Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ha problémákat tapasztal a Linuxon futó Végponthoz készült Microsoft Defender kapcsolatban, és támogatásra van szüksége, előfordulhat, hogy a rendszer megkéri, hogy adja meg az ügyfélelemző eszköz kimenetét. Ez egy diagnosztikai eszköz, amely segít a rendszergazdáknak és a támogatási csapatoknak a Végponthoz készült Microsoft Defender kapcsolatos problémák elhárításában. Részletes információkat gyűjt a telepítésről, a konfigurációról, a szolgáltatás állapotáról, a naplókról, a kapcsolat állapotáról stb. Ez az eszköz elsősorban a rendszer állapotának ellenőrzésére, a konfigurációk ellenőrzésére és a lehetséges problémák elhárítására szolgál.
Ez a cikk azt ismerteti, hogyan használhatja az eszközt az eszközön vagy élő válaszokkal. Használhat Python-alapú megoldást vagy olyan bináris verziót, amely nem igényel Pythont.
Tipp
Tekintse meg ezt a videót, amely áttekintést nyújt az ügyfélelemzőről: Végponthoz készült Defender ügyfélelemző áttekintése
Az ügyfélelemző bináris verziójának futtatása
Az ügyfélelemző bináris verziója kétféleképpen érhető el:
- A Linuxhoz készült Microsoft Defender
- Önálló eszközként szállítva
Futtassa a Linuxhoz készült Microsoft Defender-hez mellékelt Client Analyzer bináris fájlt:
Megjegyzés:
A Végponthoz készült Defender verziójától 101.25082.0000kezdve az Ügyfélelemzőt egy ügynök szállítja. A következő helyen található: /opt/microsoft/mdatp/tools/client_analyzer/binary
Az ügyfélelemző futtatásához kövesse az alábbi lépéseket:
Nyissa meg a könyvtárat
/opt/microsoft/mdatp/tools/client_analyzer/binary:cd /opt/microsoft/mdatp/tools/client_analyzer/binaryDiagnosztikai csomag létrehozásához futtassa az eszközt gyökérként :
sudo ./MDESupportTool -d
Az Ügyfélelemző önálló bináris eszköz letöltése és futtatása
Kövesse az alábbi lépéseket az önálló ClientAnalyzer bináris használatához
Töltse le az XMDE Ügyfélelemző bináris eszközt a vizsgálni kívánt Linux-gépre. Terminál használata esetén töltse le az eszközt a következő paranccsal:
wget --quiet -O XMDEClientAnalyzerBinary.zip "https://go.microsoft.com/fwlink/?linkid=2336125"Ellenőrizze a letöltést:
echo '0C8F010D09557478E0CF626D439D5F7EAB1F6C7EEFF69FF1E98A7289520983E1 XMDEClientAnalyzerBinary.zip' | sha256sum -cBontsa
XMDEClientAnalyzerBinary.zipki a tartalmát a gépen.unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinaryMódosítsa a könyvtárat:
cd XMDEClientAnalyzerBinaryKét új zip-fájl készül:
- SupportToolLinuxamd64Binary.zip: x86 Linux-eszközök esetén
- SupportToolLinuxarm64Binary.zip: ARM Linux-eszközök esetén
Bontsa ki a külön zip-fájlt a Linux operációs rendszer architektúrája alapján. Itt például a
SupportToolLinuxamd64Binary.zipfájlt használjuk.unzip -q SupportToolLinuxamd64Binary.zipDiagnosztikai csomag létrehozásához futtassa az eszközt gyökérként :
sudo ./MDESupportTool -d
A Python-alapú ügyfélelemző futtatása
Az ügyfélelemző Python-verziója kétféleképpen érhető el:
- A Linuxhoz készült Microsoft Defender
- Önálló eszközként szállítva
Megjegyzés:
- Az elemző néhány további PIP-csomagtól (
decorator, ,distro,lxmléspsutil) függ,shamelyek az operációs rendszerben vannak telepítve, ha a gyökérben vannak az eredménykimenet létrehozásához. Ha nincs telepítve, az elemző megpróbálja lekérni a Python-csomagok hivatalos adattárából. - Emellett az eszköznek jelenleg a Python 3- vagy újabb verziójára van szüksége az eszközön.
- A MDE Linux 1.7.0-s verziójához készült Client Analyzerrel kezdve a Python-alapú ügyfélelemző pythonos virtuális környezetben (venv) való futtatásának támogatása érhető el. A virtuális környezet használata nem kötelező, és nem kötelező.
