איסוף יומני תמיכה ב- Microsoft Defender עבור נקודת קצה באמצעות תגובה חיה
חל על:
רוצה לחוות את Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.
בעת פנייה לתמיכה, ייתכן שתתבקש לספק את חבילת הפלט של הכלי Microsoft Defender for Endpoint Client Analyzer.
מאמר זה מספק הוראות להפעלת הכלי באמצעות Live Response ב- Windows ובמחשבים של Linux.
Windows
הורד והבא את קבצי ה- Script הדרושים הזמינים מתוך ספריית המשנה Tools של Microsoft Defender for Endpoint Client Analyzer.
לדוגמה, כדי לקבל את החיישן הבסיסי ואת יומני תקינות המכשיר, הבא
..\Tools\MDELiveAnalyzer.ps1
.אם אתה זקוק גם ליומני תמיכה של האנטי-וירוס של Microsoft Defender (
MpSupportFiles.cab
), הבא ...\Tools\MDELiveAnalyzerAV.ps1
הפעל הפעלה של Live Response במחשב שעליך לחקור.
בחר העלה קובץ לספריה.
בחר בחר קובץ.
בחר את הקובץ שהורדת בשם
MDELiveAnalyzer.ps1
ולאחר מכן בחר באפשרות אשר.בזמן שאתה עדיין בהפעלה של LiveResponse, השתמש בפקודות הבאות כדי להפעיל את המנתח ולאסוף את הקובץ המתבצע.
Run MDELiveAnalyzer.ps1 GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDEClientAnalyzerResult.zip"
מידע נוסף
ניתן להוריד את גירסת ה- Preview העדכנית ביותר של MDEClientAnalyzer כאן: https://aka.ms/Betamdeanalyzer.
קובץ ה- Script של LiveAnalyzer מוריד את חבילת פתרון הבעיות במחשב היעד מ:
https://mdatpclientanalyzer.blob.core.windows.net
.אם אינך יכול לאפשר למחשב להגיע אל כתובת ה- URL שלעיל,
MDEClientAnalyzerPreview.zip
העלה קובץ לספריה לפני הפעלת קובץ ה- Script של LiveAnalyzer:PutFile MDEClientAnalyzerPreview.zip -overwrite Run MDELiveAnalyzer.ps1 GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDEClientAnalyzerResult.zip"
לקבלת מידע נוסף אודות איסוף נתונים באופן מקומי במחשב למקרה שהמכונה אינה מקיים תקשורת עם שירותי הענן של Microsoft Defender for Endpoint, או אינה מופיעה בפורטל Microsoft Defender for Endpoint כצפוי, ראה אימות קישוריות לקוח לכתובות URL של שירות Microsoft Defender for Endpoint.
כפי שמתואר בדוגמאות של פקודות תגובה חיה,
&
ייתכן שתרצה להשתמש בסימן בסוף הפקודה כדי לאסוף יומני רישום כפעולה ברקע:Run MDELiveAnalyzer.ps1&
לינוקס
ניתן להוריד את הכלי XMDE Client Analyzer כחבילה בינארית או Python שניתן לחלץ ולבצע במחשבי Linux. ניתן לבצע את שתי הגירסאות של מנתח הלקוח של XMDE במהלך הפעלת תגובה חיה.
דרישות מוקדמות
להתקנה נדרשת
unzip
החבילה.לביצוע החבילה
acl
נדרשת.
חשוב
חלון משתמש בתווים הבלתי נראים החזרת גררה והזנות שורה כדי לייצג את סוף שורה אחת ואת תחילתה של שורה חדשה בקובץ, אך מערכות Linux משתמשות רק בתו הבלתי נראה הזנת שורה בסוף שורות הקובץ שלו. בעת שימוש בקבצי ה- Script הבאים, אם נעשה זאת ב- Windows, הבדל זה עלול לגרום לשגיאות ולכשלים של קבצי ה- Script לפעול. פתרון פוטנציאלי זה הוא לנצל את מערכת המשנה של Windows עבור Linux dos2unix
ואת החבילה כדי לעצב מחדש את קובץ ה- Script כך שהוא תואם לתקן של תבנית Unix ו- Linux.
התקנת מנתח הלקוח של XMDE
שתי הגירסאות של XMDE Client Analyzer, binary ו- Python, חבילה עצמאית שיש להוריד ולחלץ אותה לפני ביצועה, ואת ערכת השלבים המלאה עבור תהליך זה ניתן למצוא:
בשל הפקודות המוגבלת הזמינות בתגובה חיה, יש לבצע את השלבים המפורטים בקובץ Script של Bash, ועל-ידי פיצול חלק ההתקנה והביצוע של פקודות אלה, ניתן להפעיל את קובץ ה- Script של ההתקנה פעם אחת, בעת הפעלת קובץ ה- Script של הביצוע כמה פעמים.
חשוב
קבצי ה- Script לדוגמה מניחים שלמכונה יש גישה ישירה לאינטרנט, ובאפשרותך לאחזר את מנתח לקוח XMDE מ- Microsoft. אם למחשב אין גישה ישירה לאינטרנט, יהיה צורך לעדכן את קבצי ה- Script של ההתקנה כדי להביא את מנתח הלקוח של XMDE ממיקום שבו המחשבים יוכלו לגשת בהצלחה.
קובץ Script להתקנה של Binary Client Analyzer
קובץ ה- Script הבא מבצע את ששת השלבים הראשונים של הפעלת הגירסה הבינארית של מנתח הלקוח. לסיום, הבינארי של מנתח לקוח XMDE זמין במדריך הכתובות /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
.
