라이브 응답을 사용하여 엔드포인트용 Microsoft Defender에서 지원 로그 수집
적용 대상:
엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.
지원에 문의할 때 엔드포인트용 Microsoft Defender 클라이언트 분석기 도구의 출력 패키지를 제공하라는 메시지가 표시될 수 있습니다.
이 문서에서는 Windows 및 Linux 컴퓨터에서 라이브 응답을 통해 도구를 실행하는 방법에 대한 지침을 제공합니다.
Windows
엔드포인트용 Microsoft Defender 클라이언트 분석기의 도구 하위 디렉터리 내에서 사용할 수 있는 필수 스크립트를 다운로드하고 가져옵니다.
예를 들어 기본 센서 및 디바이스 상태 로그를 가져오려면 를 가져옵니다
..\Tools\MDELiveAnalyzer.ps1.Microsoft Defender 바이러스 백신 지원 로그()
MpSupportFiles.cab도 필요한 경우 를 페치..\Tools\MDELiveAnalyzerAV.ps1합니다.조사해야 하는 컴퓨터에서 라이브 응답 세션을 시작합니다.
라이브러리에 파일 업로드를 선택합니다.
파일 선택을 선택합니다.
라는
MDELiveAnalyzer.ps1다운로드한 파일을 선택한 다음 확인을 선택합니다.
LiveResponse 세션에 있는 동안 다음 명령을 사용하여 분석기를 실행하고 결과 파일을 수집합니다.
Run MDELiveAnalyzer.ps1 GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDEClientAnalyzerResult.zip"
추가 정보
MDEClientAnalyzer의 최신 미리 보기 버전은 에서 https://aka.ms/Betamdeanalyzer다운로드할 수 있습니다.
LiveAnalyzer 스크립트는 대상 컴퓨터의 문제 해결 패키지를 에서
https://mdatpclientanalyzer.blob.core.windows.net다운로드합니다.컴퓨터가 위의 URL에 도달하도록 허용할 수 없는 경우 LiveAnalyzer 스크립트를 실행하기 전에 라이브러리에 파일을 업로드
MDEClientAnalyzerPreview.zip합니다.PutFile MDEClientAnalyzerPreview.zip -overwrite Run MDELiveAnalyzer.ps1 GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDEClientAnalyzerResult.zip"컴퓨터가 엔드포인트용 Microsoft Defender 클라우드 서비스와 통신하지 않거나 예상대로 엔드포인트용 Microsoft Defender 포털에 표시되지 않는 경우 컴퓨터에서 로컬로 데이터를 수집하는 방법에 대한 자세한 내용은 엔드포인트용 Microsoft Defender 서비스 URL에 대한 클라이언트 연결 확인을 참조하세요.
라이브 응답 명령 예제에 설명된 대로 명령 끝에 있는 기호를 사용하여
&로그를 백그라운드 작업으로 수집할 수 있습니다.Run MDELiveAnalyzer.ps1&
Linux
XMDE 클라이언트 분석기 도구는 Linux 컴퓨터에서 추출 및 실행할 수 있는 이진 또는 Python 패키지로 다운로드할 수 있습니다. 두 버전의 XMDE 클라이언트 분석기는 라이브 응답 세션 중에 실행할 수 있습니다.
필수 구성 요소
설치의 경우 패키지가
unzip필요합니다.실행의 경우 패키지가
acl필요합니다.
중요
Window는 캐리지 리턴 및 줄 바꿈 보이지 않는 문자를 사용하여 파일에서 한 줄의 끝과 새 줄의 시작을 나타내지만 Linux 시스템은 파일 줄 끝에 있는 줄 바꿈 보이지 않는 문자만 사용합니다. 다음 스크립트를 사용하는 경우 Windows에서 수행하면 이 차이로 인해 스크립트가 실행되고 오류가 발생할 수 있습니다. 이에 대한 잠재적인 해결 방법은 Linux용 Windows 하위 시스템 및 패키지를 활용하여 Unix 및 dos2unix Linux 형식 표준에 맞게 스크립트를 다시 포맷하는 것입니다.
XMDE 클라이언트 분석기 설치
XMDE 클라이언트 분석기, 이진 및 Python의 두 버전 모두 실행하기 전에 다운로드 및 추출해야 하는 자체 포함 패키지이며 이 프로세스에 대한 전체 단계 집합을 찾을 수 있습니다.
라이브 응답에서 사용할 수 있는 제한된 명령으로 인해 자세한 단계는 bash 스크립트에서 실행되어야 하며, 이러한 명령의 설치 및 실행 부분을 분할하여 실행 스크립트를 여러 번 실행하는 동안 설치 스크립트를 한 번 실행할 수 있습니다.
중요
예제 스크립트는 컴퓨터에 직접 인터넷에 액세스할 수 있으며 Microsoft에서 XMDE 클라이언트 분석기를 검색할 수 있다고 가정합니다. 컴퓨터에 직접 인터넷에 액세스할 수 없는 경우 컴퓨터가 성공적으로 액세스할 수 있는 위치에서 XMDE 클라이언트 분석기를 가져오려면 설치 스크립트를 업데이트해야 합니다.
