De clientanalyse uitvoeren op macOS en Linux

Van toepassing op:

De XMDEClientAnalyzer wordt gebruikt voor het diagnosticeren van Microsoft Defender voor Eindpunt status- of betrouwbaarheidsproblemen op onboardingsapparaten met Linux of macOS.

Er zijn twee manieren om het hulpprogramma clientanalyse uit te voeren:

  1. Een binaire versie gebruiken (geen Python-afhankelijkheid)
  2. Een op Python gebaseerde oplossing gebruiken

De binaire versie van de clientanalyse uitvoeren

  1. Download het binaire hulpprogramma XMDE Client Analyzer naar de macOS- of Linux-computer die u wilt onderzoeken.
    Als u een terminal gebruikt, downloadt u het hulpprogramma door de volgende opdracht in te voeren:

    wget --quiet -O XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary
    
  2. Controleer het downloaden.

    Opmerking

    De huidige SHA256-hash van 'XMDEClientAnalyzerBinary.zip' die via deze koppeling wordt gedownload, is: '0A8E32B618F278BED60AB6763E9458BA2CD02C99D718E50DCCE51A7DBAC69863'

    echo '0A8E32B618F278BED60AB6763E9458BA2CD02C99D718E50DCCE51A7DBAC69863 XMDEClientAnalyzerBinary.zip' | sha256sum -c
    
  3. Pak de inhoud van XMDEClientAnalyzerBinary.zip op de computer uit.

    Als u een terminal gebruikt, extraheert u de bestanden door de volgende opdracht in te voeren:

    unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary
    
  4. Ga naar de map van het hulpprogramma door de volgende opdracht in te voeren:

    cd XMDEClientAnalyzerBinary
    
  5. Er worden drie nieuwe zip-bestanden geproduceerd:

    • SupportToolLinuxBinary.zip : voor alle Linux-apparaten
    • SupportToolmacOSBinary.zip : voor Mac-apparaten op basis van Intel
    • SupportToolmacOS-armBinary.zip : voor Mac-apparaten met arm
  6. Pak een van de bovenstaande 3 zip-bestanden uit op basis van de computer die u moet onderzoeken.
    Wanneer u een terminal gebruikt, pakt u het bestand uit door een van de volgende opdrachten in te voeren op basis van het type machine:

    • Linux

      unzip -q SupportToolLinuxBinary.zip
      
    • Mac op basis van Intel

      unzip -q SupportToolmacOSBinary.zip
      
    • Voor Op Arm gebaseerde Mac-apparaten

      unzip -q SupportToolmacOS-armBinary.zip
      
  7. Voer het hulpprogramma uit als hoofdmap om een diagnostisch pakket te genereren:

    sudo ./MDESupportTool -d
    

De clientanalyse op basis van Python uitvoeren

Opmerking

  • De analyzer is afhankelijk van enkele extra PIP-pakketten (sh, distro, lxml, pandas) die in het besturingssysteem zijn geïnstalleerd in root om de resultaatuitvoer te produceren. Als deze niet is geïnstalleerd, probeert de analyzer deze op te halen uit de officiële opslagplaats voor Python-pakketten.

    Waarschuwing

    Voor het uitvoeren van de clientanalyse op basis van Python is de installatie van PIP-pakketten vereist, wat problemen in uw omgeving kan veroorzaken. Om te voorkomen dat er problemen optreden, is het raadzaam dat u de pakketten installeert in een PIP-gebruikersomgeving.

  • Bovendien moet voor het hulpprogramma momenteel Python versie 3 of hoger worden geïnstalleerd.

  • Als uw apparaat zich achter een proxy bevindt, kunt u de proxyserver als omgevingsvariabele doorgeven aan het mde_support_tool.sh script. Bijvoorbeeld: . https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh"

  1. Download het hulpprogramma XMDE Client Analyzer naar de macOS- of Linux-computer die u wilt onderzoeken.

    Als u een terminal gebruikt, downloadt u het hulpprogramma door de volgende opdracht uit te voeren:

    wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer
    
  2. De download controleren

    echo '926DEF4C6857641E205E7978126F7C2CE541D52AEA1C0E194DDB85F7BCFDE3D9 XMDEClientAnalyzer.zip' | sha256sum -c
    
  3. Pak de inhoud van XMDEClientAnalyzer.zip op de computer uit.
    Als u een terminal gebruikt, extraheert u de bestanden met de volgende opdracht:

    unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzer
    
  4. Wijzig de map in de geëxtraheerde locatie.

    cd XMDEClientAnalyzer
    
  5. Geef het hulpprogramma een uitvoerbare machtiging:

    chmod a+x mde_support_tool.sh
    
  6. Voer uit als een niet-hoofdgebruiker om vereiste afhankelijkheden te installeren:

    ./mde_support_tool.sh
    
  7. Als u het werkelijke diagnostische pakket wilt verzamelen en het resultaatarchiefbestand wilt genereren, voert u opnieuw uit als hoofdmap:

    sudo ./mde_support_tool.sh -d
    

Opdrachtregelopties

Primaire opdrachtregels

Gebruik de volgende opdracht om de computerdiagnose op te halen.

-h, --help            show this help message and exit
--output OUTPUT, -o OUTPUT
                      Output path to export report
--outdir OUTDIR       Directory where diagnostics file will be generated
--no-zip, -nz         If set a directory will be created instead of an archive file
--force, -f           Will overwrite if output directory exists
--diagnostic, -d      Collect extensive machine diagnostic information
--bypass-disclaimer   Do not display disclaimer banner
--mdatp-log {info,debug,verbose,error,trace,warning}
                      Set MDATP log level
--max-log-size MAX_LOG_SIZE
                      Maximum log file size in MB before rotating(Will restart mdatp)

Gebruiksvoorbeeld: sudo ./MDESupportTool -d

Positionele argumenten

Prestatiegegevens verzamelen

Verzamel uitgebreide tracering van machineprestaties voor analyse van een prestatiescenario dat op aanvraag kan worden gereproduceerd.

