הפעל את מנתח הלקוח ב- macOS וב- Linux

חל על:

• Microsoft Defender עבור תוכנית 1 של נקודת קצה
• Microsoft Defender עבור תוכנית 2 של נקודת קצה

XMDEClientAnalyzer משמש לאבחון בעיות תקינות או מהימנות של Microsoft Defender עבור נקודות קצה במכשירים מחוברים שבהם פועל Linux או macOS.

קיימות שתי דרכים להפעלת כלי מנתח הלקוח:

1. שימוש בגירסה בינארית (ללא תלות ב- Python)
2. שימוש בפתרון מבוסס Python

הפעלת הגירסה הבינארית של מנתח הלקוח

1. הורד את הכלי הבינארי של XMDE Client Analyzer למחשב macOS או Linux שעליך לחקור.
   אם אתה משתמש במסוף, הורד את הכלי על-ידי הזנת הפקודה הבאה:

   wget --quiet -O XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary
   

2. אמת את ההורדה.

   הערה

   קוד ה- Hash הנוכחי של SHA256 של 'XMDEClientAnalyzerBinary.zip' שהורד מקישור זה הוא: '6DF1D7F32F1C33B462067F029CA59742241AB6967A981161803A3BC4B5EBDBDF'

   • לינוקס (Linux)

   echo '6DF1D7F32F1C33B462067F029CA59742241AB6967A981161803A3BC4B5EBDBDF XMDEClientAnalyzerBinary.zip' | sha256sum -c
   

   • macOS

   echo '6DF1D7F32F1C33B462067F029CA59742241AB6967A981161803A3BC4B5EBDBDF  XMDEClientAnalyzerBinary.zip' | shasum -a 256 -c
   

3. חלץ את תוכןXMDEClientAnalyzerBinary.zip במחשב.

   אם אתה משתמש במסוף, חלץ את הקבצים על-ידי הזנת הפקודה הבאה:

   unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary
   

4. שנה למדריך הכתובות של הכלי על-ידי הזנת הפקודה הבאה:

   cd XMDEClientAnalyzerBinary
   

5. שלושה קבצי zip חדשים מופקים:

   • SupportToolLinuxBinary.zip : עבור כל מכשירי Linux
   • SupportToolMacOSBinary.zip : עבור מכשירי Mac

6. בטל את דחיסת אחד מ- 2 קבצי הדחיסה שלעיל בהתבסס על המחשב שעליך לחקור.
   בעת שימוש במסוף, בטל את דחיסת הקובץ על-ידי הזנת אחת מהפקודות הבאות בהתבסס על סוג מערכת ההפעלה:

   • לינוקס (Linux)

     unzip -q SupportToolLinuxBinary.zip
     

   • Mac

     unzip -q SupportToolMacOSBinary.zip
     

7. הפעל את הכלי כבסיס כדי ליצור חבילת אבחון:

   sudo ./MDESupportTool -d
   

הפעלת מנתח הלקוחות המבוסס על Python

הערה

• המנתח תלוי בכמה חבילות PIP נוספות (sh, distro, lxml, pandas) המותקנות ב- OS כאשר הן בבסיס כדי להפיק את פלט התוצאה. אם לא מותקן, המנתח ינסה להביא אותו מהמאגר הרשמי עבור חבילות Python.

  אזהרה

  הפעלת מנתח הלקוחות המבוסס על Python דורשת התקנה של חבילות PIP שעשויות לגרום לבעיות מסוימות בסביבה שלך. כדי למנוע בעיות שמתרחשות, מומלץ להתקין את החבילות בסביבה של משתמש PIP.

• בנוסף, הכלי דורש כעת התקנה של Python גירסה 3 ואילך.

• אם המכשיר שלך נמצא מאחורי Proxy, תוכל פשוט להעביר את שרת ה- Proxy כמשתנה סביבה ל- mde_support_tool.sh Script. לדוגמה:. https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh"

1. הורד את הכלי XMDE Client Analyzer למחשב macOS או Linux שעליך לחקור.

