClientAnalyzerPython.zip "https://go.microsoft.com/fwlink/?linkid=2336046"אמת את ההורדה:
echo '62F92CD9D191063663FBAC7B29E1C967C8F9A30B9B769DA5E968FC4276C1F030 XMDEClientAnalyzerPython.zip' | sha256sum -cחלץ את תוכן
XMDEClientAnalyzer.zipהמחשב:unzip -q XMDEClientAnalyzerPython.zip -d XMDEClientAnalyzerPythonשנה את הספריה:
cd XMDEClientAnalyzerPythonהענק לכלי הרשאת הפעלה:
chmod a+x mde_support_tool.shהפעל כמשתמש שאינו מקובץ כדי להתקין יחסי תלות נדרשים:
./mde_support_tool.shכדי לאסוף את חבילת האבחון וליצור את קובץ הארכיון של התוצאות, הפעל שוב עם הרשאות בסיס:
sudo ./mde_support_tool.sh -d
עצה
צפה בסרטון וידאו זה כדי לקבל מידע נוסף על בעיות צירוף: בעיות צירוף של מנתח לקוח Defender for Endpoint
אפשרויות שורת פקודה
מנתח הלקוח מספק את אפשרויות שורת הפקודה הבאות:
usage: MDESupportTool [-h] [--output OUTPUT] [--outdir OUTDIR] [--no-zip]
[--force] [--diagnostic] [--skip-mdatp]
[--bypass-disclaimer] [--interactive] [--delay DELAY]
[--mdatp-log {trace,info,warning,error,debug,verbose}]
[--max-log-size MAX_LOG_SIZE]
{certinfocollection,performance,installation,exclude,ratelimit,skipfaultyrules,trace,observespikes,connectivitytest}
...
MDE Diagnostics Tool
positional arguments:
{certinfocollection,performance,installation,exclude,ratelimit,skipfaultyrules,trace,observespikes,connectivitytest}
certinfocollection Collect cert information: Subject name and Hashes
performance Collect extensive machine performance tracing for
analysis of a performance scenario that can be
reproduced on demand
installation Collect different installation/onboarding reports
exclude Exclude specific processes from audit-d monitoring.
ratelimit Set the rate limit for auditd events. Rate limit will
update the limits for auditd events for all the
applications using auditd, which could impact
applications other than MDE.
skipfaultyrules Continue loading rules in spite of an error. This
summarizes the results of loading the rules. The exit
code will not be success if any rule fails to load.
trace Use OS tracing facilities to record Defender
performance traces.
observespikes Collect the process logs in case of spike or mdatp
crash
connectivitytest Perform connectivity test for MDE
optional arguments:
-h, --help show this help message and exit
--output OUTPUT, -o OUTPUT
Output path to export report
--outdir OUTDIR Directory where diagnostics file will be generated.
--no-zip, -nz If set a directory will be created instead of an
archive file.
--force, -f Will overwrite if output directory exists.
--diagnostic, -d Collect extensive machine diagnostic information.
--skip-mdatp Skip any mdatp command. Use this when the mdatp
command is unresponsive.
--bypass-disclaimer Do not display disclaimer banner.
--interactive, -i Interactive diagnostic,
--delay DELAY, -dd DELAY
Delay diagnostic by how many minutes (0~2880), use
this to wait for more debug logs before it collects.
--mdatp-log {trace,info,warning,error,debug,verbose}
Set MDATP log level. If you use interactive or delay
mode, the log level will set to debug automatically,
and reset after 48h.
--max-log-size MAX_LOG_SIZE
Maximum log file size in MB before rotating(Will
restart mdatp).
מצב אבחון
מצב אבחון משמש לאיסוף ערכה נרחבת של מידע מחשב, כגון זיכרון, דיסק, יומני MDATP. קבוצת קבצים זו מספקת את ערכת המידע הראשית הנדרשת כדי לאתר באגים בכל בעיה הקשורה ל- Defender For Endpoint.
להלן האפשרויות הנתמכות:
optional arguments:
-h, --help show this help message and exit
--output OUTPUT, -o OUTPUT
Output path to export report
--outdir OUTDIR Directory where diagnostics file will be generated.
--no-zip, -nz If set a directory will be created instead of an
archive file.
--force, -f Will overwrite if output directory exists.
--diagnostic, -d Collect extensive machine diagnostic information.