- Ha az eszköz proxy mögött található, akkor környezeti változóként továbbíthatja a proxykiszolgálót a
mde_support_tool.shszkriptnek. Például:https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh".
Figyelmeztetés
A Python-alapú ügyfélelemző futtatásához PIP-csomagok telepítése szükséges, amelyek problémákat okozhatnak a környezetben. A problémák elkerülése érdekében javasoljuk, hogy telepítse a csomagokat egy felhasználói PIP-környezetbe.
A Linuxhoz készült Microsoft Defender-hez mellékelt Client Analyzer Python-verzió futtatása
Megjegyzés:
A Végponthoz készült Defender verziójától 101.25082.0000kezdve az Ügyfélelemzőt egy ügynök szállítja. A következő helyen található: /opt/microsoft/mdatp/tools/client_analyzer/python
Az ügyfélelemző futtatásához kövesse az alábbi lépéseket:
Lépjen a könyvtárba
/opt/microsoft/mdatp/tools/client_analyzer/python:cd /opt/microsoft/mdatp/tools/client_analyzer/pythonFuttassa a parancsot gyökérszintű felhasználóként a szükséges függőségek telepítéséhez.
sudo ./mde_support_tool.shA diagnosztikai csomag gyűjtéséhez és az eredményarchívumfájl létrehozásához futtassa újra a parancsot gyökérként.
sudo ./mde_support_tool.sh -d
Az Ügyfélelemző önálló Python-verziójának letöltése és futtatása
Töltse le az XMDE ügyfélelemző eszközt a vizsgálni kívánt Linux-gépen. Terminál használata esetén töltse le az eszközt a következő paranccsal:
wget --quiet -O XMDEClientAnalyzerPython.zip "https://go.microsoft.com/fwlink/?linkid=2336046"Ellenőrizze a letöltést:
echo '62F92CD9D191063663FBAC7B29E1C967C8F9A30B9B769DA5E968FC4276C1F030 XMDEClientAnalyzerPython.zip' | sha256sum -cBontsa
XMDEClientAnalyzer.zipki a tartalmát a gépen:unzip -q XMDEClientAnalyzerPython.zip -d XMDEClientAnalyzerPythonMódosítsa a könyvtárat:
cd XMDEClientAnalyzerPythonAdjon végrehajtható engedélyt az eszköznek:
chmod a+x mde_support_tool.shFuttassa a parancsot nem kötelező felhasználóként a szükséges függőségek telepítéséhez:
./mde_support_tool.shA diagnosztikai csomag gyűjtéséhez és az eredményarchívumfájl létrehozásához futtassa újra a parancsot gyökérként:
sudo ./mde_support_tool.sh -d
Tipp
Ebből a videóból többet is megtudhat az előkészítési problémákról: Végponthoz készült Defender ügyfélelemző előkészítési problémái
Parancssori beállítások
Az alábbiakban az ügyfélelemző által biztosított parancssori beállításokat találja:
usage: MDESupportTool [-h] [--output OUTPUT] [--outdir OUTDIR] [--no-zip]
[--force] [--diagnostic] [--skip-mdatp]
[--bypass-disclaimer] [--interactive] [--delay DELAY]
[--mdatp-log {trace,info,warning,error,debug,verbose}]
[--max-log-size MAX_LOG_SIZE]
{certinfocollection,performance,installation,exclude,ratelimit,skipfaultyrules,trace,observespikes,connectivitytest}
...
MDE Diagnostics Tool
positional arguments:
{certinfocollection,performance,installation,exclude,ratelimit,skipfaultyrules,trace,observespikes,connectivitytest}
certinfocollection Collect cert information: Subject name and Hashes
performance Collect extensive machine performance tracing for
analysis of a performance scenario that can be
reproduced on demand
installation Collect different installation/onboarding reports
exclude Exclude specific processes from audit-d monitoring.
ratelimit Set the rate limit for auditd events. Rate limit will
update the limits for auditd events for all the
applications using auditd, which could impact
applications other than MDE.
skipfaultyrules Continue loading rules in spite of an error. This
summarizes the results of loading the rules. The exit
code will not be success if any rule fails to load.
trace Use OS tracing facilities to record Defender
performance traces.
observespikes Collect the process logs in case of spike or mdatp
crash
connectivitytest Perform connectivity test for MDE
optional arguments:
-h, --help show this help message and exit
--output OUTPUT, -o OUTPUT
Output path to export report
--outdir OUTDIR Directory where diagnostics file will be generated.