צור קובץ Bash והדבק
InstallXMDEClientAnalyzer.sh
בו את התוכן הבא.#! /usr/bin/bash echo "Starting Client Analyzer Script. Running As:" whoami echo "Getting XMDEClientAnalyzerBinary" wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c echo "Unzipping XMDEClientAnalyzerBinary.zip" unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary echo "Unzipping SupportToolLinuxBinary.zip" unzip -q /tmp/XMDEClientAnalyzerBinary/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
קובץ Script להתקנה של Python Client Analyzer
קובץ ה- Script הבא מבצע את ששת השלבים הראשונים של הפעלת גירסת Python של מנתח הלקוח. לאחר שתסיים, קבצי ה- Script של Python עבור לקוח XMDE Analyzer יהיו זמינים במדריך הכתובות /tmp/XMDEClientAnalyzer
.
צור קובץ Bash והדבק
InstallXMDEClientAnalyzer.sh
בו את התוכן הבא.#! /usr/bin/bash echo "Starting Client Analyzer Install Script. Running As:" whoami echo "Getting XMDEClientAnalyzer.zip" wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c echo "Unzipping XMDEClientAnalyzer.zip" unzip -q XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer echo "Setting execute permissions on mde_support_tool.sh script" cd /tmp/XMDEClientAnalyzer chmod a+x mde_support_tool.sh echo "Performing final support tool setup" ./mde_support_tool.sh
הפעלת קבצי Script של התקנת Client Analyzer
הפעל הפעלה של Live Response במחשב שעליך לחקור.
בחר העלה קובץ לספריה.
בחר בחר קובץ.
בחר את הקובץ שהורדת בשם
InstallXMDEClientAnalyzer.sh
ולאחר מכן בחר אשר.בזמן שאתה עדיין בהפעלה של LiveResponse, השתמש בפקודות הבאות כדי להתקין את המנתח:
run InstallXMDEClientAnalyzer.sh
הפעלת מנתח הלקוח של XMDE
Live Response אינו תומך בהפעלת XMDE Client Analyzer או Python ישירות, ולכן יש צורך בקובץ Script לביצוע.
חשוב
קבצי ה- Script הבאים נכתבו מתוך ההנחה ש- XMDE Client Analyzer הותקן באמצעות אותם מיקומים מתוך קבצי ה- Script שהוזכרו קודם לכן. אם הארגון שלך בחר להתקין את קבצי ה- Script במיקום אחר, יש לעדכן את קבצי ה- Script הבאים כדי להתיישר עם מיקום ההתקנה שנבחר על-ידי הארגון שלך.
קובץ Script של הפעלת מנתח הלקוח הבינארי
מנתח הלקוח הבינארי מקבל פרמטרים של שורת הפקודה כדי לבצע בדיקות ניתוח שונות. כדי לספק יכולות דומות במהלך תגובה חיה, קובץ ה- Script $@
של הביצוע מנצל את משתנה ה- Bash כדי להעביר את כל פרמטרי הקלט שסופקו ל- Script למנתח הלקוח של XMDE.
צור קובץ Bash והדבק
MDESupportTool.sh
בו את התוכן הבא.#! /usr/bin/bash echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer" cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer echo "Running MDESupportTool" ./MDESupportTool $@
קובץ Script של הפעלת Python Client Analyzer
Python Client Analyzer מקבל פרמטרים של שורת הפקודה כדי לבצע בדיקות ניתוח שונות. כדי לספק יכולות דומות במהלך תגובה חיה, קובץ ה- Script $@
של הביצוע מנצל את משתנה ה- Bash כדי להעביר את כל פרמטרי הקלט שסופקו ל- Script למנתח הלקוח של XMDE.
צור קובץ Bash והדבק
MDESupportTool.sh
בו את התוכן הבא.#! /usr/bin/bash echo "cd /tmp/XMDEClientAnalyzer" cd /tmp/XMDEClientAnalyzer echo "Running mde_support_tool" ./mde_support_tool.sh $@
הפעלת קובץ ה- Script של מנתח הלקוח
הערה
אם יש לך הפעלה פעילה של Live Response, באפשרותך לדלג על שלב 1.
הפעל הפעלה של Live Response במחשב שעליך לחקור.
בחר העלה קובץ לספריה.
בחר בחר קובץ.
בחר את הקובץ שהורדת בשם
MDESupportTool.sh
ולאחר מכן בחר אשר.בזמן שאתה עדיין בהפעלה של Live Response, השתמש בפקודות הבאות כדי להפעיל את המנתח ולאסוף את הקובץ המתוצא.
run MDESupportTool.sh -parameters "--bypass-disclaimer -d" GetFile "/tmp/your_archive_file_name_here.zip"
למידע נוסף
- מבט כולל על מנתח הלקוח
- הורד ולהפעל את מנתח הלקוח
- הפעל את מנתח הלקוח ב- Windows
- הפעל את מנתח הלקוח ב- macOS או ב- Linux
- איסוף נתונים לפתרון בעיות מתקדם ב- Windows
- הבן את דוח ה- HTML של המנתח
עצה
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילה הטכנית שלנו: Microsoft Defender for Endpoint Tech Community.
משוב
https://aka.ms/ContentUserFeedback.
בקרוב: במהלך 2024, נפתור בעיות GitHub כמנגנון המשוב לתוכן ונחליף אותו במערכת משוב חדשה. לקבלת מידע נוסף, ראה:שלח והצג משוב עבור