macOS または Linux でクライアント アナライザーを実行する

適用対象:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2

XMDEClientAnalyzer は、Linux または macOS を実行しているオンボード デバイスMicrosoft Defender for Endpoint正常性または信頼性の問題を診断するために使用されます。

クライアント アナライザー ツールを実行するには、次の 2 つの方法があります。

1. バイナリ バージョンの使用 (Python 依存関係なし)
2. Python ベースのソリューションの使用

クライアント アナライザーのバイナリ バージョンの実行

1. 調査する必要がある macOS または Linux マシンに XMDE クライアント アナライザー バイナリ ツールをダウンロードします。
   ターミナルを使用している場合は、次のコマンドを入力してツールをダウンロードします。

   wget --quiet -O XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary
   

2. ダウンロードを確認します。

   注:

   このリンクからダウンロードされる 'XMDEClientAnalyzerBinary.zip' の現在の SHA256 ハッシュは、'9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469' です。

   • Linux

   echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 XMDEClientAnalyzerBinary.zip' | sha256sum -c
   

   • macOS

   echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469  XMDEClientAnalyzerBinary.zip' | shasum -a 256 -c
   

3. マシン上の XMDEClientAnalyzerBinary.zip の内容を抽出します。

   ターミナルを使用している場合は、次のコマンドを入力してファイルを抽出します。

   unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary
   

4. 次のコマンドを入力して、ツールのディレクトリに移動します。

   cd XMDEClientAnalyzerBinary
   

5. 3 つの新しい zip ファイルが生成されます。

   • SupportToolLinuxBinary.zip : すべての Linux デバイス
   • SupportToolMacOSBinary.zip : Mac デバイスの場合

6. 調査する必要があるマシンに基づいて、上記の 2 つの zip ファイルのいずれかを解凍します。
   ターミナルを使用する場合は、OS の種類に基づいて次のいずれかのコマンドを入力してファイルを解凍します。

   • Linux

     unzip -q SupportToolLinuxBinary.zip
     

   • Mac

     unzip -q SupportToolMacOSBinary.zip
     

7. ルートとしてツールを実行して診断パッケージを生成します。

   sudo ./MDESupportTool -d
   

Python ベースのクライアント アナライザーの実行

注:

• アナライザーは、結果の出力を生成するためにルートにインストールされているいくつかの追加の PIP パッケージ (sh、distro、lxml、pandas) に依存します。 インストールされていない場合、アナライザーは Python パッケージの公式リポジトリからフェッチしようとします。

  警告

  Python ベースのクライアント アナライザーを実行するには、PIP パッケージをインストールする必要があります。これは、環境内で問題が発生する可能性があります。 問題が発生しないように、パッケージをユーザー PIP 環境にインストールすることをお勧めします。

• さらに、このツールでは現在、Python バージョン 3 以降をインストールする必要があります。

• デバイスがプロキシの背後にある場合は、プロキシ サーバーを環境変数として mde_support_tool.sh スクリプトに渡すだけです。 例えば：。 https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh"

1. 調査する必要がある macOS または Linux コンピューターに XMDE クライアント アナライザー ツールをダウンロードします。

   ターミナルを使用している場合は、次のコマンドを実行してツールをダウンロードします。

   wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer
   

2. ダウンロードを確認する

   • Linux

   echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c
   

   • macOS

   echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66  XMDEClientAnalyzer.zip' | shasum -a 256 -c
   

3. コンピューター上の MDEClientAnalyzer.zip の内容を抽出します。
   ターミナルを使用している場合は、次のコマンドを使用してファイルを抽出します。

   unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzer
   

4. ディレクトリを抽出された場所に変更します。

   cd XMDEClientAnalyzer
   

5. ツールの実行可能なアクセス許可を付与します。

   chmod a+x mde_support_tool.sh
   

6. ルート以外のユーザーとして実行して、必要な依存関係をインストールします。

   ./mde_support_tool.sh
   

7. 実際の診断パッケージを収集し、結果アーカイブ ファイルを生成するには、ルートとしてもう一度実行します。

   sudo ./mde_support_tool.sh -d
   

コマンド ライン オプション

プライマリ コマンド ライン

次のコマンドを使用して、マシン診断を取得します。

-h, --help            show this help message and exit
--output OUTPUT, -o OUTPUT
                      Output path to export report
--outdir OUTDIR       Directory where diagnostics file will be generated
--no-zip, -nz         If set a directory will be created instead of an archive file
--force, -f           Will overwrite if output directory exists
--diagnostic, -d      Collect extensive machine diagnostic information
--bypass-disclaimer   Do not display disclaimer banner
--mdatp-log {info,debug,verbose,error,trace,warning}
                      Set MDATP log level
--max-log-size MAX_LOG_SIZE
                      Maximum log file size in MB before rotating(Will restart mdatp)

