Condividi tramite

Eseguire l'analizzatore client in macOS e Linux

  • Articolo

XMDEClientAnalyzer viene usato per diagnosticare problemi di integrità o affidabilità Microsoft Defender per endpoint nei dispositivi caricati che eseguono Linux o macOS.

Esistono due modi per eseguire lo strumento analizzatore client:

  1. Uso di una versione binaria (nessuna dipendenza Python esterna)
  2. Uso di una soluzione basata su Python

Esecuzione della versione binaria dell'analizzatore client

  1. Scaricare lo strumento XMDE Client Analyzer Binary nel computer macOS o Linux che è necessario analizzare.
    Se si usa un terminale, scaricare lo strumento immettendo il comando seguente:

    wget --quiet -O XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary

  2. Verificare il download.

    • Linux
    echo '2A9BF0A6183831BE43C7BCB7917A40D772D226301B4CDA8EE4F258D00B6E4E97 XMDEClientAnalyzerBinary.zip' | sha256sum -c
    • macOS
    echo '2A9BF0A6183831BE43C7BCB7917A40D772D226301B4CDA8EE4F258D00B6E4E97  XMDEClientAnalyzerBinary.zip' | shasum -a 256 -c

  3. Estrarre il contenuto di XMDEClientAnalyzerBinary.zip nel computer.

    Se si usa un terminale, estrarre i file immettendo il comando seguente:

    unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary

  4. Passare alla directory dello strumento immettendo il comando seguente:

    cd XMDEClientAnalyzerBinary

  5. Vengono prodotti due nuovi file ZIP:

    • SupportToolLinuxBinary.zip : per tutti i dispositivi Linux
    • SupportToolMacOSBinary.zip : per i dispositivi Mac

  6. Decomprimere uno dei due file ZIP precedenti in base al computer che è necessario analizzare.

    Quando si usa un terminale, decomprimere il file immettendo uno dei comandi seguenti in base al tipo di sistema operativo:

    • Linux

      unzip -q SupportToolLinuxBinary.zip

    • Mac

      unzip -q SupportToolMacOSBinary.zip

  7. Eseguire lo strumento come radice per generare il pacchetto di diagnostica:

    sudo ./MDESupportTool -d

Esecuzione dell'analizzatore client basato su Python

Nota

  • L'analizzatore dipende da alcuni pacchetti PIP aggiuntivi (decorator, sh, distro, lxmle psutil) installati nel sistema operativo quando sono nella radice per produrre l'output dei risultati. Se non è installato, l'analizzatore tenta di recuperarlo dal repository ufficiale per i pacchetti Python.
  • Inoltre, lo strumento richiede attualmente l'installazione di Python versione 3 o successiva nel dispositivo.
  • Se il dispositivo si trova dietro un proxy, è sufficiente passare il server proxy come variabile di ambiente allo mde_support_tool.sh script. Ad esempio: https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh".

Avviso

L'esecuzione dell'analizzatore client basato su Python richiede l'installazione di pacchetti PIP che potrebbero causare alcuni problemi nell'ambiente. Per evitare che si verifichino problemi, è consigliabile installare i pacchetti in un ambiente PIP utente.

  1. Scaricare lo strumento analizzatore client XMDE nel computer macOS o Linux che è necessario analizzare.

    Se si usa un terminale, scaricare lo strumento eseguendo il comando seguente:

    wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer

  2. Verificare il download

    • Linux
    echo '84C9718FF3D29DA0EEE650FB2FC0625549A05CD1228AC253DBB92C8B1D9F1D11 XMDEClientAnalyzer.zip' | sha256sum -c
    • macOS
    echo '84C9718FF3D29DA0EEE650FB2FC0625549A05CD1228AC253DBB92C8B1D9F1D11  XMDEClientAnalyzer.zip' | shasum -a 256 -c

  3. Estrarre il contenuto di XMDEClientAnalyzer.zip nel computer. Se si usa un terminale, estrarre i file usando il comando seguente:

    unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzer

  4. Modificare la directory nel percorso estratto.

    cd XMDEClientAnalyzer

  5. Concedere all'eseguibile dello strumento l'autorizzazione:

    chmod a+x mde_support_tool.sh

  6. Eseguire come utente non radice per installare le dipendenze necessarie:

    ./mde_support_tool.sh

  7. Per raccogliere il pacchetto di diagnostica effettivo e generare il file di archivio dei risultati, eseguire di nuovo come radice:

    sudo ./mde_support_tool.sh -d

Opzioni della riga di comando

Righe di comando primarie

Usare il comando seguente per ottenere la diagnostica del computer.

-h, --help            show this help message and exit
--output OUTPUT, -o OUTPUT
                      Output path to export report
--outdir OUTDIR       Directory where diagnostics file will be generated
--no-zip, -nz         If set a directory will be created instead of an archive file
--force, -f           Will overwrite if output directory exists
--diagnostic, -d      Collect extensive machine diagnostic information
--bypass-disclaimer   Do not display disclaimer banner
--interactive, -i     Interactive diagnostic
--delay DELAY, -dd DELAY
                      Set MDATP log level. If you use interactive or delay mode, the log level will set to debug automatically, and reset after 48h.
--mdatp-log {info,debug,verbose,error,trace,warning}
                      Set MDATP log level
--max-log-size MAX_LOG_SIZE
                      Maximum log file size in MB before rotating(Will restart mdatp)

Esempio di utilizzo: sudo ./MDESupportTool -d

NOTA: la funzionalità di reimpostazione automatica a livello di log è disponibile solo nella versione client 2405 o successiva.

