Támogatási naplók gyűjtése Végponthoz készült Microsoft Defender élő válasz használatával
Érintett szolgáltatás:
Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra
Amikor kapcsolatba lép az ügyfélszolgálattal, előfordulhat, hogy meg kell adnia a Végponthoz készült Microsoft Defender Ügyfélelemző eszköz kimeneti csomagját.
Ez a cikk útmutatást nyújt az eszköz windowsos és Linux rendszerű gépeken való élő válaszon keresztüli futtatásához.
A Windows
Töltse le és kérje le a szükséges szkripteket a Végponthoz készült Microsoft Defender Client AnalyzerTools alkönyvtárából.
Az alapszintű érzékelő- és eszközállapot-naplók lekéréséhez például kérje le
..\Tools\MDELiveAnalyzer.ps1a következőt: .- Ha további naplókra van szüksége Microsoft Defender víruskeresővel kapcsolatban, használja a következőt
..\Tools\MDELiveAnalyzerAV.ps1: . - Ha microsoftos végpont adatveszteség-megelőzési naplókra van szüksége, használja a következőt
..\Tools\MDELiveAnalyzerDLP.ps1: . - Ha hálózattal és a Windows szűrőplatformmal kapcsolatos naplókra van szüksége, használja a következőt
..\Tools\MDELiveAnalyzerNet.ps1: . - Ha folyamatfigyelő-naplókra van szüksége, használja a következőt
..\Tools\MDELiveAnalyzerDLP.ps1: .
- Ha további naplókra van szüksége Microsoft Defender víruskeresővel kapcsolatban, használja a következőt
Inicializálás élő válasz munkamenetet a vizsgálni kívánt gépen.
Válassza a Fájl feltöltése a tárba lehetőséget.
Válassza a Fájl kiválasztása lehetőséget.
Válassza ki a nevű letöltött fájlt
MDELiveAnalyzer.ps1, majd válassza a Megerősítés lehetőséget.
Ismételje meg ezt a lépést a
MDEClientAnalyzerPreview.zipfájllal.Miközben még a LiveResponse munkamenetben van, az alábbi parancsokkal futtassa az elemzőt, és gyűjtse össze az eredményül kapott fájlt.
Putfile MDEClientAnalyzerPreview.zip Run MDELiveAnalyzer.ps1 GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDECA\MDEClientAnalyzerResult.zip"
További információk
Az MDEClientAnalyzer legújabb előzetes verziója innen tölthető le: https://aka.ms/Betamdeanalyzer.
Ha nem tudja engedélyezni, hogy a gép elérje a fenti URL-címet, töltse fel
MDEClientAnalyzerPreview.zipa fájlt a tárba a LiveAnalyzer-szkript futtatása előtt:PutFile MDEClientAnalyzerPreview.zip -overwrite Run MDELiveAnalyzer.ps1 GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDECA\MDEClientAnalyzerResult.zip"Ha további információra van szükség arról, hogy a gép helyileg gyűjtsön adatokat arra az esetre, ha a gép nem kommunikál Végponthoz készült Microsoft Defender felhőszolgáltatásokkal, vagy nem a várt módon jelenik meg Végponthoz készült Microsoft Defender portálon, tekintse meg az ügyfélkapcsolat ellenőrzése a következőt: Végponthoz készült Microsoft Defender szolgáltatás URL-címei.
Az Élő válasz parancs példáiban leírtak szerint érdemes lehet a
¶ncs végén található szimbólumot használni a naplók háttérműveletként való gyűjtéséhez:Run MDELiveAnalyzer.ps1&
Linux
Az XMDE ügyfélelemző eszköz bináris vagy Python-csomagként tölthető le, amely kinyerhető és futtatható Linux rendszerű gépeken. Az XMDE-ügyfélelemző mindkét verziója végrehajtható egy élő válasz munkamenet során.
Előfeltételek
A telepítéshez a
unzipcsomagra van szükség.A végrehajtáshoz a
aclcsomagra van szükség.
Fontos
A Window a Kocsivissza és a Sortörés láthatatlan karaktert használja egy fájl egy sorának és egy új sorának elejére, a Linux-rendszerek azonban csak a sortörés láthatatlan karakterét használják a fájlsorok végén. Ha a következő szkripteket használja, windowsos környezetben ez a különbség a futtatandó szkriptek hibáit és hibáit eredményezheti. Ennek egyik lehetséges megoldása, ha a Linuxos Windows-alrendszer és a dos2unix csomag használatával újraformázza a szkriptet, hogy az megfeleljen a Unix és a Linux formátum szabványának.
Az XMDE ügyfélelemző telepítése
Az XMDE Ügyfélelemző mindkét verziója, a bináris és a Python, egy önálló csomag, amelyet le kell tölteni és ki kell nyerni a végrehajtás előtt, és a folyamat lépéseinek teljes készlete megtalálható:
Az élő válaszban elérhető korlátozott parancsok miatt a részletes lépéseket bash-szkriptben kell végrehajtani, és a parancsok telepítési és végrehajtási részének felosztásával egyszer futtathatja a telepítési szkriptet, miközben többször futtatja a végrehajtási szkriptet.
Fontos
A példaszkriptek feltételezik, hogy a gép közvetlen internet-hozzáféréssel rendelkezik, és le tudja kérni az XMDE ügyfélelemzőt a Microsofttól. Ha a gép nem rendelkezik közvetlen internet-hozzáféréssel, akkor a telepítési szkripteket frissíteni kell, hogy az XMDE ügyfélelemzőt olyan helyről kérje le, ahová a gépek sikeresen hozzáférnek.
