Delen via

De clientanalyse uitvoeren op macOS en Linux

  • Artikel

De XMDEClientAnalyzer wordt gebruikt voor het diagnosticeren van Microsoft Defender voor Eindpunt status- of betrouwbaarheidsproblemen op onboardingsapparaten met Linux of macOS.

Er zijn twee manieren om het hulpprogramma clientanalyse uit te voeren:

  1. Een binaire versie gebruiken (geen externe Python-afhankelijkheid)
  2. Een op Python gebaseerde oplossing gebruiken

De binaire versie van de clientanalyse uitvoeren

  1. Download het binaire hulpprogramma XMDE Client Analyzer naar de macOS- of Linux-computer die u wilt onderzoeken.
    Als u een terminal gebruikt, downloadt u het hulpprogramma door de volgende opdracht in te voeren:

    wget --quiet -O XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary

  2. Controleer het downloaden.

    • Linux
    echo '2A9BF0A6183831BE43C7BCB7917A40D772D226301B4CDA8EE4F258D00B6E4E97 XMDEClientAnalyzerBinary.zip' | sha256sum -c
    • macOS
    echo '2A9BF0A6183831BE43C7BCB7917A40D772D226301B4CDA8EE4F258D00B6E4E97  XMDEClientAnalyzerBinary.zip' | shasum -a 256 -c

  3. Pak de inhoud van XMDEClientAnalyzerBinary.zip op de computer uit.

    Als u een terminal gebruikt, extraheert u de bestanden door de volgende opdracht in te voeren:

    unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary

  4. Ga naar de map van het hulpprogramma door de volgende opdracht in te voeren:

    cd XMDEClientAnalyzerBinary

  5. Er worden twee nieuwe zip-bestanden geproduceerd:

    • SupportToolLinuxBinary.zip : voor alle Linux-apparaten
    • SupportToolMacOSBinary.zip : voor Mac-apparaten

  6. Pak een van de bovenstaande 2 zip-bestanden uit op basis van de computer die u moet onderzoeken.

    Wanneer u een terminal gebruikt, pakt u het bestand uit door een van de volgende opdrachten in te voeren op basis van het type besturingssysteem:

    • Linux

      unzip -q SupportToolLinuxBinary.zip

    • Mac

      unzip -q SupportToolMacOSBinary.zip

  7. Voer het hulpprogramma uit als hoofdmap om een diagnostisch pakket te genereren:

    sudo ./MDESupportTool -d

De clientanalyse op basis van Python uitvoeren

Opmerking

  • De analyzer is afhankelijk van enkele extra PIP-pakketten (decorator, sh, distro, lxmlen psutil) die in het besturingssysteem zijn geïnstalleerd wanneer ze zich in de hoofdmap bevinden om de resultaatuitvoer te produceren. Als deze niet is geïnstalleerd, probeert de analyzer het op te halen uit de officiële opslagplaats voor Python-pakketten.
  • Bovendien vereist het hulpprogramma momenteel dat Python versie 3 of hoger op uw apparaat is geïnstalleerd.
  • Als uw apparaat zich achter een proxy bevindt, kunt u de proxyserver als omgevingsvariabele doorgeven aan het mde_support_tool.sh script. Bijvoorbeeld: https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh".

Waarschuwing

Voor het uitvoeren van de clientanalyse op basis van Python is de installatie van PIP-pakketten vereist, wat problemen in uw omgeving kan veroorzaken. Om te voorkomen dat er problemen optreden, is het raadzaam dat u de pakketten installeert in een PIP-gebruikersomgeving.