--no-zip, -nz If set a directory will be created instead of an
archive file.
--force, -f Will overwrite if output directory exists.
--diagnostic, -d Collect extensive machine diagnostic information.
--skip-mdatp Skip any mdatp command. Use this when the mdatp
command is unresponsive.
--bypass-disclaimer Do not display disclaimer banner.
--interactive, -i Interactive diagnostic,
--delay DELAY, -dd DELAY
Delay diagnostic by how many minutes (0~2880), use
this to wait for more debug logs before it collects.
--mdatp-log {trace,info,warning,error,debug,verbose}
Set MDATP log level. If you use interactive or delay
mode, the log level will set to debug automatically,
and reset after 48h.
--max-log-size MAX_LOG_SIZE
Maximum log file size in MB before rotating(Will
restart mdatp).
Diagnosztikai mód
A diagnosztikai mód a gépi adatok széles halmazának, például a memóriának, a lemeznek és az MDATP-naplóknak a gyűjtésére szolgál. Ez a fájlkészlet biztosítja a végponthoz készült Defender hibáinak elhárításához szükséges elsődleges információkat.
A támogatott lehetőségek a következők:
optional arguments:
-h, --help show this help message and exit
--output OUTPUT, -o OUTPUT
Output path to export report
--outdir OUTDIR Directory where diagnostics file will be generated.
--no-zip, -nz If set a directory will be created instead of an
archive file.
--force, -f Will overwrite if output directory exists.
--diagnostic, -d Collect extensive machine diagnostic information.
--skip-mdatp Skip any mdatp command. Use this when the mdatp
command is unresponsive.
--bypass-disclaimer Do not display disclaimer banner.
--interactive, -i Interactive diagnostic,
--delay DELAY, -dd DELAY
Delay diagnostic by how many minutes (0~2880), use
this to wait for more debug logs before it collects.
--mdatp-log {trace,info,warning,error,debug,verbose}
Set MDATP log level. If you use interactive or delay
mode, the log level will set to debug automatically,
and reset after 48h.
--max-log-size MAX_LOG_SIZE
Maximum log file size in MB before rotating(Will
restart mdatp).
Példa használati adatokra: sudo ./MDESupportTool -d
Megjegyzés:
A naplószintű automatikus halmaz funkció csak az ügynök 101.24052.0002-es vagy újabb verziójában érhető el.
A mód használatakor létrehozott fájlokat az alábbi táblázat foglalja össze:
| Fájl | Megjegyzések |
|---|---|
mde_diagnostic.zip |
Végponthoz készült Defender naplói és konfigurációi |
health.txt |
A Végponthoz készült Defender állapota (Csak akkor jelenik meg, ha a Végponthoz készült Defender telepítve van) |
health_details_features.txt |
A Végponthoz készült Defender egyéb funkcióinak állapota (Csak akkor jelenik meg, ha a Végponthoz készült Defender telepítve van) |
permissions.txt |
Engedélyekkel kapcsolatos problémák a Végponthoz készült Defender tulajdonában/használatában lévő mappákkal kapcsolatban (Csak akkor jelenik meg, ha a Végponthoz készült Defender telepítve van) |
crashes |
A Végponthoz készült Defender által létrehozott összeomlási memóriaképek |
process_information.txt |
A gépen az eszköz futtatásakor futó folyamat |
proc_directory_info.txt |
Végponthoz készült Defender-folyamatok virtuális memóriájának leképezése (Csak akkor jelenik meg, ha a Végponthoz készült Defender telepítve van) |
auditd_info.txt |
Naplózott állapot, szabályok, naplók |
auditd_log_analysis.txt |
A naplózott események összegzése |
auditd_logs.zip |
Auditált naplófájlok |
ebpf_kernel_config.txt |
Jelenleg betöltött Linux-kernelkonfiguráció |
ebpf_enabled_func.txt |
A nyomkövetéshez jelenleg engedélyezett kernelfüggvények listája |
ebpf_syscalls.zip |