--skip-mdatp Skip any mdatp command. Use this when the mdatp
command is unresponsive.
--bypass-disclaimer Do not display disclaimer banner.
--interactive, -i Interactive diagnostic,
--delay DELAY, -dd DELAY
Delay diagnostic by how many minutes (0~2880), use
this to wait for more debug logs before it collects.
--mdatp-log {trace,info,warning,error,debug,verbose}
Set MDATP log level. If you use interactive or delay
mode, the log level will set to debug automatically,
and reset after 48h.
--max-log-size MAX_LOG_SIZE
Maximum log file size in MB before rotating(Will
restart mdatp).
דוגמה לשימוש: sudo ./MDESupportTool -d
הערה
התכונה autoreset ברמת יומן הרישום זמינה רק בגירסה 101.24052.0002 ואילך.
הקבצים שנוצרו בעת שימוש במצב זה מסוכמים בטבלה הבאה:
| קובץ | הערות |
|---|---|
mde_diagnostic.zip |
Defender for Endpoint logs and configs |
health.txt |
מצב התקינות של Defender עבור נקודת קצה (קיים רק כאשר Defender for Endpoint מותקן) |
health_details_features.txt |
מצב התקינות של תכונות אחרות של Defender for Endpoint (קיים רק כאשר Defender for Endpoint מותקן) |
permissions.txt |
בעיות הרשאה בתיקיות שנמצאות בבעלות Defender for Endpoint/נמצאות בשימוש (קיים רק כאשר Defender for Endpoint מותקן) |
crashes |
קבצי Dump של קריסה שנוצרו על-ידי Defender for Endpoint |
process_information.txt |
תהליך שפועל במחשב בעת הפעלת הכלי |
proc_directory_info.txt |
מיפוי הזיכרון הווירטואלי של תהליכי Defender עבור נקודת קצה (קיים רק כאשר Defender for Endpoint מותקן) |
auditd_info.txt |
תקינות מ ביקורת, כללים, יומני רישום |
auditd_log_analysis.txt |
סיכום אירועים שעובדו על-ידי ביקורת |
auditd_logs.zip |
קבצי יומן רישום מביקורת |
ebpf_kernel_config.txt |
תצורת ליבה Linux כעת |
ebpf_enabled_func.txt |
רשימה של כל פונקציות הליבה המותאמות כעת למ מעקב |
ebpf_syscalls.zip |
מידע אודות מעקב אחר השיחות במערכת |
ebpf_raw_syscalls.zip |
אירועי מעקב הקשורים לשיחות מערכת גולמיות |
ebpf_maps_info.txt |
פרטי המזהה והגודל של מפות eBPF |
syslog.zip |
הקבצים תחת /var/log/syslog |
messages.zip |
הקבצים תחת /var/log/messages |
conflicting_processes_information.txt |
תהליכים מתנגשים של Defender for Endpoint |
exclusions.txt |
רשימת אי-הכללות של אנטי-וירוס |
definitions.txt |
פרטי הגדרת אנטי-וירוס |
mde_directories.txt |
רשימת קבצים במדריכי כתובות של נקודות קצה של Defender for |
disk_usage.txt |
פרטי שימוש בדיסק |
mde_user.txt |
פרטי משתמש של Defender for Endpoint |
mde_definitions_mount.txt |
Defender for Endpoint Definitions Mount Point |
service_status.txt |
מצב שירות של Defender for Endpoint |
service_file.txt |
Defender for Endpoint Service File |
hardware_info.txt |
מידע אודות החומרה |
mount.txt |
מידע אודות נקודת טעינה |
uname.txt |
פרטי ליבה |
memory.txt |
מידע על זיכרון המערכת |
meminfo.txt |
מידע מפורט אודות השימוש בזיכרון המערכת |
cpuinfo.txt |
מידע CPU |
lsns_info.txt |
Linux אודות מרחב שמות |
lsof.txt |
מידע אודות מתארי פתיחת קובץ ב- Defender for Endpoint (עיין בפתק שלאחר טבלה זו) |
