שתף באמצעות


הפעל את מנתח הלקוח ב- macOS וב- Linux

חל על:

XMDEClientAnalyzer משמש לאבחון בעיות Microsoft Defender עבור נקודת קצה תקינות או מהימנות במכשירים מחוברים שבהם פועל Linux או macOS.

קיימות שתי דרכים להפעלת כלי מנתח הלקוח:

  1. שימוש בגירסה בינארית (ללא תלות ב- Python)
  2. שימוש בפתרון מבוסס Python

הפעלת הגירסה הבינארית של מנתח הלקוח

  1. הורד את הכלי הבינארי של XMDE Client Analyzer למחשב macOS או Linux שעליך לחקור.
    אם אתה משתמש במסוף, הורד את הכלי על-ידי הזנת הפקודה הבאה:

    wget --quiet -O XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary
    
  2. אמת את ההורדה.

    הערה

    קוד ה- Hash הנוכחי של 'XMDEClientAnalyzerBinary.zip' שהורד מקישור זה הוא: '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469'

    • לינוקס
    echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 XMDEClientAnalyzerBinary.zip' | sha256sum -c
    
    • Macos
    echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469  XMDEClientAnalyzerBinary.zip' | shasum -a 256 -c
    
  3. חלץ את תוכןXMDEClientAnalyzerBinary.zip במחשב.

    אם אתה משתמש במסוף, חלץ את הקבצים על-ידי הזנת הפקודה הבאה:

    unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary
    
  4. שנה למדריך הכתובות של הכלי על-ידי הזנת הפקודה הבאה:

    cd XMDEClientAnalyzerBinary
    
  5. שלושה קבצי zip חדשים מופקים:

    • SupportToolLinuxBinary.zip : עבור כל מכשירי Linux
    • SupportToolMacOSBinary.zip : עבור מכשירי Mac
  6. בטל את דחיסת אחד מ- 2 קבצי הדחיסה שלעיל בהתבסס על המחשב שעליך לחקור.
    בעת שימוש במסוף, בטל את דחיסת הקובץ על-ידי הזנת אחת מהפקודות הבאות בהתבסס על סוג מערכת ההפעלה:

    • לינוקס

      unzip -q SupportToolLinuxBinary.zip
      
    • Mac

      unzip -q SupportToolMacOSBinary.zip
      
  7. הפעל את הכלי כבסיס כדי ליצור חבילת אבחון:

    sudo ./MDESupportTool -d
    

הפעלת מנתח הלקוחות המבוסס על Python

הערה

  • המנתח תלוי בכמה חבילות PIP נוספות (sh, distro, lxml, pandas) המותקנות ב- OS כאשר הן בבסיס כדי להפיק את פלט התוצאה. אם לא מותקן, המנתח ינסה להביא אותו מהמאגר הרשמי עבור חבילות Python.

    אזהרה

    הפעלת מנתח הלקוחות המבוסס על Python דורשת התקנה של חבילות PIP שעשויות לגרום לבעיות מסוימות בסביבה שלך. כדי למנוע בעיות שמתרחשות, מומלץ להתקין את החבילות בסביבה של משתמש PIP.

  • בנוסף, הכלי דורש כעת התקנה של Python גירסה 3 ואילך.

  • אם המכשיר שלך נמצא מאחורי Proxy, תוכל פשוט להעביר את שרת ה- Proxy כמשתנה סביבה ל- mde_support_tool.sh Script. לדוגמה:. https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh"

  1. הורד את הכלי XMDE Client Analyzer למחשב macOS או Linux שעליך לחקור.

    אם אתה משתמש במסוף, הורד את הכלי על-ידי הפעלת הפקודה הבאה:

    wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer
    
  2. אמת את ההורדה

    • לינוקס
    echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c
    
    • Macos
    echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66  XMDEClientAnalyzer.zip' | shasum -a 256 -c
    
  3. חלץ את תוכן XMDEClientAnalyzer.zip במחשב.
    אם אתה משתמש במסוף, חלץ את הקבצים באמצעות הפקודה הבאה:

    unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzer
    
  4. שנה את הספריה למיקום שחולץ.

    cd XMDEClientAnalyzer
    
  5. הענק לכלי הרשאת הפעלה:

    chmod a+x mde_support_tool.sh
    
  6. הפעל כמשתמש שאינו משתמש בסיס כדי להתקין יחסי תלות נדרשים:

    ./mde_support_tool.sh
    
  7. כדי לאסוף חבילת אבחון בפועל וליצור את קובץ הארכיון של התוצאות, הפעל שוב כבסיס:

    sudo ./mde_support_tool.sh -d
    

אפשרויות שורת פקודה

שורות פקודה ראשיות

השתמש בפקודה הבאה כדי לקבל את אבחון המחשב.

-h, --help            show this help message and exit
--output OUTPUT, -o OUTPUT
                      Output path to export report
--outdir OUTDIR       Directory where diagnostics file will be generated
--no-zip, -nz         If set a directory will be created instead of an archive file
--force, -f           Will overwrite if output directory exists
--diagnostic, -d      Collect extensive machine diagnostic information
--bypass-disclaimer   Do not display disclaimer banner
--mdatp-log {info,debug,verbose,error,trace,warning}
                      Set MDATP log level
--max-log-size MAX_LOG_SIZE
                      Maximum log file size in MB before rotating(Will restart mdatp)

דוגמה לשימוש: sudo ./MDESupportTool -d

ארגומנטים של מיקום

איסוף פרטי ביצועים

אסוף מעקב נרחב אחר ביצועי מכונה לצורך ניתוח של תרחיש ביצועים שניתן לשכפל לפי דרישה.

