Támogatási naplók gyűjtése a Végponthoz készült Microsoft Defenderben élő válasz használatával

Érintett szolgáltatás:

• Végponthoz készült Microsoft Defender 2. csomag
• Microsoft Defender XDR

Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra

Amikor kapcsolatba lép az ügyfélszolgálattal, előfordulhat, hogy meg kell adnia a Végponthoz készült Microsoft Defender ügyfélelemző eszköz kimeneti csomagját.

Ez a cikk útmutatást nyújt az eszköz windowsos és Linux rendszerű gépeken való élő válaszon keresztüli futtatásához.

A Windows

1. Töltse le és kérje le a szükséges szkripteket a Végponthoz készült Microsoft Defender ügyfélelemzőEszközök alkönyvtárából.

   Az alapszintű érzékelő- és eszközállapot-naplók lekéréséhez például kérje le ..\Tools\MDELiveAnalyzer.ps1a következőt: .

   Ha a Microsoft Defender víruskereső támogatási naplóira is szüksége van (MpSupportFiles.cab), akkor kérje le a következőt ..\Tools\MDELiveAnalyzerAV.ps1: .

2. Inicializálás élő válasz munkamenetet a vizsgálni kívánt gépen.

3. Válassza a Fájl feltöltése a tárba lehetőséget.

   

4. Válassza a Fájl kiválasztása lehetőséget.

   

5. Válassza ki a nevű letöltött fájlt MDELiveAnalyzer.ps1, majd válassza a Megerősítés lehetőséget.

   

6. Miközben még a LiveResponse munkamenetben van, az alábbi parancsokkal futtassa az elemzőt, és gyűjtse össze az eredményül kapott fájlt.

   Run MDELiveAnalyzer.ps1
   GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDEClientAnalyzerResult.zip"
   

   

További információk

• Az MDEClientAnalyzer legújabb előzetes verziója innen tölthető le: https://aka.ms/Betamdeanalyzer.

• A LiveAnalyzer-szkript letölti a hibaelhárító csomagot a célgépre a következő helyről: https://mdatpclientanalyzer.blob.core.windows.net.

• Ha nem tudja engedélyezni, hogy a gép elérje a fenti URL-címet, töltse fel MDEClientAnalyzerPreview.zip a fájlt a tárba a LiveAnalyzer-szkript futtatása előtt:

  PutFile MDEClientAnalyzerPreview.zip -overwrite
  Run MDELiveAnalyzer.ps1
  GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDEClientAnalyzerResult.zip"
  

• Ha további információra van szükség arról, hogy a gép ne kommunikáljon a Végponthoz készült Microsoft Defender felhőszolgáltatásaival, vagy ha nem a várt módon jelenik meg a Végponthoz készült Microsoft Defender portálon, további információt az Ügyfélkapcsolat ellenőrzése a Végponthoz készült Microsoft Defender szolgáltatás URL-címeivel című témakörben talál.

• Az Élő válasz parancs példáiban leírtak szerint érdemes lehet a & parancs végén található szimbólumot használni a naplók háttérműveletként való gyűjtéséhez:

  Run MDELiveAnalyzer.ps1&
  

Linux

Az XMDE ügyfélelemző eszköz bináris vagy Python-csomagként tölthető le, amely kinyerhető és futtatható Linux rendszerű gépeken. Az XMDE-ügyfélelemző mindkét verziója végrehajtható egy élő válasz munkamenet során.

Előfeltételek

• A telepítéshez a unzip csomagra van szükség.

• A végrehajtáshoz a acl csomagra van szükség.

Fontos

A Window a Kocsivissza és a Sortörés láthatatlan karaktert használja egy fájl egy sorának és egy új sorának elejére, a Linux-rendszerek azonban csak a sortörés láthatatlan karakterét használják a fájlsorok végén. Ha a következő szkripteket használja, windowsos környezetben ez a különbség a futtatandó szkriptek hibáit és hibáit eredményezheti. Ennek egyik lehetséges megoldása a Linuxhoz készült Windows alrendszer és a dos2unix csomag használata a szkript újraformázásához, hogy az megfeleljen a Unix és a Linux formátum szabványának.

Az XMDE ügyfélelemző telepítése

Az XMDE Ügyfélelemző mindkét verziója, a bináris és a Python, egy önálló csomag, amelyet le kell tölteni és ki kell nyerni a végrehajtás előtt, és a folyamat lépéseinek teljes készlete megtalálható:

• Az Ügyfélelemző bináris verziójának futtatása

• Az Ügyfélelemző Python-verziójának futtatása

Az élő válaszban elérhető korlátozott parancsok miatt a részletes lépéseket bash-szkriptben kell végrehajtani, és a parancsok telepítési és végrehajtási részének felosztásával egyszer futtathatja a telepítési szkriptet, miközben többször futtatja a végrehajtási szkriptet.

Fontos

A példaszkriptek feltételezik, hogy a gép közvetlen internet-hozzáféréssel rendelkezik, és le tudja kérni az XMDE ügyfélelemzőt a Microsofttól. Ha a gép nem rendelkezik közvetlen internet-hozzáféréssel, akkor a telepítési szkripteket frissíteni kell, hogy az XMDE ügyfélelemzőt olyan helyről kérje le, ahová a gépek sikeresen hozzáférnek.

Bináris ügyfélelemző telepítési szkriptje

A következő szkript végrehajtja az Ügyfélelemző bináris verziójának futtatása első hat lépését. Ha elkészült, az XMDE-ügyfélelemző bináris fájlja elérhető a /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer könyvtárból.