sestatus.txt |
מידע אודות מתארי פתיחת קובץ ב- Defender for Endpoint |
lsmod.txt |
מצב המודולים Linux ליבה |
dmesg.txt |
הודעות מ במאגר טבעת הליבה |
kernel_lockdown.txt |
מידע נעילה של ליבה |
rtp_statistics.txt |
סטטיסטיקה של Defender for Endpoint Real Time Protection(RTP) (קיים רק כאשר Defender for Endpoint מותקן) |
libc_info.txt |
מידע אודות ספריית libc |
uptime_info.txt |
זמן מאז ההפעלה האחרונה מחדש |
last_info.txt |
רישום של המשתמשים האחרונים שנכנסו |
locale_info.txt |
הצג את האזור הנוכחי |
tmp_files_owned_by_mdatp.txt |
/tmp קבצים בבעלות קבוצה: mdatp (קיים רק כאשר Defender for Endpoint מותקן) |
mdatp_config.txt |
כל התצורות של Defender for Endpoint (קיים רק כאשר Defender for Endpoint מותקן) |
mpenginedb.dbmpenginedb.db-walmpenginedb.db-shm |
קובץ הגדרות אנטי-וירוס (קיים רק כאשר Defender for Endpoint מותקן) |
iptables_rules.txt |
Linux iptables של Linux |
network_info.txt |
פרטי רשת |
sysctl_info.txt |
פרטי הגדרות ליבה |
hostname_diagnostics.txt |
מידע אבחון של שם מארח |
mde_event_statistics.txt |
סטטיסטיקת אירוע של Defender for Endpoint (קיים רק כאשר Defender for Endpoint מותקן) |
mde_ebpf_statistics.txt |
סטטיסטיקת eBPF של Defender for Endpoint (קיים רק כאשר Defender for Endpoint מותקן) |
kernel_logs.zip |
יומני ליבה |
mdc_log.zip |
Microsoft Defender יומני ענן |
netext_config.txt |
|
threat_list.txt |
רשימת איומים שזוהו על-ידי Defender for Endpoint (קיים רק כאשר Defender for Endpoint מותקן) |
top_output.txt |
תהליך שפועל במחשב בעת הפעלת הכלי |
top_summary.txt |
ניתוח הזיכרון והשימוש ב- CPU של התהליך שבו פועל |
ארגומנטים אופציונליים עבור Client Analyzer
Client Analyzer מספק את הארגומנטים האופציונליים הבאים עבור איסוף נתונים נוסף:
איסוף פרטי ביצועים
אסוף מעקב נרחב אחר ביצועי מכונה של תהליכי Defender for Endpoint לצורך ניתוח של תרחיש ביצועים שניתן לשכפל לפי דרישה.
-h, --help show this help message and exit
--frequency FREQUENCY
profile at this frequency
--length LENGTH length of time to collect (in seconds)
דוגמה לשימוש: sudo ./MDESupportTool performance --frequency 500
מצב זה יוצר את הקובץ הבא:
| קובץ | הערות |
|---|---|
perf_benchmark.tar.gz |
Defender for Endpoint מעבד נתוני ביצועים |
הערה
הקבצים התואמים למצב אבחון נוצרים גם הם.
ה- tar מכיל קבצים בתבנית <pid of a MDE process>.data.
ניתן לקרוא את קובץ הנתונים באמצעות הפקודה:
perf report -i <pid>.data
הפעל בדיקת קישוריות
מצב זה בודק אם משאבי הענן הדרושים ל- Defender for Endpoint נגישים או לא.
-h, --help show this help message and exit
-o ONBOARDING_SCRIPT, --onboarding-script ONBOARDING_SCRIPT
Path to onboarding script
-g GEO, --geo GEO Geo string to test <US|UK|EU|AU|CH|IN>
דוגמה לשימוש:
sudo ./MDESupportTool connectivitytest -o ~/MicrosoftDefenderATPOnboardingLinuxServer.py`
הפלט המודפס על המסך מראה אם כתובות ה- URL הן ניתנות להפעלה או לא.
אסוף דוחות התקנה/צירוף שונים
מצב זה אוסף מידע הקשור להתקנה, כגון הה DISTRO ודרישות המערכת.