Argomenti posizionale

Raccogliere informazioni sulle prestazioni

Raccogliere un'ampia traccia delle prestazioni del computer per l'analisi di uno scenario di prestazioni che può essere riprodotto su richiesta.

-h, --help            show this help message and exit
--frequency FREQUENCY
                      profile at this frequency
--length LENGTH       length of time to collect (in seconds)

Esempio di utilizzo: sudo ./MDESupportTool performance --frequency 2

Usare la traccia del sistema operativo (solo per macOS)

Usare le funzionalità di traccia del sistema operativo per registrare le tracce delle prestazioni di Defender per endpoint.

Nota

Questa funzionalità esiste solo nella soluzione Python.

-h, --help       show this help message and exit
--length LENGTH  Length of time to record the trace (in seconds).
--mask MASK      Mask to select with event to trace. Defaults to all

Quando si esegue questo comando per la prima volta, viene installata una configurazione del profilo.

Seguire questa procedura per approvare l'installazione del profilo: Guida al supporto di Apple.

Esempio di utilizzo ./mde_support_tool.sh trace --length 5

Modalità di esclusione

Aggiungere esclusioni per il monitoraggio audit-d.

Nota

Questa funzionalità esiste solo per Linux.

  -h, --help            show this help message and exit
  -e <executable>, --exe <executable>
                        exclude by executable name, i.e: bash
  -p <process id>, --pid <process id>
                        exclude by process id, i.e: 911
  -d <directory>, --dir <directory>
                        exclude by target path, i.e: /var/foo/bar
  -x <executable> <directory>, --exe_dir <executable> <directory>
                        exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
  -q <q_size>, --queue <q_size>
                        set dispatcher q_depth size
  -r, --remove          remove exclusion file
  -s, --stat            get statistics about common executables
  -l, --list            list auditd rules
  -o, --override        Override the existing auditd exclusion rules file for mdatp
  -c <syscall number>, --syscall <syscall number>
                        exclude all process of the given syscall

Esempio di utilizzo: sudo ./MDESupportTool exclude -d /var/foo/bar

Limite di frequenza auditD

Sintassi che può essere usata per limitare il numero di eventi segnalati dal plug-in auditD. Questa opzione imposta il limite di frequenza a livello globale per AuditD causando un calo di tutti gli eventi di controllo. Quando il limitatore è abilitato, il numero di eventi controllati è limitato a 2500 eventi al secondo. Questa opzione può essere usata nei casi in cui viene visualizzato un utilizzo elevato della CPU dal lato AuditD.

Nota

Questa funzionalità esiste solo per Linux.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the rate limit with default values

Esempio di utilizzo: sudo ./mde_support_tool.sh ratelimit -e true

Nota

Questa funzionalità deve essere usata con attenzione in quanto limita il numero di eventi segnalati dal sottosistema controllato nel suo complesso. Ciò potrebbe ridurre anche il numero di eventi per altri sottoscrittori.

Regole di errore ignorate auditD

Questa opzione consente di ignorare le regole non valide aggiunte nel file delle regole controllate durante il caricamento. Questa opzione consente al sottosistema controllato di continuare a caricare le regole anche se è presente una regola difettosa. Questa opzione riepiloga i risultati del caricamento delle regole. In background, questa opzione esegue auditctl con l'opzione -c.

Nota

Questa funzionalità è disponibile solo in Linux.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.

Esempio di utilizzo: sudo ./mde_support_tool.sh skipfaultyrules -e true

Nota

Questa funzionalità ignora le regole difettose. La regola difettosa deve quindi essere ulteriormente identificata e corretta.

Contenuto del pacchetto dei risultati in macOS e Linux

  • report.html

    Descrizione: il file di output HTML principale che contiene i risultati e le indicazioni dell'esecuzione dello strumento analizzatore client nel dispositivo. Questo file viene generato solo quando si esegue la versione basata su Python dello strumento analizzatore client.

  • mde_diagnostic.zip

    Descrizione: stesso output di diagnostica generato durante l'esecuzione di mdatp diagnostic create in macOS o Linux.

  • mde.xml

    Descrizione: output XML generato durante l'esecuzione e usato per compilare il file di report HTML.

  • Processes_information.txt

    Descrizione: contiene i dettagli dei processi correlati Microsoft Defender per endpoint in esecuzione nel sistema.

  • Log.txt

    Descrizione: contiene gli stessi messaggi di log scritti sullo schermo durante la raccolta dati.

  • Health.txt

    Descrizione: lo stesso output di integrità di base visualizzato durante l'esecuzione del comando di integrità mdatp .

  • Events.xml

    Descrizione: file XML aggiuntivo usato dall'analizzatore durante la compilazione del report HTML.

  • Audited_info.txt

    Descrizione: dettagli sul servizio controllato e sui componenti correlati per il sistema operativo Linux .

  • perf_benchmark.tar.gz

    Descrizione: report di test delle prestazioni. Verrà visualizzato solo se si usa il parametro delle prestazioni.

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.