Az ügyfélelemző futtatása macOS és Linux rendszeren
Érintett szolgáltatás:
Az XMDEClientAnalyzer a Linux vagy macOS rendszert futtató előkészített eszközök Végponthoz készült Microsoft Defender állapotával vagy megbízhatóságával kapcsolatos problémák diagnosztizálására szolgál.
Az ügyfélelemző eszköz kétféleképpen futtatható:
- Bináris verzió használata (Python-függőség nélkül)
- Python-alapú megoldás használata
Az ügyfélelemző bináris verziójának futtatása
Töltse le az XMDE Ügyfélelemző bináris eszközt a vizsgálni kívánt macOS- vagy Linux-gépre.
Terminál használata esetén töltse le az eszközt a következő paranccsal:wget --quiet -O XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary
Ellenőrizze a letöltést.
Megjegyzés:
Ennek aktuális SHA256-kivonata
XMDEClientAnalyzerBinary.zip
a következő hivatkozásból tölthető le:4E972F7950EA475A21735042484CD00CED6EA70ED9CBB48B4C9405FFD2706DFA
.Linux
echo "4E972F7950EA475A21735042484CD00CED6EA70ED9CBB48B4C9405FFD2706DFA XMDEClientAnalyzerBinary.zip" | sha256sum -c
- macOS ```console echo '4E972F7950EA475A21735042484CD00CED6EA70ED9CBB48B4C9405FFD2706DFA XMDEClientAnalyzerBinary.zip' | shasum -a 256 -c
Bontsa ki a gépen XMDEClientAnalyzerBinary.ziptartalmát.
Terminál használata esetén a következő paranccsal bontsa ki a fájlokat:
unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary
A következő parancs beírásával váltson az eszköz könyvtárára:
cd XMDEClientAnalyzerBinary
Két új zip-fájl készül:
- SupportToolLinuxBinary.zip : Minden Linux-eszköz esetén
- SupportToolMacOSBinary.zip : Mac-eszközök esetén
Bontsa ki a fenti 2 zip-fájl egyikét a vizsgálni kívánt gép alapján.
Terminál használata esetén bontsa ki a fájlt a következő parancsok egyikének megadásával az operációs rendszer típusa alapján:
Linux
unzip -q SupportToolLinuxBinary.zip
Mac
unzip -q SupportToolMacOSBinary.zip
Futtassa az eszközt gyökérként a diagnosztikai csomag létrehozásához:
sudo ./MDESupportTool -d
A Python-alapú ügyfélelemző futtatása
Megjegyzés:
Az elemző néhány további PIP-csomagtól (sh, disztribúció, lxml, pandas) függ, amelyek az operációs rendszerben vannak telepítve, amikor a gyökéren vannak az eredmény kimenetének előállításához. Ha nincs telepítve, az elemző megpróbálja lekérni a Python-csomagok hivatalos adattárából.
Figyelmeztetés
A Python-alapú ügyfélelemző futtatásához PIP-csomagok telepítése szükséges, amelyek problémákat okozhatnak a környezetben. A problémák elkerülése érdekében javasoljuk, hogy telepítse a csomagokat egy felhasználói PIP-környezetbe.
Emellett az eszköznek jelenleg a Python 3-at vagy újabb verzióját kell telepítenie.
Ha az eszköz proxy mögött található, egyszerűen átadhatja a proxykiszolgálót környezeti változóként a mde_support_tool.sh szkriptnek. Például:.
https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh"
Töltse le az XMDE ügyfélelemző eszközt a vizsgálni kívánt macOS- vagy Linux-gépre.
Ha terminált használ, töltse le az eszközt a következő parancs futtatásával:
wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer
A letöltés ellenőrzése
- Linux
echo 'E1C3D20516C849D8CD27257BB6084FBC2991B8F6214BF9121BB9B1446F95BB1F XMDEClientAnalyzer.zip' | sha256sum -c
- macOS
echo 'E1C3D20516C849D8CD27257BB6084FBC2991B8F6214BF9121BB9B1446F95BB1F XMDEClientAnalyzer.zip' | shasum -a 256 -c
Bontsa ki a XMDEClientAnalyzer.zip tartalmát a gépen. Ha terminált használ, bontsa ki a fájlokat a következő paranccsal:
unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzer
Módosítsa a könyvtárat a kibontott helyre.
cd XMDEClientAnalyzer
Adjon végrehajtható engedélyt az eszköznek:
chmod a+x mde_support_tool.sh
Futtassa a parancsot nem gyökérszintű felhasználóként a szükséges függőségek telepítéséhez:
./mde_support_tool.sh
A tényleges diagnosztikai csomag gyűjtéséhez és az eredményarchívumfájl létrehozásához futtassa újra a parancsot gyökérként:
sudo ./mde_support_tool.sh -d
Parancssori beállítások
Elsődleges parancssorok
A gép diagnosztikájának lekéréséhez használja a következő parancsot.
-h, --help show this help message and exit
--output OUTPUT, -o OUTPUT
Output path to export report
--outdir OUTDIR Directory where diagnostics file will be generated
--no-zip, -nz If set a directory will be created instead of an archive file
--force, -f Will overwrite if output directory exists
--diagnostic, -d Collect extensive machine diagnostic information
--bypass-disclaimer Do not display disclaimer banner
--interactive, -i Interactive diagnostic
--delay DELAY, -dd DELAY
Set MDATP log level. If you use interactive or delay mode, the log level will set to debug automatically, and reset after 48h.