-h, --help show this help message and exit
-d, --distro Check for distro support
-m, --min-requirement Check for the system info against offical minimum requirements
-e, --external-dep Check for externel package dependency
-c, --connectivity Check for connectivity for services used by MDE
-a, --all Run all checks
-o ONBOARDING_SCRIPT, --onboarding-script ONBOARDING_SCRIPT
Path to onboarding script
-g GEO, --geo GEO Geo string to test <US|UK|EU|AU|CH|IN>
דוגמה לשימוש:
sudo ./MDESupportTool installation --all
דוח בודד installation_report.json נוצר. להלן המפתחות בקובץ:
| מפתח | הערות |
|---|---|
| agent_version | גירסת Defender עבור נקודת קצה מותקנת. |
| onboarding_status | פרטי הצירוף והצלצל |
| support_status | MDE נתמכת עם תצורות המערכת הנוכחיות. |
| הפצה | הה distro on which the agent is installed is supported or not. |
| פעילות קישוריות | מצב בדיקות הקישוריות. |
| min_requirement | הדרישות המינימליות עבור CPU וזיכרון עומדות בדרישות. |
| external_depedency | יחסי התלות החיצוניים מרוצים או לא. |
| mde_health | מצב התקינות של MDE שלך |
| folder_perm | הרשאות התיקיה הנדרשות קיימות או לא. |
מצב אי-כלילה
מצב זה מוסיף אי-הכללות לניטור audit-d .
-h, --help show this help message and exit
-e <executable>, --exe <executable>
exclude by executable name, i.e: bash
-p <process id>, --pid <process id>
exclude by process id, i.e: 911
-d <directory>, --dir <directory>
exclude by target path, i.e: /var/foo/bar
-x <executable> <directory>, --exe_dir <executable> <directory>
exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
-q <q_size>, --queue <q_size>
set dispatcher q_depth size
-r, --remove remove exclusion file
-s, --stat get statistics about common executables
-l, --list list auditd rules
-o, --override Override the existing auditd exclusion rules file for mdatp
-c <syscall number>, --syscall <syscall number>
exclude all process of the given syscall
דוגמה לשימוש:
sudo ./MDESupportTool exclude -d /var/foo/bar`
מגביל קצבים מביקורת
אפשרות זו מגדירה את מגבלת התעריף באופן כללי עבור AuditD וגורמת לתקלה בכל אירועי הביקורת. כאשר המגבלה זמין, האירועים המנוהליים מוגבלים ל- 2500 אירועים/שנ'. ניתן להשתמש באפשרות זו במקרים שבהם אנו רואים שימוש גבוה ב- CPU מצד ביקורת.
-h, --help show this help message and exit
-e <true/false>, --enable <true/false> enable/disable the rate limit with default values
דוגמה לשימוש:
sudo ./mde_support_tool.sh ratelimit -e true
הערה
יש להשתמש בפונקציונליות זו בקפידה מאחר שהיא מגבילה את מספר האירועים שדוחות מערכת המשנה המנוהלים כשלם. פעולה זו עשויה להפחית את מספר האירועים גם עבור מנויים אחרים.
דלג על כללים עם תקלות ביקורת
אפשרות זו מאפשרת לך לדלג על הכללים התקלים שנוספו בקובץ הכללים המנוהלים בעת טעינתם. היא מאפשרת מערכת המשנה המ ביקורת להמשיך לטעון כללים גם אם קיים כלל הפגם.
-h, --help show this help message and exit
-e <true/false>, --enable <true/false> enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.
דוגמה לשימוש:
sudo ./mde_support_tool.sh skipfaultyrules -e true
הערה
פונקציונליות זו מדלגת על הכללים התקלים. יש לזהות ולתקן כללים עם תקלות נוספות.
שימוש בתגובה חיה ב- Defender for Endpoint כדי לאסוף יומני תמיכה
ניתן להפעיל את מנתח הלקוח של XMDE במהלך הפעלת Live Response באמצעות הגירסה שכבר כלולה ב- Microsoft Defender עבור נקודת קצה ב- Linux, או על-ידי הורדת Client Analyzer כחבילה בינארית או Python ולחלץ אותה במכשיר.
- לצורך התקנה,
unzipנדרשת החבילה. - לביצוע החבילה
aclנדרשת.
חשוב
Windows משתמש בתווים הבלתי נראים של החזרת גררה והזנות שורה כדי לייצג את סוף שורה אחת ואת תחילתה של שורה חדשה בקובץ. Linux משתמשות רק בתו הבלתי נראה הזנת שורה בסוף שורות הקובץ. בעת שימוש בקבצי ה- Script הבאים, אם נעשה זאת ב- Windows, הבדל זה עלול לגרום לשגיאות ולכשלים של קבצי ה- Script לפעול. פתרון פוטנציאלי לפתרון זה הוא להשתמש ב- מערכת משנה של Windows עבור Linux (WSL) dos2unix ובחבילה כדי לעצב מחדש את קובץ ה- Script כך שהוא תואם לתקן העיצוב Linux יוניקס.