이진 클라이언트 분석기 설치 스크립트
다음 스크립트는 클라이언트 분석기의 이진 버전 실행의 처음 6단계를 수행합니다. 완료되면 디렉터리에서 XMDE 클라이언트 분석기 이진 파일을 /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer 사용할 수 있습니다.
bash 파일을
InstallXMDEClientAnalyzer.sh만들고 다음 콘텐츠를 붙여넣습니다.#! /usr/bin/bash echo "Starting Client Analyzer Script. Running As:" whoami echo "Getting XMDEClientAnalyzerBinary" wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c echo "Unzipping XMDEClientAnalyzerBinary.zip" unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary echo "Unzipping SupportToolLinuxBinary.zip" unzip -q /tmp/XMDEClientAnalyzerBinary/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
Python 클라이언트 분석기 설치 스크립트
다음 스크립트는 클라이언트 분석기의 Python 버전 실행의 처음 6단계를 수행합니다. 완료되면 디렉터리에서 XMDE 클라이언트 분석기 Python 스크립트를 /tmp/XMDEClientAnalyzer 사용할 수 있습니다.
bash 파일을
InstallXMDEClientAnalyzer.sh만들고 다음 콘텐츠를 붙여넣습니다.#! /usr/bin/bash echo "Starting Client Analyzer Install Script. Running As:" whoami echo "Getting XMDEClientAnalyzer.zip" wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c echo "Unzipping XMDEClientAnalyzer.zip" unzip -q XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer echo "Setting execute permissions on mde_support_tool.sh script" cd /tmp/XMDEClientAnalyzer chmod a+x mde_support_tool.sh echo "Performing final support tool setup" ./mde_support_tool.sh
클라이언트 분석기 설치 스크립트 실행
조사해야 하는 컴퓨터에서 라이브 응답 세션을 시작합니다.
라이브러리에 파일 업로드를 선택합니다.
파일 선택을 선택합니다.
라는
InstallXMDEClientAnalyzer.sh다운로드한 파일을 선택한 다음 확인을 선택합니다.LiveResponse 세션에 있는 동안 다음 명령을 사용하여 분석기를 설치합니다.
run InstallXMDEClientAnalyzer.sh
XMDE 클라이언트 분석기 실행
라이브 응답은 XMDE 클라이언트 분석기 또는 Python을 직접 실행하는 것을 지원하지 않으므로 실행 스크립트가 필요합니다.
중요
다음 스크립트는 앞에서 언급한 스크립트와 동일한 위치를 사용하여 XMDE 클라이언트 분석기가 설치되었다고 가정합니다. 조직에서 스크립트를 다른 위치에 설치하도록 선택한 경우 조직의 선택한 설치 위치에 맞게 다음 스크립트를 업데이트해야 합니다.
이진 클라이언트 분석기 실행 스크립트
Binary Client Analyzer는 명령줄 매개 변수를 수락하여 다양한 분석 테스트를 수행합니다. 라이브 응답 중에 유사한 기능을 제공하기 위해 실행 스크립트는 bash 변수를 $@ 활용하여 스크립트에 제공된 모든 입력 매개 변수를 XMDE 클라이언트 분석기에 전달합니다.
bash 파일을
MDESupportTool.sh만들고 다음 콘텐츠를 붙여넣습니다.#! /usr/bin/bash echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer" cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer echo "Running MDESupportTool" ./MDESupportTool $@
Python 클라이언트 분석기 실행 스크립트
Python 클라이언트 분석기는 명령줄 매개 변수를 수락하여 다양한 분석 테스트를 수행합니다. 라이브 응답 중에 유사한 기능을 제공하기 위해 실행 스크립트는 bash 변수를 $@ 활용하여 스크립트에 제공된 모든 입력 매개 변수를 XMDE 클라이언트 분석기에 전달합니다.
bash 파일을
MDESupportTool.sh만들고 다음 콘텐츠를 붙여넣습니다.#! /usr/bin/bash echo "cd /tmp/XMDEClientAnalyzer" cd /tmp/XMDEClientAnalyzer echo "Running mde_support_tool" ./mde_support_tool.sh $@
클라이언트 분석기 스크립트 실행
참고
활성 라이브 응답 세션이 있는 경우 1단계를 건너뛸 수 있습니다.
조사해야 하는 컴퓨터에서 라이브 응답 세션을 시작합니다.
라이브러리에 파일 업로드를 선택합니다.
파일 선택을 선택합니다.
라는
MDESupportTool.sh다운로드한 파일을 선택한 다음 확인을 선택합니다.라이브 응답 세션에 있는 동안 다음 명령을 사용하여 분석기를 실행하고 결과 파일을 수집합니다.
run MDESupportTool.sh -parameters "--bypass-disclaimer -d" GetFile "/tmp/your_archive_file_name_here.zip"
참고 항목
- 클라이언트 분석기 개요
- 클라이언트 분석기 다운로드 및 실행
- Windows에서 클라이언트 분석기 실행
- macOS 또는 Linux에서 클라이언트 분석기 실행
- Windows에서 고급 문제 해결을 위한 데이터 수집
- 분석기 HTML 보고서 이해
팁
더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티: 엔드포인트용 Microsoft Defender 기술 커뮤니티에서 Microsoft 보안 커뮤니티에 참여하세요.