使用例: sudo ./MDESupportTool -d

位置指定引数

パフォーマンス情報を収集する

必要に応じて再現できるパフォーマンス シナリオの分析のために、広範なマシン パフォーマンス トレースを収集します。

-h, --help            show this help message and exit
--frequency FREQUENCY
                      profile at this frequency
--length LENGTH       length of time to collect (in seconds)

使用例: sudo ./MDESupportTool performance --frequency 2

OS トレースを使用する (macOS の場合のみ)

OS トレース機能を使用して、Defender for Endpoint パフォーマンス トレースを記録します。

注:

この機能は Python ソリューションにのみ存在します。

-h, --help       show this help message and exit
--length LENGTH  Length of time to record the trace (in seconds).
--mask MASK      Mask to select with event to trace. Defaults to all

このコマンドを初めて実行すると、プロファイル構成がインストールされます。

プロファイルのインストールを承認するには、 Apple サポート ガイドを参照してください。

使用例 ./mde_support_tool.sh trace --length 5

除外モード

audit-d 監視の除外を追加します。

注:

この機能は Linux 専用です。

  -h, --help            show this help message and exit
  -e <executable>, --exe <executable>
                        exclude by executable name, i.e: bash
  -p <process id>, --pid <process id>
                        exclude by process id, i.e: 911
  -d <directory>, --dir <directory>
                        exclude by target path, i.e: /var/foo/bar
  -x <executable> <directory>, --exe_dir <executable> <directory>
                        exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
  -q <q_size>, --queue <q_size>
                        set dispatcher q_depth size
  -r, --remove          remove exclusion file
  -s, --stat            get statistics about common executables
  -l, --list            list auditd rules
  -o, --override        Override the existing auditd exclusion rules file for mdatp
  -c <syscall number>, --syscall <syscall number>
                        exclude all process of the given syscall

使用例: sudo ./MDESupportTool exclude -d /var/foo/bar

AuditD Rate Limiter

auditD プラグインによって報告されるイベントの数を制限するために使用できる構文。 このオプションでは、AuditD のレート制限がグローバルに設定され、すべての監査イベントが低下します。 リミッターが有効になっている場合、監査されたイベントの数は 2500 イベント/秒に制限されます。このオプションは、AuditD 側から CPU 使用率が高い場合に使用できます。

注:

この機能は Linux 専用です。

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the rate limit with default values

使用例: sudo ./mde_support_tool.sh ratelimit -e true

注:

この機能は、監査されたサブシステム全体によって報告されるイベントの数を制限するために慎重に使用する必要があります。 これにより、他のサブスクライバーのイベントの数も減る可能性があります。

AuditD Skip Faulty Rules

このオプションを使用すると、監査されたルール ファイルに追加されたエラーのあるルールを読み込み中にスキップできます。 このオプションを使用すると、障害のあるルールがある場合でも、監査済みサブシステムでルールの読み込みを続行できます。 このオプションは、ルールの読み込みの結果をまとめたものです。 バックグラウンドでは、このオプションは -c オプションを使用して auditctl を実行します。

注:

この機能は Linux でのみ使用できます。

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.

使用例: sudo ./mde_support_tool.sh skipfaultyrules -e true

注:

この機能は、障害のあるルールをスキップします。 その後、障害のあるルールをさらに特定して修正する必要があります。

macOS と Linux 上の結果パッケージの内容

• report.html

  説明: コンピューターでアナライザー スクリプトを実行して生成できる結果とガイダンスを含む、メイン HTML 出力ファイル。

• mde_diagnostic.zip

  説明: macOS または Linux で mdatp 診断作成を実行するときに生成されるのと同じ診断出力。

• mde.xml

  説明: 実行中に生成され、HTML レポート ファイルの作成に使用される XML 出力。

• Processes_information.txt

  説明: システム上で実行中のMicrosoft Defender for Endpoint関連プロセスの詳細が含まれます。

• Log.txt

  説明: データ収集中に画面に書き込まれたのと同じログ メッセージが含まれます。

• Health.txt

  説明: mdatp 正常性コマンドの実行時に表示されるのと同じ基本的な正常性出力。

• Events.xml

  説明: HTML レポートの作成時にアナライザーによって使用される追加の XML ファイル。

• Audited_info.txt

  説明: 監査されたサービスと Linux OS の関連コンポーネントの詳細。

• perf_benchmark.tar.gz

  説明: パフォーマンス テストレポート。 これは、パフォーマンス パラメーターを使用している場合にのみ表示されます。

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。