הפעל את מנתח הלקוח Microsoft Defender עבור נקודת קצה ההתקנה
אם Microsoft Defender עבור נקודת קצה כבר מותקן במכשיר, באפשרותך להפעיל את מנתח הלקוח ישירות מהתקנת הסוכן מבלי להוריד או להתקין חבילות נוספות.
צור קובץ
MDESupportToolBinary.shוהדבק בו את התוכן הבא.#! /usr/bin/bash echo "cd /opt/microsoft/mdatp/tools/client_analyzer/binary" cd /opt/microsoft/mdatp/tools/client_analyzer/binary echo "Running MDESupportTool" ./MDESupportTool $@ Execute: run MDESupportToolBinary.sh -parameters "--bypass-disclaimer -d" MDESupportToolPython.sh #! /usr/bin/bash echo "cd /opt/microsoft/mdatp/tools/client_analyzer/python" cd /opt/microsoft/mdatp/tools/client_analyzer/python echo "Running MDESupportTool" ./mde_support_tool.sh $@ Execute: run MDESupportToolPython.sh -parameters "--bypass-disclaimer -d"
התקן את מנתח הלקוח של XMDE
הורד וחלץ את מנתח הלקוח של XMDE. באפשרותך להשתמש בגירסה הבינארית או בגירסה של Python, באופן הבא:
בשל הפקודות המוגבלת הזמינות בתגובה בזמן חי, יש לבצע את השלבים המפורטים בקובץ Script של Bash. על-ידי פיצול חלק ההתקנה והביצוע של פקודות אלה, ניתן להפעיל את קובץ ה- Script של ההתקנה פעם אחת ולהפעיל את קובץ ה- Script של הביצוע כמה פעמים.
חשוב
קבצי ה- Script לדוגמה מניחים שלמכונה יש גישה ישירה לאינטרנט, ובאפשרותך לאחזר את מנתח לקוח XMDE מ- Microsoft. אם למחשב אין גישה ישירה לאינטרנט, יש לעדכן את קבצי ה- Script של ההתקנה כדי להביא את מנתח הלקוח של XMDE ממיקום שבו המחשבים יכולים לגשת בהצלחה.
קובץ Script להתקנה של מנתח הלקוח הבינארי
קובץ ה- Script הבא מבצע את ששת השלבים הראשונים של הפעלת הגירסה הבינארית של מנתח הלקוח. לסיום, הבינארי של מנתח לקוח XMDE זמין במדריך הכתובות /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer .
צור קובץ Bash והדבק
InstallXMDEClientAnalyzer.shבו את התוכן הבא.#! /usr/bin/bash echo "Starting Client Analyzer Script. Running As:" whoami echo "Getting XMDEClientAnalyzerBinary" wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary echo 'C65A4E4C6851D130942BFACD147A9D18B8A92B4F50FACF519477FD1C41A1C323 /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c echo "Unzipping XMDEClientAnalyzerBinary.zip" unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary echo "Unzipping SupportToolLinuxBinary.zip" unzip -q /tmp/XMDEClientAnalyzerBinary/XMDEClientAnalyzer/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
קובץ Script להתקנה של מנתח לקוח Python
קובץ ה- Script הבא מבצע את ששת השלבים הראשונים של הפעלת גירסת Python של מנתח הלקוח. לאחר שתסיים, קבצי ה- Script של Python עבור לקוח XMDE Analyzer יהיו זמינים במדריך הכתובות /tmp/XMDEClientAnalyzer .
צור קובץ Bash והדבק
InstallXMDEClientAnalyzer.shבו את התוכן הבא.#! /usr/bin/bash echo "Starting Client Analyzer Install Script. Running As:" whoami echo "Getting XMDEClientAnalyzer.zip" wget --quiet -O /tmp/XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer echo '07E6A7B89E28A78309D5B6F1E25E4CDFBA9CA141450E422D76441C03AD3477E7 /tmp/XMDEClientAnalyzer.zip' | sha256sum -c echo "Unzipping XMDEClientAnalyzer.zip" unzip -q /tmp/XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer echo "Setting execute permissions on mde_support_tool.sh script" cd /tmp/XMDEClientAnalyzer chmod a+x mde_support_tool.sh echo "Performing final support tool setup" ./mde_support_tool.sh
עצה
צפה בסרטון וידאו זה כדי ללמוד עוד אודות הגדרות נקודת קצה: הגדרות נקודת קצה של מנתח לקוח של Defender for Endpoint
הפעל את קבצי ה- Script של התקנת מנתח הלקוח
הפעל הפעלה של Live Response במחשב שברצונך לחקור.