--mdatp-log {info,debug,verbose,error,trace,warning}
Set MDATP log level
--max-log-size MAX_LOG_SIZE
Maximum log file size in MB before rotating(Will restart mdatp)
Példa használati adatokra: sudo ./MDESupportTool -d
MEGJEGYZÉS: A naplószintű automatikus visszaállítás funkció csak a 2405-ös vagy újabb ügyfélverzióban érhető el.
Pozícióargumentumok
Teljesítményadatok gyűjtése
Gyűjtsön kiterjedt gépteljesítmény-nyomkövetést egy igény szerint reprodukálható teljesítményforgatókönyv elemzéséhez.
-h, --help show this help message and exit
--frequency FREQUENCY
profile at this frequency
--length LENGTH length of time to collect (in seconds)
Példa használati adatokra: sudo ./MDESupportTool performance --frequency 2
Operációsrendszer-nyomkövetés használata (csak macOS esetén)
Használjon operációsrendszer-nyomkövetési létesítményeket a Végponthoz készült Defender teljesítménykövetési nyomkövetéseinek rögzítéséhez.
Megjegyzés:
Ez a funkció csak a Python-megoldásban létezik.
-h, --help show this help message and exit
--length LENGTH Length of time to record the trace (in seconds).
--mask MASK Mask to select with event to trace. Defaults to all
A parancs első futtatásakor egy profilkonfigurációt telepít.
Kövesse ezt a profiltelepítés jóváhagyásához: Apple támogatási útmutató.
Használati példa ./mde_support_tool.sh trace --length 5
Kizárási mód
Kizárások hozzáadása az audit-d monitorozáshoz.
Megjegyzés:
Ez a funkció csak Linux rendszeren érhető el.
-h, --help show this help message and exit
-e <executable>, --exe <executable>
exclude by executable name, i.e: bash
-p <process id>, --pid <process id>
exclude by process id, i.e: 911
-d <directory>, --dir <directory>
exclude by target path, i.e: /var/foo/bar
-x <executable> <directory>, --exe_dir <executable> <directory>
exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
-q <q_size>, --queue <q_size>
set dispatcher q_depth size
-r, --remove remove exclusion file
-s, --stat get statistics about common executables
-l, --list list auditd rules
-o, --override Override the existing auditd exclusion rules file for mdatp
-c <syscall number>, --syscall <syscall number>
exclude all process of the given syscall
Példa használati adatokra: sudo ./MDESupportTool exclude -d /var/foo/bar
Auditált sebességkorlátozó
Az auditD beépülő modul által jelentett események számának korlátozására használható szintaxis. Ez a beállítás globálisan beállítja az AuditD sebességkorlátját, ami az összes naplózási esemény csökkenését okozza. Ha a korlátozó engedélyezve van, a naplózott események száma legfeljebb 2500 esemény/s lehet. Ez a lehetőség olyan esetekben használható, amikor magas processzorhasználatot látunk az AuditD oldalról.
Megjegyzés:
Ez a funkció csak Linux rendszeren érhető el.
-h, --help show this help message and exit
-e <true/false>, --enable <true/false> enable/disable the rate limit with default values
Példa használati adatokra: sudo ./mde_support_tool.sh ratelimit -e true
Megjegyzés:
Ezt a funkciót körültekintően kell használni, mivel korlátozza a naplózott alrendszer egésze által jelentett események számát. Ez más előfizetők számára is csökkentheti az események számát.
AuditD – Hibás szabályok kihagyása
Ez a beállítás lehetővé teszi, hogy a betöltés során kihagyja a naplózott szabályok fájljában hozzáadott hibás szabályokat. Ezzel a beállítással a naplózott alrendszer akkor is folytathatja a szabályok betöltését, ha hibás szabály van. Ez a beállítás összefoglalja a szabályok betöltésének eredményeit. A háttérben ez a beállítás a -c kapcsolóval futtatja az auditctl fájlt.
Megjegyzés:
Ez a funkció csak Linuxon érhető el.
-h, --help show this help message and exit
-e <true/false>, --enable <true/false> enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.
Példa használati adatokra: sudo ./mde_support_tool.sh skipfaultyrules -e true
Megjegyzés:
Ez a funkció kihagyja a hibás szabályokat. A hibás szabályt ezután tovább kell azonosítani és kijavítani.
Eredménycsomag tartalma macOS és Linux rendszeren
report.html
Leírás: A fő HTML kimeneti fájl, amely az ügyfélelemző eszköz eszköz eszközén való futtatásának eredményeit és útmutatását tartalmazza. Ez a fájl csak az ügyfélelemző eszköz Python-alapú verziójának futtatásakor jön létre.
mde_diagnostic.zip
Leírás: Ugyanaz a diagnosztikai kimenet, amely az mdatp diagnostic createmacOS vagy Linux rendszeren történő futtatásakor jön létre.
mde.xml
Leírás: A futtatás során generált XML-kimenet, amely a HTML-jelentésfájl összeállítására szolgál.
Processes_information.txt
Leírás: a rendszeren futó Végponthoz készült Microsoft Defender kapcsolódó folyamatok részleteit tartalmazza.
Log.txt
Leírás: ugyanazokat a naplóüzeneteket tartalmazza, mint az adatgyűjtés során a képernyőn.
Health.txt
Leírás: Ugyanaz az alapszintű állapotkimenet, amely az mdatp health parancs futtatásakor jelenik meg.
Events.xml
Leírás: Az elemző által a HTML-jelentés készítésekor használt további XML-fájl.
Audited_info.txt
Leírás: a naplózott szolgáltatás és a Linux operációs rendszer kapcsolódó összetevőinek részletei.
perf_benchmark.tar.gz
Leírás: A teljesítményteszt jelentései. Ez csak akkor jelenik meg, ha a teljesítményparamétert használja.
Tipp
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.