Megosztás a következőn keresztül:

Az ügyfélelemző futtatása macOS és Linux rendszeren

  • Cikk

Érintett szolgáltatás:

Az XMDEClientAnalyzer a Végponthoz készült Microsoft Defender állapotával vagy megbízhatóságával kapcsolatos problémák diagnosztizálására szolgál a Linux vagy macOS rendszert futtató előkészített eszközökön.

Az ügyfélelemző eszköz kétféleképpen futtatható:

  1. Bináris verzió használata (Python-függőség nélkül)
  2. Python-alapú megoldás használata

Az ügyfélelemző bináris verziójának futtatása

  1. Töltse le az XMDE Ügyfélelemző bináris eszközt a vizsgálni kívánt macOS- vagy Linux-gépre.
    Terminál használata esetén töltse le az eszközt a következő paranccsal:

    wget --quiet -O XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary

  2. Ellenőrizze a letöltést.

    Megjegyzés:

    A hivatkozásról letöltött "XMDEClientAnalyzerBinary.zip" aktuális SHA256-kivonata: "6DF1D7F32F1C33B462067F029CA59742241AB6967A981161803A3BC4B5EBDBDF"

    • Linux
    echo '6DF1D7F32F1C33B462067F029CA59742241AB6967A981161803A3BC4B5EBDBDF XMDEClientAnalyzerBinary.zip' | sha256sum -c
    • macOS
    echo '6DF1D7F32F1C33B462067F029CA59742241AB6967A981161803A3BC4B5EBDBDF  XMDEClientAnalyzerBinary.zip' | shasum -a 256 -c

  3. Bontsa ki a gépen XMDEClientAnalyzerBinary.ziptartalmát.

    Terminál használata esetén a következő paranccsal bontsa ki a fájlokat:

    unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary

  4. A következő parancs beírásával váltson az eszköz könyvtárára:

    cd XMDEClientAnalyzerBinary

  5. Három új zip-fájl készül:

    • SupportToolLinuxBinary.zip : Minden Linux-eszköz esetén
    • SupportToolMacOSBinary.zip : Mac-eszközök esetén

  6. Bontsa ki a fenti 2 zip-fájl egyikét a vizsgálni kívánt gép alapján.
    Terminál használata esetén bontsa ki a fájlt a következő parancsok egyikének megadásával az operációs rendszer típusa alapján:

    • Linux

      unzip -q SupportToolLinuxBinary.zip

    • Mac

      unzip -q SupportToolMacOSBinary.zip

  7. Futtassa az eszközt gyökérként a diagnosztikai csomag létrehozásához:

    sudo ./MDESupportTool -d

A Python-alapú ügyfélelemző futtatása

Megjegyzés:

  • Az elemző néhány további PIP-csomagtól (sh, disztribúció, lxml, pandas) függ, amelyek az operációs rendszerben vannak telepítve, amikor a gyökéren vannak az eredmény kimenetének előállításához. Ha nincs telepítve, az elemző megpróbálja lekérni a Python-csomagok hivatalos adattárából.

    Figyelmeztetés

    A Python-alapú ügyfélelemző futtatásához PIP-csomagok telepítése szükséges, amelyek problémákat okozhatnak a környezetben. A problémák elkerülése érdekében javasoljuk, hogy telepítse a csomagokat egy felhasználói PIP-környezetbe.

  • Emellett az eszköznek jelenleg a Python 3-at vagy újabb verzióját kell telepítenie.