  1. Download het hulpprogramma XMDE Client Analyzer naar de macOS- of Linux-computer die u wilt onderzoeken.

    Als u een terminal gebruikt, downloadt u het hulpprogramma door de volgende opdracht uit te voeren:

    wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer

  2. De download controleren

    • Linux
    echo '84C9718FF3D29DA0EEE650FB2FC0625549A05CD1228AC253DBB92C8B1D9F1D11 XMDEClientAnalyzer.zip' | sha256sum -c
    • macOS
    echo '84C9718FF3D29DA0EEE650FB2FC0625549A05CD1228AC253DBB92C8B1D9F1D11  XMDEClientAnalyzer.zip' | shasum -a 256 -c

  3. Pak de inhoud van XMDEClientAnalyzer.zip op de computer uit. Als u een terminal gebruikt, extraheert u de bestanden met de volgende opdracht:

    unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzer

  4. Wijzig de map in de geëxtraheerde locatie.

    cd XMDEClientAnalyzer

  5. Geef het hulpprogramma een uitvoerbare machtiging:

    chmod a+x mde_support_tool.sh

  6. Voer uit als een niet-hoofdgebruiker om vereiste afhankelijkheden te installeren:

    ./mde_support_tool.sh

  7. Als u het werkelijke diagnostische pakket wilt verzamelen en het resultaatarchiefbestand wilt genereren, voert u opnieuw uit als hoofdmap:

    sudo ./mde_support_tool.sh -d

Opdrachtregelopties

Primaire opdrachtregels

Gebruik de volgende opdracht om de computerdiagnose op te halen.

-h, --help            show this help message and exit
--output OUTPUT, -o OUTPUT
                      Output path to export report
--outdir OUTDIR       Directory where diagnostics file will be generated
--no-zip, -nz         If set a directory will be created instead of an archive file
--force, -f           Will overwrite if output directory exists
--diagnostic, -d      Collect extensive machine diagnostic information
--bypass-disclaimer   Do not display disclaimer banner
--interactive, -i     Interactive diagnostic
--delay DELAY, -dd DELAY
                      Set MDATP log level. If you use interactive or delay mode, the log level will set to debug automatically, and reset after 48h.
--mdatp-log {info,debug,verbose,error,trace,warning}
                      Set MDATP log level
--max-log-size MAX_LOG_SIZE
                      Maximum log file size in MB before rotating(Will restart mdatp)

Gebruiksvoorbeeld: sudo ./MDESupportTool -d

OPMERKING: De functie voor automatisch opnieuw instellen op logboekniveau is alleen beschikbaar in 2405 of nieuwere clientversie.

Positionele argumenten

Prestatiegegevens verzamelen

Verzamel uitgebreide tracering van machineprestaties voor analyse van een prestatiescenario dat op aanvraag kan worden gereproduceerd.

-h, --help            show this help message and exit
--frequency FREQUENCY
                      profile at this frequency
--length LENGTH       length of time to collect (in seconds)

Gebruiksvoorbeeld: sudo ./MDESupportTool performance --frequency 2

Besturingssysteemtracering gebruiken (alleen voor macOS)

Gebruik de traceringsfaciliteiten van het besturingssysteem om prestatietraceringen van Defender voor Eindpunt vast te leggen.

Opmerking

Deze functionaliteit bestaat alleen in de Python-oplossing.

-h, --help       show this help message and exit
--length LENGTH  Length of time to record the trace (in seconds).
--mask MASK      Mask to select with event to trace. Defaults to all

Als u deze opdracht voor het eerst uitvoert, wordt er een profielconfiguratie geïnstalleerd.

Volg dit om de profielinstallatie goed te keuren: Apple Support Guide.

Gebruiksvoorbeeld ./mde_support_tool.sh trace --length 5

Modus uitsluiten

Uitsluitingen voor controlecontrole toevoegen.

Opmerking

Deze functionaliteit bestaat alleen voor Linux.

