Megosztás a következőn keresztül:


Támogatási naplók gyűjtése a Végponthoz készült Microsoft Defenderben élő válasz használatával

Érintett szolgáltatás:

Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra

Amikor kapcsolatba lép az ügyfélszolgálattal, előfordulhat, hogy meg kell adnia a Végponthoz készült Microsoft Defender ügyfélelemző eszköz kimeneti csomagját.

Ez a cikk útmutatást nyújt az eszköz windowsos és Linux rendszerű gépeken való élő válaszon keresztüli futtatásához.

A Windows

  1. Töltse le és kérje le a szükséges szkripteket a Végponthoz készült Microsoft Defender ügyfélelemzőEszközök alkönyvtárából.

    Az alapszintű érzékelő- és eszközállapot-naplók lekéréséhez például kérje le ..\Tools\MDELiveAnalyzer.ps1a következőt: .

    Ha a Microsoft Defender víruskereső támogatási naplóira is szüksége van (MpSupportFiles.cab), akkor kérje le a következőt ..\Tools\MDELiveAnalyzerAV.ps1: .

  2. Inicializálás élő válasz munkamenetet a vizsgálni kívánt gépen.

  3. Válassza a Fájl feltöltése a tárba lehetőséget.

    A feltöltési fájl

  4. Válassza a Fájl kiválasztása lehetőséget.

    A Fájl kiválasztása gomb-1

  5. Válassza ki a nevű letöltött fájlt MDELiveAnalyzer.ps1, majd válassza a Megerősítés lehetőséget.

    A Fájl kiválasztása gomb-2

  6. Miközben még a LiveResponse munkamenetben van, az alábbi parancsokkal futtassa az elemzőt, és gyűjtse össze az eredményül kapott fájlt.

    Run MDELiveAnalyzer.ps1
    GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDEClientAnalyzerResult.zip"
    

    Parancsok képe.

További információk

  • Az MDEClientAnalyzer legújabb előzetes verziója innen tölthető le: https://aka.ms/Betamdeanalyzer.

  • A LiveAnalyzer-szkript letölti a hibaelhárító csomagot a célgépre a következő helyről: https://mdatpclientanalyzer.blob.core.windows.net.

  • Ha nem tudja engedélyezni, hogy a gép elérje a fenti URL-címet, töltse fel MDEClientAnalyzerPreview.zip a fájlt a tárba a LiveAnalyzer-szkript futtatása előtt:

    PutFile MDEClientAnalyzerPreview.zip -overwrite
    Run MDELiveAnalyzer.ps1
    GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDEClientAnalyzerResult.zip"
    
  • Ha további információra van szükség arról, hogy a gép ne kommunikáljon a Végponthoz készült Microsoft Defender felhőszolgáltatásaival, vagy ha nem a várt módon jelenik meg a Végponthoz készült Microsoft Defender portálon, további információt az Ügyfélkapcsolat ellenőrzése a Végponthoz készült Microsoft Defender szolgáltatás URL-címeivel című témakörben talál.

  • Az Élő válasz parancs példáiban leírtak szerint érdemes lehet a & parancs végén található szimbólumot használni a naplók háttérműveletként való gyűjtéséhez:

    Run MDELiveAnalyzer.ps1&
    

Linux

Az XMDE ügyfélelemző eszköz bináris vagy Python-csomagként tölthető le, amely kinyerhető és futtatható Linux rendszerű gépeken. Az XMDE-ügyfélelemző mindkét verziója végrehajtható egy élő válasz munkamenet során.

Előfeltételek

  • A telepítéshez a unzip csomagra van szükség.

  • A végrehajtáshoz a acl csomagra van szükség.

Fontos

A Window a Kocsivissza és a Sortörés láthatatlan karaktert használja egy fájl egy sorának és egy új sorának elejére, a Linux-rendszerek azonban csak a sortörés láthatatlan karakterét használják a fájlsorok végén. Ha a következő szkripteket használja, windowsos környezetben ez a különbség a futtatandó szkriptek hibáit és hibáit eredményezheti. Ennek egyik lehetséges megoldása a Linuxhoz készült Windows alrendszer és a dos2unix csomag használata a szkript újraformázásához, hogy az megfeleljen a Unix és a Linux formátum szabványának.

Az XMDE ügyfélelemző telepítése

Az XMDE Ügyfélelemző mindkét verziója, a bináris és a Python, egy önálló csomag, amelyet le kell tölteni és ki kell nyerni a végrehajtás előtt, és a folyamat lépéseinek teljes készlete megtalálható:

Az élő válaszban elérhető korlátozott parancsok miatt a részletes lépéseket bash-szkriptben kell végrehajtani, és a parancsok telepítési és végrehajtási részének felosztásával egyszer futtathatja a telepítési szkriptet, miközben többször futtatja a végrehajtási szkriptet.

Fontos

A példaszkriptek feltételezik, hogy a gép közvetlen internet-hozzáféréssel rendelkezik, és le tudja kérni az XMDE ügyfélelemzőt a Microsofttól. Ha a gép nem rendelkezik közvetlen internet-hozzáféréssel, akkor a telepítési szkripteket frissíteni kell, hogy az XMDE ügyfélelemzőt olyan helyről kérje le, ahová a gépek sikeresen hozzáférnek.

Bináris ügyfélelemző telepítési szkriptje

A következő szkript végrehajtja az Ügyfélelemző bináris verziójának futtatása első hat lépését. Ha elkészült, az XMDE-ügyfélelemző bináris fájlja elérhető a /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer könyvtárból.