   אם אתה משתמש במסוף, הורד את הכלי על-ידי הפעלת הפקודה הבאה:

   wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer
   

2. אמת את ההורדה

   • לינוקס (Linux)

   echo '799D1C8B24FB826283B9B04B4B503AE3C99A05FE7ADFE25A78A094E231572C4A XMDEClientAnalyzer.zip' | sha256sum -c
   

   • macOS

   echo '799D1C8B24FB826283B9B04B4B503AE3C99A05FE7ADFE25A78A094E231572C4A  XMDEClientAnalyzer.zip' | shasum -a 256 -c
   

3. חלץ את תוכן XMDEClientAnalyzer.zip במחשב. אם אתה משתמש במסוף, חלץ את הקבצים באמצעות הפקודה הבאה:

   unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzer
   

4. שנה את הספריה למיקום שחולץ.

   cd XMDEClientAnalyzer
   

5. הענק לכלי הרשאת הפעלה:

   chmod a+x mde_support_tool.sh
   

6. הפעל כמשתמש שאינו משתמש בסיס כדי להתקין יחסי תלות נדרשים:

   ./mde_support_tool.sh
   

7. כדי לאסוף חבילת אבחון בפועל וליצור את קובץ הארכיון של התוצאות, הפעל שוב כבסיס:

   sudo ./mde_support_tool.sh -d
   

אפשרויות שורת פקודה

שורות פקודה ראשיות

השתמש בפקודה הבאה כדי לקבל את אבחון המחשב.

-h, --help            show this help message and exit
--output OUTPUT, -o OUTPUT
                      Output path to export report
--outdir OUTDIR       Directory where diagnostics file will be generated
--no-zip, -nz         If set a directory will be created instead of an archive file
--force, -f           Will overwrite if output directory exists
--diagnostic, -d      Collect extensive machine diagnostic information
--bypass-disclaimer   Do not display disclaimer banner
--interactive, -i     Interactive diagnostic
--delay DELAY, -dd DELAY
                      Set MDATP log level. If you use interactive or delay mode, the log level will set to debug automatically, and reset after 48h.
--mdatp-log {info,debug,verbose,error,trace,warning}
                      Set MDATP log level
--max-log-size MAX_LOG_SIZE
                      Maximum log file size in MB before rotating(Will restart mdatp)

דוגמה לשימוש: sudo ./MDESupportTool -d

הערה: תכונת האיפוס האוטומטי ברמת יומן הרישום זמינה רק בגירסת לקוח 2405 או בגירסת לקוח חדשה יותר.

ארגומנטים של מיקום

איסוף פרטי ביצועים

אסוף מעקב נרחב אחר ביצועי מכונה לצורך ניתוח של תרחיש ביצועים שניתן לשכפל לפי דרישה.

-h, --help            show this help message and exit
--frequency FREQUENCY
                      profile at this frequency
--length LENGTH       length of time to collect (in seconds)

דוגמה לשימוש: sudo ./MDESupportTool performance --frequency 2

השתמש במעקב של מערכת ההפעלה (עבור macOS בלבד)

השתמש במעקב של מערכת ההפעלה כדי לתעד מעקבי ביצועים של Defender for Endpoint.

הערה

פונקציונליות זו קיימת בפתרון Python בלבד.

-h, --help       show this help message and exit
--length LENGTH  Length of time to record the trace (in seconds).
--mask MASK      Mask to select with event to trace. Defaults to all

בעת הפעלת פקודה זו בפעם הראשונה, היא מתקינים תצורת פרופיל.

בצע את הפעולות הבאות כדי לאשר התקנת פרופיל: מדריך התמיכה של Apple.

דוגמה לשימוש ./mde_support_tool.sh trace --length 5

מצב אי-כלילה

הוסף פריטים שאינם נכללים עבור ניטור audit-d.

הערה

פונקציונליות זו קיימת עבור Linux בלבד.