-h, --help            show this help message and exit
--frequency FREQUENCY
                      profile at this frequency
--length LENGTH       length of time to collect (in seconds)

Gebruiksvoorbeeld: sudo ./MDESupportTool performance --frequency 2

Besturingssysteemtracering gebruiken (alleen voor macOS)

Gebruik de traceringsfaciliteiten van het besturingssysteem om prestatietraceringen van Defender voor Eindpunt vast te leggen.

Opmerking

Deze functionaliteit bestaat alleen in de Python-oplossing.

-h, --help       show this help message and exit
--length LENGTH  Length of time to record the trace (in seconds).
--mask MASK      Mask to select with event to trace. Defaults to all

Als u deze opdracht voor het eerst uitvoert, wordt er een profielconfiguratie geïnstalleerd.

Volg dit om de profielinstallatie goed te keuren: Apple Support Guide.

Gebruiksvoorbeeld ./mde_support_tool.sh trace --length 5

Modus uitsluiten

Uitsluitingen voor controlecontrole toevoegen.

Opmerking

Deze functionaliteit bestaat alleen voor Linux.

  -h, --help            show this help message and exit
  -e <executable>, --exe <executable>
                        exclude by executable name, i.e: bash
  -p <process id>, --pid <process id>
                        exclude by process id, i.e: 911
  -d <directory>, --dir <directory>
                        exclude by target path, i.e: /var/foo/bar
  -x <executable> <directory>, --exe_dir <executable> <directory>
                        exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
  -q <q_size>, --queue <q_size>
                        set dispatcher q_depth size
  -r, --remove          remove exclusion file
  -s, --stat            get statistics about common executables
  -l, --list            list auditd rules
  -o, --override        Override the existing auditd exclusion rules file for mdatp
  -c <syscall number>, --syscall <syscall number>
                        exclude all process of the given syscall

Gebruiksvoorbeeld: sudo ./MDESupportTool exclude -d /var/foo/bar

AuditD Rate Limiter

Syntaxis die kan worden gebruikt om het aantal gebeurtenissen te beperken dat door de auditD-invoegtoepassing wordt gerapporteerd. Met deze optie stelt u de frequentielimiet globaal in voor AuditD, waardoor alle controlegebeurtenissen afnemen. Wanneer de limiter is ingeschakeld, is het aantal gecontroleerde gebeurtenissen beperkt tot 2500 gebeurtenissen per seconde. Deze optie kan worden gebruikt in gevallen waarin we een hoog CPU-gebruik zien aan de zijde van AuditD.

Opmerking

Deze functionaliteit bestaat alleen voor Linux.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the rate limit with default values

Gebruiksvoorbeeld: sudo ./mde_support_tool.sh ratelimit -e true

Opmerking

Deze functionaliteit moet zorgvuldig worden gebruikt om het aantal gebeurtenissen te beperken dat door het gecontroleerde subsysteem als geheel wordt gerapporteerd. Dit kan ook het aantal gebeurtenissen voor andere abonnees verminderen.

Foutieve regels overslaan gecontroleerd

Met deze optie kunt u de onjuiste regels overslaan die zijn toegevoegd aan het bestand met gecontroleerde regels tijdens het laden ervan. Met deze optie kan het gecontroleerde subsysteem regels blijven laden, zelfs als er een onjuiste regel is. Deze optie geeft een overzicht van de resultaten van het laden van de regels. Op de achtergrond wordt met deze optie de auditctl uitgevoerd met de optie -c.

Opmerking

Deze functionaliteit is alleen beschikbaar op Linux.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.

Gebruiksvoorbeeld: sudo ./mde_support_tool.sh skipfaultyrules -e true

Opmerking

Met deze functionaliteit worden de onjuiste regels overgeslagen. De foutieve regel moet vervolgens verder worden geïdentificeerd en opgelost.

Inhoud van het resultaatpakket in macOS en Linux

  • report.html

    Beschrijving: het belangrijkste HTML-uitvoerbestand met de bevindingen en richtlijnen die het analysescript op de computer kan produceren.

  • mde_diagnostic.zip

    Beschrijving: Dezelfde diagnostische uitvoer die wordt gegenereerd bij het uitvoeren van mdatp diagnostic create op macOS of Linux.

  • mde.xml

    Beschrijving: XML-uitvoer die wordt gegenereerd tijdens het uitvoeren en wordt gebruikt om het HTML-rapportbestand te bouwen.

  • Processes_information.txt

    Beschrijving: bevat de details van de actieve Microsoft Defender voor Eindpunt gerelateerde processen op het systeem.

  • Log.txt

    Beschrijving: bevat dezelfde logboekberichten die tijdens het verzamelen van gegevens op het scherm zijn geschreven.

  • Health.txt

    Beschrijving: dezelfde basisstatusuitvoer die wordt weergegeven bij het uitvoeren van de opdracht mdatp-status .

  • Events.xml

    Beschrijving: aanvullend XML-bestand dat door de analyse wordt gebruikt bij het bouwen van het HTML-rapport.

  • Audited_info.txt

    Beschrijving: details over gecontroleerde service en gerelateerde onderdelen voor het Linux-besturingssysteem .

  • perf_benchmark.tar.gz

    Beschrijving: de prestatietestrapporten. U ziet dit alleen als u de prestatieparameter gebruikt.

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.