  1. Hozzon létre egy Bash-fájlt InstallXMDEClientAnalyzer.sh , és illessze be a következő tartalmat.

    #! /usr/bin/bash
    
    echo "Starting Client Analyzer Script. Running As:"
    whoami
    
    echo "Getting XMDEClientAnalyzerBinary"
    wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary
    echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c
    
    echo "Unzipping XMDEClientAnalyzerBinary.zip"
    unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary
    
    echo "Unzipping SupportToolLinuxBinary.zip"
    unzip -q /tmp/XMDEClientAnalyzerBinary/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
    
    echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
    
    

Python-ügyfélelemző telepítési szkriptje

A következő szkript végrehajtja az Ügyfélelemző Python-verziójának futtatásának első hat lépését. Ha elkészült, az XMDE Ügyfélelemző Python-szkriptjei elérhetők a /tmp/XMDEClientAnalyzer könyvtárból.

  1. Hozzon létre egy Bash-fájlt InstallXMDEClientAnalyzer.sh , és illessze be a következő tartalmat.

    #! /usr/bin/bash
    
    echo "Starting Client Analyzer Install Script. Running As:"
    whoami
    
    echo "Getting XMDEClientAnalyzer.zip"
    wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer 
    echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c  
    
    echo "Unzipping XMDEClientAnalyzer.zip"
    unzip -q XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer  
    
    echo "Setting execute permissions on mde_support_tool.sh script"
    cd /tmp/XMDEClientAnalyzer 
    chmod a+x mde_support_tool.sh  
    
    echo "Performing final support tool setup"
    ./mde_support_tool.sh
    
    

Az Ügyfélelemző telepítési szkriptjeinek futtatása

  1. Inicializálás élő válasz munkamenetet a vizsgálni kívánt gépen.

  2. Válassza a Fájl feltöltése a tárba lehetőséget.

  3. Válassza a Fájl kiválasztása lehetőséget.

  4. Válassza ki a nevű letöltött fájlt InstallXMDEClientAnalyzer.sh, majd válassza a Megerősítés lehetőséget.

  5. Miközben továbbra is a LiveResponse-munkamenetben van, az elemző telepítéséhez használja a következő parancsokat:

    run InstallXMDEClientAnalyzer.sh
    

Az XMDE ügyfélelemző futtatása

Az élő válasz nem támogatja az XMDE-ügyfélelemző vagy a Python közvetlen futtatását, ezért végrehajtási szkriptre van szükség.

Fontos

A következő szkriptek feltételezik, hogy az XMDE-ügyfélelemző a korábban említett szkriptek ugyanazon helyeinek használatával lett telepítve. Ha a szervezete úgy döntött, hogy a parancsfájlokat egy másik helyre telepíti, akkor a következő szkripteket frissíteni kell, hogy igazodjanak a szervezet választott telepítési helyéhez.

Bináris ügyfélelemző futtatási szkriptje

A Bináris ügyfélelemző parancssori paramétereket fogad el a különböző elemzési tesztek végrehajtásához. Ha hasonló képességeket szeretne biztosítani az élő válasz során, a végrehajtási szkript a $@ Bash-változót használja a szkripthez megadott összes bemeneti paraméter átadásához az XMDE ügyfélelemzőnek.

  1. Hozzon létre egy Bash-fájlt MDESupportTool.sh , és illessze be a következő tartalmat.

    #! /usr/bin/bash
    
    echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
    cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
    
    echo "Running MDESupportTool"
    ./MDESupportTool $@
    
    

Python-ügyfélelemző futtatási szkriptje

A Python-ügyfélelemző parancssori paramétereket fogad el a különböző elemzési tesztek végrehajtásához. Ha hasonló képességeket szeretne biztosítani az élő válasz során, a végrehajtási szkript a $@ Bash-változót használja a szkripthez megadott összes bemeneti paraméter átadásához az XMDE ügyfélelemzőnek.

  1. Hozzon létre egy Bash-fájlt MDESupportTool.sh , és illessze be a következő tartalmat.

    #! /usr/bin/bash  
    
    echo "cd /tmp/XMDEClientAnalyzer"
    cd /tmp/XMDEClientAnalyzer 
    
    echo "Running mde_support_tool"
    ./mde_support_tool.sh $@
    
    

Az Ügyfélelemző szkript futtatása

Megjegyzés:

Ha aktív élő válasz munkamenete van, kihagyhatja az 1. lépést.

  1. Inicializálás élő válasz munkamenetet a vizsgálni kívánt gépen.

  2. Válassza a Fájl feltöltése a tárba lehetőséget.

  3. Válassza a Fájl kiválasztása lehetőséget.

  4. Válassza ki a nevű letöltött fájlt MDESupportTool.sh, majd válassza a Megerősítés lehetőséget.

  5. Miközben továbbra is az élő válasz munkamenetben van, az alábbi parancsokkal futtassa az elemzőt, és gyűjtse össze az eredményként kapott fájlt.

    run MDESupportTool.sh -parameters "--bypass-disclaimer -d"
    GetFile "/tmp/your_archive_file_name_here.zip"
    

Lásd még

Tipp

Szeretne többet megtudni? Vegye fel a kapcsolatot a Microsoft Security közösségével a technikai közösségünkben: Microsoft Defender for Endpoint Tech Community.