  -h, --help            show this help message and exit
  -e <executable>, --exe <executable>
                        exclude by executable name, i.e: bash
  -p <process id>, --pid <process id>
                        exclude by process id, i.e: 911
  -d <directory>, --dir <directory>
                        exclude by target path, i.e: /var/foo/bar
  -x <executable> <directory>, --exe_dir <executable> <directory>
                        exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
  -q <q_size>, --queue <q_size>
                        set dispatcher q_depth size
  -r, --remove          remove exclusion file
  -s, --stat            get statistics about common executables
  -l, --list            list auditd rules
  -o, --override        Override the existing auditd exclusion rules file for mdatp
  -c <syscall number>, --syscall <syscall number>
                        exclude all process of the given syscall

דוגמה לשימוש: sudo ./MDESupportTool exclude -d /var/foo/bar

מגביל תעריף מ ביקורת

תחביר שניתן להשתמש בו כדי להגביל את מספר האירועים שדווחו על-ידי התוסף auditD. אפשרות זו מגדירה את מגבלת התעריף באופן כללי עבור AuditD וגורמת לתקלה בכל אירועי הביקורת. כאשר המגבלה זמין, מספר האירועים המ ביקורת מוגבל ל- 2500 אירועים/שנ'. ניתן להשתמש באפשרות זו במקרים שבהם אנו רואים שימוש גבוה ב- CPU מצד ביקורת.

הערה

פונקציונליות זו קיימת עבור Linux בלבד.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the rate limit with default values

דוגמה לשימוש: sudo ./mde_support_tool.sh ratelimit -e true

הערה

יש להשתמש בפונקציונליות זו בקפידה כמגבלות מספר האירועים שדווחו על-ידי מערכת המשנה המדווחת כולה. פעולה זו עשויה להפחית את מספר האירועים גם עבור מנויים אחרים.

כללי דלג על תקלות מביקורת

אפשרות זו מאפשרת לך לדלג על הכללים התקלים שנוספו בקובץ הכללים המנוהלים בעת טעינתם. אפשרות זו מאפשרת מערכת המשנה המאודית להמשיך לטעון כללים גם אם קיים כלל לא רציף. אפשרות זו מסכמת את התוצאות של טעינת הכללים. ברקע, אפשרות זו מפעילה את הביקורת עם האפשרות -c.

הערה

פונקציונליות זו זמינה רק ב- Linux.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.

דוגמה לשימוש: sudo ./mde_support_tool.sh skipfaultyrules -e true

הערה

פונקציונליות זו תדלג על הכללים התקלים. לאחר מכן יש לזהות ולתקן את הכלל הפגם.

תוכן חבילת תוצאות ב- macOS וב- Linux

• report.html

  תיאור: קובץ הפלט הראשי של HTML המכיל את הממצאים וההדרכה מהפעלת הכלי מנתח הלקוח במכשיר. קובץ זה נוצר רק בעת הפעלת הגירסה מבוססת Python של הכלי מנתח הלקוח.

• mde_diagnostic.zip

  תיאור: אותו פלט אבחון שנוצר בעת הפעלת יצירת אבחון mdatp ב- macOS אוב- Linux.

• mde.xml

  תיאור: פלט XML שנוצר בעת ההפעלה ומשמש לבניית קובץ דוח ה- HTML.

• Processes_information.txt

  תיאור: מכיל את הפרטים של התהליכים הקשורים הפועלים של Microsoft Defender for Endpoint במערכת.

• Log.txt

  תיאור: מכיל את אותן הודעות יומן רישום שנכתבו על המסך במהלך איסוף הנתונים.

• Health.txt

  תיאור: אותו פלט תקינות בסיסי שמוצג בעת הפעלת הפקודה תקינות mdatp .

• Events.xml

  תיאור: קובץ XML נוסף המשמש את המנתח בעת בניית דוח HTML.

• Audited_info.txt

  תיאור: פרטים על שירות מביקורת ורכיבים קשורים עבור מערכת ההפעלה Linux .

• perf_benchmark.tar.gz

  תיאור: דוחות בדיקת הביצועים. תראה זאת רק אם אתה משתמש בפרמטר הביצועים.

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילה הטכנית שלנו: Microsoft Defender for Endpoint Tech Community.