Bináris ügyfélelemző telepítési szkriptje
A következő szkript végrehajtja az Ügyfélelemző bináris verziójának futtatása első hat lépését. Ha elkészült, az XMDE-ügyfélelemző bináris fájlja elérhető a /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer könyvtárból.
Hozzon létre egy Bash-fájlt
InstallXMDEClientAnalyzer.sh, és illessze be a következő tartalmat.#! /usr/bin/bash echo "Starting Client Analyzer Script. Running As:" whoami echo "Getting XMDEClientAnalyzerBinary" wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c echo "Unzipping XMDEClientAnalyzerBinary.zip" unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary echo "Unzipping SupportToolLinuxBinary.zip" unzip -q /tmp/XMDEClientAnalyzerBinary/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
Python-ügyfélelemző telepítési szkriptje
A következő szkript végrehajtja az Ügyfélelemző Python-verziójának futtatásának első hat lépését. Ha elkészült, az XMDE Ügyfélelemző Python-szkriptjei elérhetők a /tmp/XMDEClientAnalyzer könyvtárból.
Hozzon létre egy Bash-fájlt
InstallXMDEClientAnalyzer.sh, és illessze be a következő tartalmat.#! /usr/bin/bash echo "Starting Client Analyzer Install Script. Running As:" whoami echo "Getting XMDEClientAnalyzer.zip" wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c echo "Unzipping XMDEClientAnalyzer.zip" unzip -q XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer echo "Setting execute permissions on mde_support_tool.sh script" cd /tmp/XMDEClientAnalyzer chmod a+x mde_support_tool.sh echo "Performing final support tool setup" ./mde_support_tool.sh
Az Ügyfélelemző telepítési szkriptjeinek futtatása
Inicializálás élő válasz munkamenetet a vizsgálni kívánt gépen.
Válassza a Fájl feltöltése a tárba lehetőséget.
Válassza a Fájl kiválasztása lehetőséget.
Válassza ki a nevű letöltött fájlt
InstallXMDEClientAnalyzer.sh, majd válassza a Megerősítés lehetőséget.Miközben továbbra is a LiveResponse-munkamenetben van, az elemző telepítéséhez használja a következő parancsokat:
run InstallXMDEClientAnalyzer.sh
Az XMDE ügyfélelemző futtatása
Az élő válasz nem támogatja az XMDE-ügyfélelemző vagy a Python közvetlen futtatását, ezért végrehajtási szkriptre van szükség.
Fontos
A következő szkriptek feltételezik, hogy az XMDE-ügyfélelemző a korábban említett szkriptek ugyanazon helyeinek használatával lett telepítve. Ha a szervezete úgy döntött, hogy a parancsfájlokat egy másik helyre telepíti, akkor a következő szkripteket frissíteni kell, hogy igazodjanak a szervezet választott telepítési helyéhez.
Bináris ügyfélelemző futtatási szkriptje
A Bináris ügyfélelemző parancssori paramétereket fogad el a különböző elemzési tesztek végrehajtásához. Ha hasonló képességeket szeretne biztosítani az élő válasz során, a végrehajtási szkript a $@ Bash-változót használja a szkripthez megadott összes bemeneti paraméter átadásához az XMDE ügyfélelemzőnek.
Hozzon létre egy Bash-fájlt
MDESupportTool.sh, és illessze be a következő tartalmat.#! /usr/bin/bash echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer" cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer echo "Running MDESupportTool" ./MDESupportTool $@
Python-ügyfélelemző futtatási szkriptje
A Python-ügyfélelemző parancssori paramétereket fogad el a különböző elemzési tesztek végrehajtásához. Ha hasonló képességeket szeretne biztosítani az élő válasz során, a végrehajtási szkript a $@ Bash-változót használja a szkripthez megadott összes bemeneti paraméter átadásához az XMDE ügyfélelemzőnek.
Hozzon létre egy Bash-fájlt
MDESupportTool.sh, és illessze be a következő tartalmat.#! /usr/bin/bash echo "cd /tmp/XMDEClientAnalyzer" cd /tmp/XMDEClientAnalyzer echo "Running mde_support_tool" ./mde_support_tool.sh $@
Az Ügyfélelemző szkript futtatása
Megjegyzés:
Ha aktív élő válasz munkamenete van, kihagyhatja az 1. lépést.
Inicializálás élő válasz munkamenetet a vizsgálni kívánt gépen.
Válassza a Fájl feltöltése a tárba lehetőséget.
Válassza a Fájl kiválasztása lehetőséget.
Válassza ki a nevű letöltött fájlt
MDESupportTool.sh, majd válassza a Megerősítés lehetőséget.Miközben továbbra is az élő válasz munkamenetben van, az alábbi parancsokkal futtassa az elemzőt, és gyűjtse össze az eredményként kapott fájlt.
run MDESupportTool.sh -parameters "--bypass-disclaimer -d" GetFile "/tmp/your_archive_file_name_here.zip"
Lásd még
- Ügyfélelemző áttekintése
- Az ügyfélelemző letöltése és futtatása
- Az ügyfélelemző futtatása Windows rendszeren
- Az ügyfélelemző futtatása macOS vagy Linux rendszeren
- Adatgyűjtés a Windows speciális hibaelhárításához
- Az elemző HTML-jelentésének értelmezése
Tipp
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.