Share via


Az ügyfélelemző futtatása macOS és Linux rendszeren

Érintett szolgáltatás:

Az XMDEClientAnalyzer a Linux vagy macOS rendszert futtató előkészített eszközök Végponthoz készült Microsoft Defender állapotával vagy megbízhatóságával kapcsolatos problémák diagnosztizálására szolgál.

Az ügyfélelemző eszköz kétféleképpen futtatható:

  1. Bináris verzió használata (Python-függőség nélkül)
  2. Python-alapú megoldás használata

Az ügyfélelemző bináris verziójának futtatása

  1. Töltse le az XMDE Ügyfélelemző bináris eszközt a vizsgálni kívánt macOS- vagy Linux-gépre.
    Terminál használata esetén töltse le az eszközt a következő paranccsal:

    wget --quiet -O XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary
    
  2. Ellenőrizze a letöltést.

    Megjegyzés:

    A hivatkozásról letöltött "XMDEClientAnalyzerBinary.zip" aktuális SHA256-kivonata: "9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469"

    • Linux
    echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 XMDEClientAnalyzerBinary.zip' | sha256sum -c
    
    • macOS
    echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469  XMDEClientAnalyzerBinary.zip' | shasum -a 256 -c
    
  3. Bontsa ki a gépen XMDEClientAnalyzerBinary.ziptartalmát.

    Terminál használata esetén a következő paranccsal bontsa ki a fájlokat:

    unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary
    
  4. A következő parancs beírásával váltson az eszköz könyvtárára:

    cd XMDEClientAnalyzerBinary
    
  5. Három új zip-fájl készül:

    • SupportToolLinuxBinary.zip : Minden Linux-eszköz esetén
    • SupportToolMacOSBinary.zip : Mac-eszközök esetén
  6. Bontsa ki a fenti 2 zip-fájl egyikét a vizsgálni kívánt gép alapján.
    Terminál használata esetén bontsa ki a fájlt a következő parancsok egyikének megadásával az operációs rendszer típusa alapján:

    • Linux

      unzip -q SupportToolLinuxBinary.zip
      
    • Mac

      unzip -q SupportToolMacOSBinary.zip
      
  7. Futtassa az eszközt gyökérként a diagnosztikai csomag létrehozásához:

    sudo ./MDESupportTool -d
    

A Python-alapú ügyfélelemző futtatása

Megjegyzés:

  • Az elemző néhány további PIP-csomagtól (sh, disztribúció, lxml, pandas) függ, amelyek az operációs rendszerben vannak telepítve, amikor a gyökéren vannak az eredmény kimenetének előállításához. Ha nincs telepítve, az elemző megpróbálja lekérni a Python-csomagok hivatalos adattárából.

    Figyelmeztetés

    A Python-alapú ügyfélelemző futtatásához PIP-csomagok telepítése szükséges, amelyek problémákat okozhatnak a környezetben. A problémák elkerülése érdekében javasoljuk, hogy telepítse a csomagokat egy felhasználói PIP-környezetbe.

  • Emellett az eszköznek jelenleg a Python 3-at vagy újabb verzióját kell telepítenie.

  • Ha az eszköz proxy mögött található, egyszerűen átadhatja a proxykiszolgálót környezeti változóként a mde_support_tool.sh szkriptnek. Például: . https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh"

  1. Töltse le az XMDE ügyfélelemző eszközt a vizsgálni kívánt macOS- vagy Linux-gépre.

    Ha terminált használ, töltse le az eszközt a következő parancs futtatásával:

    wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer
    
  2. A letöltés ellenőrzése

    • Linux
    echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c
    
    • macOS
    echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66  XMDEClientAnalyzer.zip' | shasum -a 256 -c
    
  3. Bontsa ki a XMDEClientAnalyzer.zip tartalmát a gépen.
    Ha terminált használ, bontsa ki a fájlokat a következő paranccsal:

    unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzer
    
  4. Módosítsa a könyvtárat a kibontott helyre.

    cd XMDEClientAnalyzer
    
  5. Adjon végrehajtható engedélyt az eszköznek:

    chmod a+x mde_support_tool.sh
    
  6. Futtassa a parancsot nem gyökérszintű felhasználóként a szükséges függőségek telepítéséhez:

    ./mde_support_tool.sh
    
  7. A tényleges diagnosztikai csomag gyűjtéséhez és az eredményarchívumfájl létrehozásához futtassa újra a parancsot gyökérként:

    sudo ./mde_support_tool.sh -d
    

Parancssori beállítások

Elsődleges parancssorok

A gép diagnosztikájának lekéréséhez használja a következő parancsot.

-h, --help            show this help message and exit
--output OUTPUT, -o OUTPUT
                      Output path to export report
--outdir OUTDIR       Directory where diagnostics file will be generated
--no-zip, -nz         If set a directory will be created instead of an archive file
--force, -f           Will overwrite if output directory exists
--diagnostic, -d      Collect extensive machine diagnostic information
--bypass-disclaimer   Do not display disclaimer banner
--mdatp-log {info,debug,verbose,error,trace,warning}
                      Set MDATP log level
--max-log-size MAX_LOG_SIZE
                      Maximum log file size in MB before rotating(Will restart mdatp)

Példa használati adatokra: sudo ./MDESupportTool -d

Pozícióargumentumok

Teljesítményadatok gyűjtése

Gyűjtsön kiterjedt gépteljesítmény-nyomkövetést egy igény szerint reprodukálható teljesítményforgatókönyv elemzéséhez.