Információk a rendszerhívások nyomkövetéséről |
ebpf_raw_syscalls.zip |
Nyers rendszerhívásokhoz kapcsolódó események nyomon követése |
ebpf_maps_info.txt |
Az eBPF térképek azonosító- és méretadatai |
syslog.zip |
A /var/log/syslog alatti fájlok |
messages.zip |
A /var/log/messages mappában lévő fájlok |
conflicting_processes_information.txt |
Végponthoz készült Defender ütköző folyamatai |
exclusions.txt |
A víruskereső kizárásainak listája |
definitions.txt |
Víruskereső definíciós információi |
mde_directories.txt |
A Végponthoz készült Defender címtáraiban található fájlok listája |
disk_usage.txt |
Lemezhasználat részletei |
mde_user.txt |
Végponthoz készült Defender – felhasználói adatok |
mde_definitions_mount.txt |
Végponthoz készült Defender-definíciók csatlakoztatási pontja |
service_status.txt |
Végponthoz készült Defender szolgáltatás állapota |
service_file.txt |
Végponthoz készült Defender szolgáltatásfájl |
hardware_info.txt |
Hardverinformációk |
mount.txt |
Csatlakoztatási pont adatai |
uname.txt |
Kerneladatok |
memory.txt |
Rendszermemória adatai |
meminfo.txt |
Részletes információk a rendszer memóriahasználatáról |
cpuinfo.txt |
CPU-információk |
lsns_info.txt |
Linux-névtér adatai |
lsof.txt |
Végponthoz készült Defender – Fájlleírók – információk (lásd a táblázat utáni megjegyzést) |
sestatus.txt |
Végponthoz készült Defender – Fájlleírók – információk |
lsmod.txt |
Modulok állapota a Linux-kernelben |
dmesg.txt |
A kernelkörpuffer üzenetei |
kernel_lockdown.txt |
kernelzárolási információ |
rtp_statistics.txt |
A Végponthoz készült Defender valós idejű védelme (RTP) statisztikái (Csak akkor jelenik meg, ha a Végponthoz készült Defender telepítve van) |
libc_info.txt |
libc library information |
uptime_info.txt |
A legutóbbi újraindítás óta eltelt idő |
last_info.txt |
A legutóbb bejelentkezett felhasználók listája |
locale_info.txt |
Aktuális területi beállítás megjelenítése |
tmp_files_owned_by_mdatp.txt |
A csoport tulajdonában lévő /tmp fájlok: mdatp (Csak akkor jelenik meg, ha a Végponthoz készült Defender telepítve van) |
mdatp_config.txt |
A Végponthoz készült Defender összes konfigurációja (Csak akkor jelenik meg, ha a Végponthoz készült Defender telepítve van) |
mpenginedb.dbmpenginedb.db-walmpenginedb.db-shm |
Víruskereső-definíciók fájlja (Csak akkor jelenik meg, ha a Végponthoz készült Defender telepítve van) |
iptables_rules.txt |
Linux iptables-szabályok |
network_info.txt |
Hálózati információk |
sysctl_info.txt |
kernelbeállítások adatai |
hostname_diagnostics.txt |
Gazdagépnév diagnosztikai adatai |
mde_event_statistics.txt |
Végponthoz készült Defender eseménystatisztikái (Csak akkor jelenik meg, ha a Végponthoz készült Defender telepítve van) |
mde_ebpf_statistics.txt |
Végponthoz készült Defender eBPF-statisztikái (Csak akkor jelenik meg, ha a Végponthoz készült Defender telepítve van) |
kernel_logs.zip |
Kernelnaplók |
mdc_log.zip |
Microsoft Defender felhőnaplókhoz |
netext_config.txt |
|
threat_list.txt |
A Végponthoz készült Defender által észlelt fenyegetések listája (Csak akkor jelenik meg, ha a Végponthoz készült Defender telepítve van) |
top_output.txt |
A gépen az eszköz futtatásakor futó folyamat |
top_summary.txt |
A futó folyamat memória- és PROCESSZORhasználat-elemzése |
Nem kötelező argumentumok az Ügyfélelemzőhöz
Az Ügyfélelemző a következő választható argumentumokat biztosítja a további adatgyűjtéshez:
Teljesítményadatok gyűjtése
Gyűjtse össze a Végponthoz készült Defender-folyamatok kiterjedt gépi teljesítménykövetését egy igény szerint reprodukálható teljesítményforgatókönyv elemzéséhez.