1. Hozzon létre egy Bash-fájlt InstallXMDEClientAnalyzer.sh , és illessze be a következő tartalmat.

   #! /usr/bin/bash
   
   echo "Starting Client Analyzer Script. Running As:"
   whoami
   
   echo "Getting XMDEClientAnalyzerBinary"
   wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary
   echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c
   
   echo "Unzipping XMDEClientAnalyzerBinary.zip"
   unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary
   
   echo "Unzipping SupportToolLinuxBinary.zip"
   unzip -q /tmp/XMDEClientAnalyzerBinary/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
   
   echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
   
   

Python-ügyfélelemző telepítési szkriptje

A következő szkript végrehajtja az Ügyfélelemző Python-verziójának futtatásának első hat lépését. Ha elkészült, az XMDE Ügyfélelemző Python-szkriptjei elérhetők a /tmp/XMDEClientAnalyzer könyvtárból.

1. Hozzon létre egy Bash-fájlt InstallXMDEClientAnalyzer.sh , és illessze be a következő tartalmat.

   #! /usr/bin/bash
   
   echo "Starting Client Analyzer Install Script. Running As:"
   whoami
   
   echo "Getting XMDEClientAnalyzer.zip"
   wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer 
   echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c  
   
   echo "Unzipping XMDEClientAnalyzer.zip"
   unzip -q XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer  
   
   echo "Setting execute permissions on mde_support_tool.sh script"
   cd /tmp/XMDEClientAnalyzer 
   chmod a+x mde_support_tool.sh  
   
   echo "Performing final support tool setup"
   ./mde_support_tool.sh
   
   

Az Ügyfélelemző telepítési szkriptjeinek futtatása

1. Inicializálás élő válasz munkamenetet a vizsgálni kívánt gépen.

2. Válassza a Fájl feltöltése a tárba lehetőséget.

3. Válassza a Fájl kiválasztása lehetőséget.

4. Válassza ki a nevű letöltött fájlt InstallXMDEClientAnalyzer.sh, majd válassza a Megerősítés lehetőséget.

5. Miközben továbbra is a LiveResponse-munkamenetben van, az elemző telepítéséhez használja a következő parancsokat:

   run InstallXMDEClientAnalyzer.sh
   

Az XMDE ügyfélelemző futtatása

Az élő válasz nem támogatja az XMDE-ügyfélelemző vagy a Python közvetlen futtatását, ezért végrehajtási szkriptre van szükség.

Fontos

A következő szkriptek feltételezik, hogy az XMDE-ügyfélelemző a korábban említett szkriptek ugyanazon helyeinek használatával lett telepítve. Ha a szervezete úgy döntött, hogy a parancsfájlokat egy másik helyre telepíti, akkor a következő szkripteket frissíteni kell, hogy igazodjanak a szervezet választott telepítési helyéhez.

Bináris ügyfélelemző futtatási szkriptje

A Bináris ügyfélelemző parancssori paramétereket fogad el a különböző elemzési tesztek végrehajtásához. Ha hasonló képességeket szeretne biztosítani az élő válasz során, a végrehajtási szkript a $@ Bash-változót használja a szkripthez megadott összes bemeneti paraméter átadásához az XMDE ügyfélelemzőnek.

1. Hozzon létre egy Bash-fájlt MDESupportTool.sh , és illessze be a következő tartalmat.

   #! /usr/bin/bash
   
   echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
   cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
   
   echo "Running MDESupportTool"
   ./MDESupportTool $@
   
   

Python-ügyfélelemző futtatási szkriptje

A Python-ügyfélelemző parancssori paramétereket fogad el a különböző elemzési tesztek végrehajtásához. Ha hasonló képességeket szeretne biztosítani az élő válasz során, a végrehajtási szkript a $@ Bash-változót használja a szkripthez megadott összes bemeneti paraméter átadásához az XMDE ügyfélelemzőnek.

1. Hozzon létre egy Bash-fájlt MDESupportTool.sh , és illessze be a következő tartalmat.

   #! /usr/bin/bash  
   
   echo "cd /tmp/XMDEClientAnalyzer"
   cd /tmp/XMDEClientAnalyzer 
   
   echo "Running mde_support_tool"
   ./mde_support_tool.sh $@
   
   

Az Ügyfélelemző szkript futtatása

Megjegyzés:

Ha aktív élő válasz munkamenete van, kihagyhatja az 1. lépést.

1. Inicializálás élő válasz munkamenetet a vizsgálni kívánt gépen.

2. Válassza a Fájl feltöltése a tárba lehetőséget.

3. Válassza a Fájl kiválasztása lehetőséget.

4. Válassza ki a nevű letöltött fájlt MDESupportTool.sh, majd válassza a Megerősítés lehetőséget.

5. Miközben továbbra is az élő válasz munkamenetben van, az alábbi parancsokkal futtassa az elemzőt, és gyűjtse össze az eredményként kapott fájlt.

   run MDESupportTool.sh -parameters "--bypass-disclaimer -d"
   GetFile "/tmp/your_archive_file_name_here.zip"
   

Lásd még

• Ügyfélelemző áttekintése
• Az ügyfélelemző letöltése és futtatása
• Az ügyfélelemző futtatása Windows rendszeren
• Az ügyfélelemző futtatása macOS vagy Linux rendszeren
• Adatgyűjtés a Windows speciális hibaelhárításához
• Az elemző HTML-jelentésének értelmezése

Tipp

Szeretne többet megtudni? Vegye fel a kapcsolatot a Microsoft Security közösségével a technikai közösségünkben: Microsoft Defender for Endpoint Tech Community.