בחר העלה קובץ לספריה.
בחר בחר קובץ.
בחר את הקובץ שהורדת בשם
InstallXMDEClientAnalyzer.shולאחר מכן בחר אשר.בזמן שאתה עדיין בהפעלה של LiveResponse, השתמש בפקודות הבאות כדי להתקין את המנתח:
run InstallXMDEClientAnalyzer.sh
הפעל את מנתח לקוח XMDE
תגובה חיה אינה תומכת בהפעלת XMDE Client Analyzer או Python ישירות, ולכן יש צורך בקובץ Script לביצוע.
חשוב
קבצי ה- Script הבאים נכתבו מתוך ההנחה ש- XMDE Client Analyzer הותקן באמצעות אותם מיקומים מתוך קבצי ה- Script שהוזכרו קודם לכן. אם הארגון שלך בוחר להתקין את קבצי ה- Script במיקום אחר, יש לעדכן את קבצי ה- Script כדי להתאים למיקום ההתקנה שנבחר על-ידי הארגון שלך.
קובץ Script לביצוע מנתח הלקוח הבינארי
הגירסה הבינארית של מנתח הלקוח מקבלת פרמטרים של שורת הפקודה כדי לבצע בדיקות ניתוח שונות. כדי לספק יכולות דומות במהלך תגובה חיה, קובץ ה- Script $@ של הביצוע מנצל את משתנה ה- Bash כדי להעביר את כל פרמטרי הקלט שסופקו ל- Script למנתח הלקוח של XMDE.
צור קובץ Bash והדבק
MDESupportTool.shבו את התוכן הבא.#! /usr/bin/bash echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer" cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer echo "Running MDESupportTool" ./MDESupportTool $@
קובץ Script לביצוע מנתח לקוח של Python
גירסת Python של מנתח הלקוח מקבלת פרמטרים של שורת הפקודה כדי לבצע בדיקות ניתוח שונות. כדי לספק יכולות דומות במהלך תגובה חיה, קובץ ה- Script $@ של הביצוע מנצל את משתנה ה- Bash כדי להעביר את כל פרמטרי הקלט שסופקו ל- Script למנתח הלקוח של XMDE.
צור קובץ Bash והדבק
MDESupportTool.shבו את התוכן הבא.#! /usr/bin/bash echo "cd /tmp/XMDEClientAnalyzer" cd /tmp/XMDEClientAnalyzer echo "Running mde_support_tool" ./mde_support_tool.sh $@
הפעל את קובץ ה- Script של מנתח הלקוח
הערה
אם יש לך הפעלת תגובה חיה פעילה, באפשרותך לדלג על שלב 1.
הפעל הפעלה של Live Response במחשב שברצונך לחקור.
בחר העלה קובץ לספריה.
בחר בחר קובץ.
בחר את הקובץ שהורדת בשם
MDESupportTool.shולאחר מכן בחר אשר.בזמן שאתה עדיין בהפעלת התגובה החית, השתמש בפקודות הבאות כדי להפעיל את המנתח ולאסוף את הקובץ המתוצא:
run MDESupportTool.sh -parameters "--bypass-disclaimer -d" GetFile "/tmp/your_archive_file_name_here.zip"
למידע נוסף
Defender for Endpoint on Linux פתרון בעיות מסמכים
פתרון בעיות התקנה עבור Microsoft Defender עבור נקודת קצה ב- Linux
פתרון בעיות קישוריות בענן עבור Microsoft Defender עבור נקודת קצה ב- Linux
פתרון בעיות ביצועים עבור Microsoft Defender עבור נקודת קצה ב- Linux
פתרון בעיות של אירועים חסרים או התראות Microsoft Defender עבור נקודת קצה בעיות Linux
טיפול בתוצאות חיוביות/שליליות מוטעות ב- Microsoft Defender עבור נקודת קצה