-h, --help show this help message and exit
--frequency FREQUENCY
profile at this frequency
--length LENGTH length of time to collect (in seconds)
Példa használati adatokra: sudo ./MDESupportTool performance --frequency 500
Az alábbiakban látható a mód használatakor létrehozott fájl:
| Fájl | Megjegyzések |
|---|---|
perf_benchmark.tar.gz |
A Végponthoz készült Defender feldolgozza a teljesítményadatokat |
Megjegyzés:
A diagnosztikai módnak megfelelő fájlok is létrejönnek.
A tar a következő formátumú <pid of a MDE process>.datafájlokat tartalmazza: .
Az adatfájl a következő paranccsal olvasható:
perf report -i <pid>.data
Kapcsolati teszt futtatása
Ez a mód ellenőrzi, hogy a Végponthoz készült Defender által igényelt felhőerőforrások elérhetők-e.
-h, --help show this help message and exit
-o ONBOARDING_SCRIPT, --onboarding-script ONBOARDING_SCRIPT
Path to onboarding script
-g GEO, --geo GEO Geo string to test <US|UK|EU|AU|CH|IN>
Példa használati adatokra:
sudo ./MDESupportTool connectivitytest -o ~/MicrosoftDefenderATPOnboardingLinuxServer.py`
A képernyőn megjelenő kimenet azt mutatja, hogy az URL-címek elérhetők-e vagy sem.
Különböző telepítési/előkészítési jelentések gyűjtése
Ez a mód összegyűjti a telepítéssel kapcsolatos információkat, például a disztribúciót és a rendszerkövetelményeket.
-h, --help show this help message and exit
-d, --distro Check for distro support
-m, --min-requirement Check for the system info against offical minimum requirements
-e, --external-dep Check for externel package dependency
-c, --connectivity Check for connectivity for services used by MDE
-a, --all Run all checks
-o ONBOARDING_SCRIPT, --onboarding-script ONBOARDING_SCRIPT
Path to onboarding script
-g GEO, --geo GEO Geo string to test <US|UK|EU|AU|CH|IN>
Példa használati adatokra:
sudo ./MDESupportTool installation --all
A rendszer egyetlen jelentést installation_report.json hoz létre. A fájlban található kulcsok a következők:
| Kulcs | Megjegyzések |
|---|---|
| agent_version | A Végponthoz készült Defender telepített verziója. |
| onboarding_status | Az előkészítési és csengetési információk |
| support_status | MDE a jelenlegi rendszerkonfigurációk támogatják. |
| Disztribúció | Az a disztribúció, amelyre az ügynök telepítve van, támogatott vagy nem. |
| connectivitytest | A kapcsolati tesztek állapota. |
| min_requirement | A processzorra és a memóriára vonatkozó minimális követelmények teljesülnek. |
| external_depedency | A külső függőségek teljesülnek vagy sem. |
| mde_health | Az MDE-ügynök állapota |
| folder_perm | A szükséges mappaengedélyek teljesülnek vagy sem. |
Kizárási mód
Ez a mód kivételeket ad a figyeléshez audit-d .
-h, --help show this help message and exit
-e <executable>, --exe <executable>
exclude by executable name, i.e: bash
-p <process id>, --pid <process id>
exclude by process id, i.e: 911
-d <directory>, --dir <directory>
exclude by target path, i.e: /var/foo/bar
-x <executable> <directory>, --exe_dir <executable> <directory>
exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
-q <q_size>, --queue <q_size>
set dispatcher q_depth size
-r, --remove remove exclusion file
-s, --stat get statistics about common executables
-l, --list list auditd rules
-o, --override Override the existing auditd exclusion rules file for mdatp
-c <syscall number>, --syscall <syscall number>
exclude all process of the given syscall
Példa használati adatokra:
sudo ./MDESupportTool exclude -d /var/foo/bar`
AuditD rate limiter
Ez a beállítás globálisan beállítja az AuditD sebességkorlátját, ami az összes naplózási esemény csökkenését okozza. Ha a korlátozó engedélyezve van, a naplózott események másodpercenként 2500 eseményre korlátozódnak. Ez a lehetőség olyan esetekben használható, amikor magas processzorhasználatot látunk az AuditD oldalról.
-h, --help show this help message and exit
-e <true/false>, --enable <true/false> enable/disable the rate limit with default values
Példa használati adatokra:
sudo ./mde_support_tool.sh ratelimit -e true
Megjegyzés:
Ezt a funkciót körültekintően kell használni, mivel korlátozza a naplózott alrendszer által az egészre vonatkozó jelentések eseményeinek számát. Ez csökkentheti a többi előfizető eseményeinek számát is.