  • Ha az eszköz proxy mögött található, egyszerűen átadhatja a proxykiszolgálót környezeti változóként a mde_support_tool.sh szkriptnek. Például:. https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh"

  1. Töltse le az XMDE ügyfélelemző eszközt a vizsgálni kívánt macOS- vagy Linux-gépre.

    Ha terminált használ, töltse le az eszközt a következő parancs futtatásával:

    wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer

  2. A letöltés ellenőrzése

    • Linux
    echo '799D1C8B24FB826283B9B04B4B503AE3C99A05FE7ADFE25A78A094E231572C4A XMDEClientAnalyzer.zip' | sha256sum -c
    • macOS
    echo '799D1C8B24FB826283B9B04B4B503AE3C99A05FE7ADFE25A78A094E231572C4A  XMDEClientAnalyzer.zip' | shasum -a 256 -c

  3. Bontsa ki a XMDEClientAnalyzer.zip tartalmát a gépen. Ha terminált használ, bontsa ki a fájlokat a következő paranccsal:

    unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzer

  4. Módosítsa a könyvtárat a kibontott helyre.

    cd XMDEClientAnalyzer

  5. Adjon végrehajtható engedélyt az eszköznek:

    chmod a+x mde_support_tool.sh

  6. Futtassa a parancsot nem gyökérszintű felhasználóként a szükséges függőségek telepítéséhez:

    ./mde_support_tool.sh

  7. A tényleges diagnosztikai csomag gyűjtéséhez és az eredményarchívumfájl létrehozásához futtassa újra a parancsot gyökérként:

    sudo ./mde_support_tool.sh -d

Parancssori beállítások

Elsődleges parancssorok

A gép diagnosztikájának lekéréséhez használja a következő parancsot.

-h, --help            show this help message and exit
--output OUTPUT, -o OUTPUT
                      Output path to export report
--outdir OUTDIR       Directory where diagnostics file will be generated
--no-zip, -nz         If set a directory will be created instead of an archive file
--force, -f           Will overwrite if output directory exists
--diagnostic, -d      Collect extensive machine diagnostic information
--bypass-disclaimer   Do not display disclaimer banner
--interactive, -i     Interactive diagnostic
--delay DELAY, -dd DELAY
                      Set MDATP log level. If you use interactive or delay mode, the log level will set to debug automatically, and reset after 48h.
--mdatp-log {info,debug,verbose,error,trace,warning}
                      Set MDATP log level
--max-log-size MAX_LOG_SIZE
                      Maximum log file size in MB before rotating(Will restart mdatp)

Példa használati adatokra: sudo ./MDESupportTool -d

MEGJEGYZÉS: A naplószintű automatikus visszaállítás funkció csak a 2405-ös vagy újabb ügyfélverzióban érhető el.

Pozícióargumentumok

Teljesítményadatok gyűjtése

Gyűjtsön kiterjedt gépteljesítmény-nyomkövetést egy igény szerint reprodukálható teljesítményforgatókönyv elemzéséhez.

-h, --help            show this help message and exit
--frequency FREQUENCY
                      profile at this frequency
--length LENGTH       length of time to collect (in seconds)

Példa használati adatokra: sudo ./MDESupportTool performance --frequency 2

Operációsrendszer-nyomkövetés használata (csak macOS esetén)

Használjon operációsrendszer-nyomkövetési létesítményeket a Végponthoz készült Defender teljesítménykövetési nyomkövetéseinek rögzítéséhez.

Megjegyzés:

Ez a funkció csak a Python-megoldásban létezik.

-h, --help       show this help message and exit
--length LENGTH  Length of time to record the trace (in seconds).
--mask MASK      Mask to select with event to trace. Defaults to all

A parancs első futtatásakor egy profilkonfigurációt telepít.

Kövesse ezt a profiltelepítés jóváhagyásához: Apple támogatási útmutató.

Használati példa ./mde_support_tool.sh trace --length 5

Kizárási mód

Kizárások hozzáadása az audit-d monitorozáshoz.

Megjegyzés:

Ez a funkció csak Linux rendszeren érhető el.