-h, --help            show this help message and exit
--frequency FREQUENCY
                      profile at this frequency
--length LENGTH       length of time to collect (in seconds)

Példa használati adatokra: sudo ./MDESupportTool performance --frequency 2

Operációsrendszer-nyomkövetés használata (csak macOS esetén)

Használjon operációsrendszer-nyomkövetési létesítményeket a Végponthoz készült Defender teljesítménykövetési nyomkövetéseinek rögzítéséhez.

Megjegyzés:

Ez a funkció csak a Python-megoldásban létezik.

-h, --help       show this help message and exit
--length LENGTH  Length of time to record the trace (in seconds).
--mask MASK      Mask to select with event to trace. Defaults to all

A parancs első futtatásakor egy profilkonfigurációt telepít.

Kövesse ezt a profiltelepítés jóváhagyásához: Apple támogatási útmutató.

Használati példa ./mde_support_tool.sh trace --length 5

Kizárási mód

Kizárások hozzáadása az audit-d monitorozáshoz.

Megjegyzés:

Ez a funkció csak Linux rendszeren érhető el.

  -h, --help            show this help message and exit
  -e <executable>, --exe <executable>
                        exclude by executable name, i.e: bash
  -p <process id>, --pid <process id>
                        exclude by process id, i.e: 911
  -d <directory>, --dir <directory>
                        exclude by target path, i.e: /var/foo/bar
  -x <executable> <directory>, --exe_dir <executable> <directory>
                        exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
  -q <q_size>, --queue <q_size>
                        set dispatcher q_depth size
  -r, --remove          remove exclusion file
  -s, --stat            get statistics about common executables
  -l, --list            list auditd rules
  -o, --override        Override the existing auditd exclusion rules file for mdatp
  -c <syscall number>, --syscall <syscall number>
                        exclude all process of the given syscall

Példa használati adatokra: sudo ./MDESupportTool exclude -d /var/foo/bar

Auditált sebességkorlátozó

Az auditD beépülő modul által jelentett események számának korlátozására használható szintaxis. Ez a beállítás globálisan beállítja az AuditD sebességkorlátját, ami az összes naplózási esemény csökkenését okozza. Ha a korlátozó engedélyezve van, a naplózott események száma legfeljebb 2500 esemény/s lehet. Ez a lehetőség olyan esetekben használható, amikor magas processzorhasználatot látunk az AuditD oldalról.

Megjegyzés:

Ez a funkció csak Linux rendszeren érhető el.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the rate limit with default values

Példa használati adatokra: sudo ./mde_support_tool.sh ratelimit -e true

Megjegyzés:

Ezt a funkciót körültekintően kell használni, mivel korlátozza a naplózott alrendszer egésze által jelentett események számát. Ez más előfizetők számára is csökkentheti az események számát.

AuditD – Hibás szabályok kihagyása

Ez a beállítás lehetővé teszi, hogy a betöltés során kihagyja a naplózott szabályok fájljában hozzáadott hibás szabályokat. Ezzel a beállítással a naplózott alrendszer akkor is folytathatja a szabályok betöltését, ha hibás szabály van. Ez a beállítás összefoglalja a szabályok betöltésének eredményeit. A háttérben ez a beállítás a -c kapcsolóval futtatja az auditctl fájlt.

Megjegyzés:

Ez a funkció csak Linuxon érhető el.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.

Példa használati adatokra: sudo ./mde_support_tool.sh skipfaultyrules -e true

Megjegyzés:

Ez a funkció kihagyja a hibás szabályokat. A hibás szabályt ezután tovább kell azonosítani és kijavítani.

Eredménycsomag tartalma macOS és Linux rendszeren

  • report.html

    Leírás: A fő HTML kimeneti fájl, amely azokat az eredményeket és útmutatást tartalmazza, amelyeket az elemző szkript a gépen futtathat.

  • mde_diagnostic.zip

    Leírás: Ugyanaz a diagnosztikai kimenet, amely az mdatp diagnostic createmacOS vagy Linux rendszeren történő futtatásakor jön létre.

  • mde.xml

    Leírás: A futtatás során generált XML-kimenet, amely a HTML-jelentésfájl összeállítására szolgál.

  • Processes_information.txt

    Leírás: a rendszeren futó Végponthoz készült Microsoft Defender kapcsolódó folyamatok részleteit tartalmazza.

  • Log.txt

    Leírás: ugyanazokat a naplóüzeneteket tartalmazza, mint az adatgyűjtés során a képernyőn.

  • Health.txt

    Leírás: Ugyanaz az alapszintű állapotkimenet, amely az mdatp health parancs futtatásakor jelenik meg.

  • Events.xml

    Leírás: Az elemző által a HTML-jelentés készítésekor használt további XML-fájl.

  • Audited_info.txt

    Leírás: a naplózott szolgáltatás és a Linux operációs rendszer kapcsolódó összetevőinek részletei.

  • perf_benchmark.tar.gz

    Leírás: A teljesítményteszt jelentései. Ez csak akkor jelenik meg, ha a teljesítményparamétert használja.

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.