AuditD – Hibás szabályok kihagyása
Ez a beállítás lehetővé teszi, hogy a betöltés során kihagyja a naplózott szabályok fájljában hozzáadott hibás szabályokat. Lehetővé teszi, hogy a naplózott alrendszer továbbra is betöltse a szabályokat, még akkor is, ha hibás szabály van.
-h, --help show this help message and exit
-e <true/false>, --enable <true/false> enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.
Példa használati adatokra:
sudo ./mde_support_tool.sh skipfaultyrules -e true
Megjegyzés:
Ez a funkció kihagyja a hibás szabályokat. A hibás szabályokat tovább kell azonosítani és kijavítani.
Élő válasz használata a Végponthoz készült Defenderben támogatási naplók gyűjtéséhez
Az XMDE ügyfélelemző eszköz bináris vagy Python-csomagként tölthető le, amely kinyerhető és futtatható Linux rendszerű gépeken. Az XMDE-ügyfélelemző mindkét verziója végrehajtható egy élő válasz munkamenet során.
- A telepítéshez a
unzipcsomagra van szükség. - A végrehajtáshoz a
aclcsomagra van szükség.
Fontos
A Window a Kocsivissza és a Sortörés láthatatlan karaktert használja egy fájl egy sorának és egy új sorának elejére, a Linux-rendszerek azonban csak a sortörés láthatatlan karakterét használják a fájlsorok végén. Ha a következő szkripteket használja, windowsos környezetben ez a különbség a futtatandó szkriptek hibáit és hibáit eredményezheti. Ennek egyik lehetséges megoldása, ha a Linuxos Windows-alrendszer és a dos2unix csomag használatával újraformázza a szkriptet, hogy az megfeleljen a Unix és a Linux formátum szabványának.
Az XMDE ügyfélelemző telepítése
Töltse le és bontsa ki az XMDE ügyfélelemzőt. A bináris vagy a Python-verziót az alábbiak szerint használhatja:
Az élő válaszban elérhető korlátozott parancsok miatt a részletes lépéseket bash-szkriptben kell végrehajtani. A parancsok telepítési és végrehajtási részének felosztásával egyszer futtathatja a telepítési szkriptet, és többször is futtathatja a végrehajtási szkriptet.
Fontos
A példaszkriptek feltételezik, hogy a gép közvetlen internet-hozzáféréssel rendelkezik, és le tudja kérni az XMDE ügyfélelemzőt a Microsofttól. Ha a gép nem rendelkezik közvetlen internet-hozzáféréssel, akkor a telepítési szkripteket frissíteni kell, hogy az XMDE-ügyfélelemzőt olyan helyről kérje le, amelyhez a gépek sikeresen hozzáférnek.
Bináris ügyfélelemző telepítési szkriptje
A következő szkript végrehajtja az Ügyfélelemző bináris verziójának futtatása első hat lépését. Ha elkészült, az XMDE-ügyfélelemző bináris fájlja elérhető a /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer könyvtárból.
Hozzon létre egy Bash-fájlt
InstallXMDEClientAnalyzer.sh, és illessze be a következő tartalmat.#! /usr/bin/bash echo "Starting Client Analyzer Script. Running As:" whoami echo "Getting XMDEClientAnalyzerBinary" wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary echo 'C65A4E4C6851D130942BFACD147A9D18B8A92B4F50FACF519477FD1C41A1C323 /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c echo "Unzipping XMDEClientAnalyzerBinary.zip" unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary echo "Unzipping SupportToolLinuxBinary.zip" unzip -q /tmp/XMDEClientAnalyzerBinary/XMDEClientAnalyzer/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
Python-ügyfélelemző telepítési szkriptje
A következő szkript végrehajtja az Ügyfélelemző Python-verziójának futtatásának első hat lépését. Ha elkészült, az XMDE Ügyfélelemző Python-szkriptjei elérhetők a /tmp/XMDEClientAnalyzer könyvtárból.