-h, --help            show this help message and exit
--frequency FREQUENCY
                      profile at this frequency
--length LENGTH       length of time to collect (in seconds)

דוגמה לשימוש: sudo ./MDESupportTool performance --frequency 2

השתמש במעקב של מערכת ההפעלה (עבור macOS בלבד)

השתמש במעקב של מערכת ההפעלה כדי לתעד מעקבי ביצועים של Defender for Endpoint.

הערה

פונקציונליות זו קיימת בפתרון Python בלבד.

-h, --help       show this help message and exit
--length LENGTH  Length of time to record the trace (in seconds).
--mask MASK      Mask to select with event to trace. Defaults to all

בעת הפעלת פקודה זו בפעם הראשונה, היא מתקינים תצורת פרופיל.

בצע את הפעולות הבאות כדי לאשר התקנת פרופיל: מדריך התמיכה של Apple.

דוגמה לשימוש ./mde_support_tool.sh trace --length 5

מצב אי-כלילה

הוסף פריטים שאינם נכללים עבור ניטור audit-d.

הערה

פונקציונליות זו קיימת עבור Linux בלבד.

  -h, --help            show this help message and exit
  -e <executable>, --exe <executable>
                        exclude by executable name, i.e: bash
  -p <process id>, --pid <process id>
                        exclude by process id, i.e: 911
  -d <directory>, --dir <directory>
                        exclude by target path, i.e: /var/foo/bar
  -x <executable> <directory>, --exe_dir <executable> <directory>
                        exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
  -q <q_size>, --queue <q_size>
                        set dispatcher q_depth size
  -r, --remove          remove exclusion file
  -s, --stat            get statistics about common executables
  -l, --list            list auditd rules
  -o, --override        Override the existing auditd exclusion rules file for mdatp
  -c <syscall number>, --syscall <syscall number>
                        exclude all process of the given syscall

דוגמה לשימוש: sudo ./MDESupportTool exclude -d /var/foo/bar

מגביל תעריף מ ביקורת

תחביר שניתן להשתמש בו כדי להגביל את מספר האירועים שדווחו על-ידי התוסף auditD. אפשרות זו מגדירה את מגבלת התעריף באופן כללי עבור AuditD וגורמת לתקלה בכל אירועי הביקורת. כאשר המגבלה זמין, מספר האירועים המ ביקורת מוגבל ל- 2500 אירועים/שנ'. ניתן להשתמש באפשרות זו במקרים שבהם אנו רואים שימוש גבוה ב- CPU מצד ביקורת.

הערה

פונקציונליות זו קיימת עבור Linux בלבד.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the rate limit with default values

דוגמה לשימוש: sudo ./mde_support_tool.sh ratelimit -e true

הערה

יש להשתמש בפונקציונליות זו בקפידה כמגבלות מספר האירועים שדווחו על-ידי מערכת המשנה המדווחת כולה. פעולה זו עשויה להפחית את מספר האירועים גם עבור מנויים אחרים.

כללי דלג על תקלות מביקורת

אפשרות זו מאפשרת לך לדלג על הכללים התקלים שנוספו בקובץ הכללים המנוהלים בעת טעינתם. אפשרות זו מאפשרת מערכת המשנה המאודית להמשיך לטעון כללים גם אם קיים כלל לא רציף. אפשרות זו מסכמת את התוצאות של טעינת הכללים. ברקע, אפשרות זו מפעילה את הביקורת עם האפשרות -c.

הערה

פונקציונליות זו זמינה רק ב- Linux.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.

דוגמה לשימוש: sudo ./mde_support_tool.sh skipfaultyrules -e true

הערה

פונקציונליות זו תדלג על הכללים התקלים. לאחר מכן יש לזהות ולתקן את הכלל הפגם.

תוכן חבילת תוצאות ב- macOS וב- Linux

  • report.html

    תיאור: קובץ הפלט הראשי של HTML המכיל את הממצאים וההנחיות שקובץ ה- Script של המנתח פועל במחשב יכול להפיק.

  • mde_diagnostic.zip

    תיאור: אותו פלט אבחון שנוצר בעת הפעלת יצירת אבחון mdatp ב- macOS אוב- Linux.

  • mde.xml

    תיאור: פלט XML שנוצר בעת ההפעלה ומשמש לבניית קובץ דוח ה- HTML.

  • Processes_information.txt

    תיאור: מכיל את הפרטים של התהליכים Microsoft Defender עבור נקודת קצה הקשורים למערכת.

  • Log.txt

    תיאור: מכיל את אותן הודעות יומן רישום שנכתבו על המסך במהלך איסוף הנתונים.

  • Health.txt

    תיאור: אותו פלט תקינות בסיסי שמוצג בעת הפעלת הפקודה תקינות mdatp .

  • Events.xml

    תיאור: קובץ XML נוסף המשמש את המנתח בעת בניית דוח HTML.

  • Audited_info.txt

    תיאור: פרטים על שירות מביקורת ורכיבים קשורים עבור מערכת ההפעלה Linux .

  • perf_benchmark.tar.gz

    תיאור: דוחות בדיקת הביצועים. תראה זאת רק אם אתה משתמש בפרמטר הביצועים.

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.