  -h, --help            show this help message and exit
  -e <executable>, --exe <executable>
                        exclude by executable name, i.e: bash
  -p <process id>, --pid <process id>
                        exclude by process id, i.e: 911
  -d <directory>, --dir <directory>
                        exclude by target path, i.e: /var/foo/bar
  -x <executable> <directory>, --exe_dir <executable> <directory>
                        exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
  -q <q_size>, --queue <q_size>
                        set dispatcher q_depth size
  -r, --remove          remove exclusion file
  -s, --stat            get statistics about common executables
  -l, --list            list auditd rules
  -o, --override        Override the existing auditd exclusion rules file for mdatp
  -c <syscall number>, --syscall <syscall number>
                        exclude all process of the given syscall

Példa használati adatokra: sudo ./MDESupportTool exclude -d /var/foo/bar

Auditált sebességkorlátozó

Az auditD beépülő modul által jelentett események számának korlátozására használható szintaxis. Ez a beállítás globálisan beállítja az AuditD sebességkorlátját, ami az összes naplózási esemény csökkenését okozza. Ha a korlátozó engedélyezve van, a naplózott események száma legfeljebb 2500 esemény/s lehet. Ez a lehetőség olyan esetekben használható, amikor magas processzorhasználatot látunk az AuditD oldalról.

Megjegyzés:

Ez a funkció csak Linux rendszeren érhető el.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the rate limit with default values

Példa használati adatokra: sudo ./mde_support_tool.sh ratelimit -e true

Megjegyzés:

Ezt a funkciót körültekintően kell használni, mivel korlátozza a naplózott alrendszer egésze által jelentett események számát. Ez más előfizetők számára is csökkentheti az események számát.

AuditD – Hibás szabályok kihagyása

Ez a beállítás lehetővé teszi, hogy a betöltés során kihagyja a naplózott szabályok fájljában hozzáadott hibás szabályokat. Ezzel a beállítással a naplózott alrendszer akkor is folytathatja a szabályok betöltését, ha hibás szabály van. Ez a beállítás összefoglalja a szabályok betöltésének eredményeit. A háttérben ez a beállítás a -c kapcsolóval futtatja az auditctl fájlt.

Megjegyzés:

Ez a funkció csak Linuxon érhető el.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.

Példa használati adatokra: sudo ./mde_support_tool.sh skipfaultyrules -e true

Megjegyzés:

Ez a funkció kihagyja a hibás szabályokat. A hibás szabályt ezután tovább kell azonosítani és kijavítani.

Eredménycsomag tartalma macOS és Linux rendszeren

  • report.html

    Leírás: A fő HTML kimeneti fájl, amely az ügyfélelemző eszköz eszköz eszközén való futtatásának eredményeit és útmutatását tartalmazza. Ez a fájl csak az ügyfélelemző eszköz Python-alapú verziójának futtatásakor jön létre.

  • mde_diagnostic.zip

    Leírás: Ugyanaz a diagnosztikai kimenet, amely az mdatp diagnostic createmacOS vagy Linux rendszeren történő futtatásakor jön létre.

  • mde.xml

    Leírás: A futtatás során generált XML-kimenet, amely a HTML-jelentésfájl összeállítására szolgál.

  • Processes_information.txt

    Leírás: a végponthoz készült Microsoft Defender futó folyamatainak adatait tartalmazza a rendszeren.

  • Log.txt

    Leírás: ugyanazokat a naplóüzeneteket tartalmazza, mint az adatgyűjtés során a képernyőn.

  • Health.txt

    Leírás: Ugyanaz az alapszintű állapotkimenet, amely az mdatp health parancs futtatásakor jelenik meg.

  • Events.xml

    Leírás: Az elemző által a HTML-jelentés készítésekor használt további XML-fájl.

  • Audited_info.txt

    Leírás: a naplózott szolgáltatás és a Linux operációs rendszer kapcsolódó összetevőinek részletei.

  • perf_benchmark.tar.gz

    Leírás: A teljesítményteszt jelentései. Ez csak akkor jelenik meg, ha a teljesítményparamétert használja.

Tipp

Szeretne többet megtudni? Vegye fel a kapcsolatot a Microsoft Security közösségével a technikai közösségünkben: Microsoft Defender for Endpoint Tech Community.