Hozzon létre egy Bash-fájlt
InstallXMDEClientAnalyzer.sh, és illessze be a következő tartalmat.#! /usr/bin/bash echo "Starting Client Analyzer Install Script. Running As:" whoami echo "Getting XMDEClientAnalyzer.zip" wget --quiet -O /tmp/XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer echo '07E6A7B89E28A78309D5B6F1E25E4CDFBA9CA141450E422D76441C03AD3477E7 /tmp/XMDEClientAnalyzer.zip' | sha256sum -c echo "Unzipping XMDEClientAnalyzer.zip" unzip -q /tmp/XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer echo "Setting execute permissions on mde_support_tool.sh script" cd /tmp/XMDEClientAnalyzer chmod a+x mde_support_tool.sh echo "Performing final support tool setup" ./mde_support_tool.sh
Tipp
Ebből a videóból többet is megtudhat a végpontbeállításokról: Végponthoz készült Defender ügyfélelemző végpontbeállításai
Az ügyfélelemző telepítési szkriptjeinek futtatása
Kezdeményezhet egy élő válasz-munkamenetet a vizsgálni kívánt gépen.
Válassza a Fájl feltöltése a tárba lehetőséget.
Válassza a Fájl kiválasztása lehetőséget.
Válassza ki a nevű letöltött fájlt
InstallXMDEClientAnalyzer.sh, majd válassza a Megerősítés lehetőséget.Miközben továbbra is a LiveResponse-munkamenetben van, az elemző telepítéséhez használja a következő parancsokat:
run InstallXMDEClientAnalyzer.sh
Az XMDE-ügyfélelemző futtatása
Az élő válasz nem támogatja az XMDE-ügyfélelemző vagy a Python közvetlen futtatását, ezért végrehajtási szkriptre van szükség.
Fontos
A következő szkriptek feltételezik, hogy az XMDE-ügyfélelemző a korábban említett szkriptek ugyanazon helyeinek használatával lett telepítve. Ha a szervezete úgy dönt, hogy a szkripteket egy másik helyre telepíti, akkor a parancsfájlokat frissíteni kell, hogy igazodjanak a szervezet által választott telepítési helyhez.
Szkript a bináris ügyfélelemző végrehajtásához
Az ügyfélelemző bináris verziója a különböző elemzési tesztek végrehajtásához parancssori paramétereket fogad el. Ahhoz, hogy az élő válasz során hasonló képességeket biztosítson, a végrehajtási szkript a $@ bash változót használja a szkripthez megadott összes bemeneti paraméter átadásához az XMDE ügyfélelemzőnek.
Hozzon létre egy Bash-fájlt
MDESupportTool.sh, és illessze be a következő tartalmat.#! /usr/bin/bash echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer" cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer echo "Running MDESupportTool" ./MDESupportTool $@
Szkript a Python-ügyfélelemző végrehajtásához
Az ügyfélelemző Python-verziója parancssori paramétereket fogad el a különböző elemzési tesztek végrehajtásához. Ahhoz, hogy az élő válasz során hasonló képességeket biztosítson, a végrehajtási szkript a $@ bash változót használja a szkripthez megadott összes bemeneti paraméter átadásához az XMDE ügyfélelemzőnek.
Hozzon létre egy Bash-fájlt
MDESupportTool.sh, és illessze be a következő tartalmat.#! /usr/bin/bash echo "cd /tmp/XMDEClientAnalyzer" cd /tmp/XMDEClientAnalyzer echo "Running mde_support_tool" ./mde_support_tool.sh $@
Az ügyfélelemző szkript futtatása
Megjegyzés:
Ha aktív élő válaszmunkamenete van, kihagyhatja az 1. lépést.
Kezdeményezhet egy élő válasz-munkamenetet a vizsgálni kívánt gépen.
Válassza a Fájl feltöltése a tárba lehetőséget.
Válassza a Fájl kiválasztása lehetőséget.
Válassza ki a nevű letöltött fájlt
MDESupportTool.sh, majd válassza a Megerősítés lehetőséget.Miközben még az élő válasz munkamenetében van, az alábbi parancsokkal futtassa az elemzőt, és gyűjtse össze az eredményként kapott fájlt:
run MDESupportTool.sh -parameters "--bypass-disclaimer -d" GetFile "/tmp/your_archive_file_name_here.zip"
Lásd még
Végponthoz készült Defender Linuxon – hibaelhárítási dokumentumok
A linuxos Végponthoz készült Microsoft Defender telepítési problémáinak elhárítása
A linuxos Végponthoz készült Microsoft Defender felhőkapcsolati problémáinak elhárítása
A Linuxon futó Végponthoz készült Microsoft Defender teljesítményproblémáinak elhárítása
A végponthoz készült Microsoft Defenderben észlelt téves pozitív/negatív eredmények kezelése