  -h, --help            show this help message and exit
  -e <executable>, --exe <executable>
                        exclude by executable name, i.e: bash
  -p <process id>, --pid <process id>
                        exclude by process id, i.e: 911
  -d <directory>, --dir <directory>
                        exclude by target path, i.e: /var/foo/bar
  -x <executable> <directory>, --exe_dir <executable> <directory>
                        exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
  -q <q_size>, --queue <q_size>
                        set dispatcher q_depth size
  -r, --remove          remove exclusion file
  -s, --stat            get statistics about common executables
  -l, --list            list auditd rules
  -o, --override        Override the existing auditd exclusion rules file for mdatp
  -c <syscall number>, --syscall <syscall number>
                        exclude all process of the given syscall

Gebruiksvoorbeeld: sudo ./MDESupportTool exclude -d /var/foo/bar

AuditD Rate Limiter

Syntaxis die kan worden gebruikt om het aantal gebeurtenissen te beperken dat door de auditD-invoegtoepassing wordt gerapporteerd. Met deze optie stelt u de frequentielimiet globaal in voor AuditD, waardoor alle controlegebeurtenissen afnemen. Wanneer de limiter is ingeschakeld, is het aantal gecontroleerde gebeurtenissen beperkt tot 2500 gebeurtenissen per seconde. Deze optie kan worden gebruikt in gevallen waarin we een hoog CPU-gebruik zien aan de zijde van AuditD.

Opmerking

Deze functionaliteit bestaat alleen voor Linux.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the rate limit with default values

Gebruiksvoorbeeld: sudo ./mde_support_tool.sh ratelimit -e true

Opmerking

Deze functionaliteit moet zorgvuldig worden gebruikt om het aantal gebeurtenissen te beperken dat door het gecontroleerde subsysteem als geheel wordt gerapporteerd. Dit kan ook het aantal gebeurtenissen voor andere abonnees verminderen.

Foutieve regels overslaan gecontroleerd

Met deze optie kunt u de onjuiste regels overslaan die zijn toegevoegd aan het bestand met gecontroleerde regels tijdens het laden ervan. Met deze optie kan het gecontroleerde subsysteem regels blijven laden, zelfs als er een onjuiste regel is. Deze optie geeft een overzicht van de resultaten van het laden van de regels. Op de achtergrond wordt met deze optie de auditctl uitgevoerd met de optie -c.

Opmerking

Deze functionaliteit is alleen beschikbaar op Linux.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.

Gebruiksvoorbeeld: sudo ./mde_support_tool.sh skipfaultyrules -e true

Opmerking

Met deze functionaliteit worden de onjuiste regels overgeslagen. De foutieve regel moet vervolgens verder worden geïdentificeerd en opgelost.

Inhoud van het resultaatpakket in macOS en Linux

  • report.html

    Beschrijving: het belangrijkste HTML-uitvoerbestand met de bevindingen en richtlijnen van het uitvoeren van het hulpprogramma clientanalyse op het apparaat. Dit bestand wordt alleen gegenereerd bij het uitvoeren van de Python-versie van het hulpprogramma clientanalyse.

  • mde_diagnostic.zip

    Beschrijving: Dezelfde diagnostische uitvoer die wordt gegenereerd bij het uitvoeren van mdatp diagnostic create op macOS of Linux.

  • mde.xml

    Beschrijving: XML-uitvoer die wordt gegenereerd tijdens het uitvoeren en wordt gebruikt om het HTML-rapportbestand te bouwen.

  • Processes_information.txt

    Beschrijving: bevat de details van de actieve Microsoft Defender voor Eindpunt gerelateerde processen op het systeem.

  • Log.txt

    Beschrijving: bevat dezelfde logboekberichten die tijdens het verzamelen van gegevens op het scherm zijn geschreven.

  • Health.txt

    Beschrijving: dezelfde basisstatusuitvoer die wordt weergegeven bij het uitvoeren van de opdracht mdatp-status .

  • Events.xml

    Beschrijving: aanvullend XML-bestand dat door de analyse wordt gebruikt bij het bouwen van het HTML-rapport.

  • Audited_info.txt

    Beschrijving: details over gecontroleerde service en gerelateerde onderdelen voor het Linux-besturingssysteem .

  • perf_benchmark.tar.gz

    Beschrijving: de prestatietestrapporten. U ziet dit alleen als u de prestatieparameter gebruikt.

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.