Recolher registos de suporte no Microsoft Defender para Endpoint com a resposta em direto
Aplica-se a:
Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.
Ao contactar o suporte, poderá ser-lhe pedido que forneça o pacote de saída da ferramenta Microsoft Defender para Endpoint Client Analyzer.
Este artigo fornece instruções sobre como executar a ferramenta através da Resposta Em Direto no Windows e em computadores Linux.
Windows
Transfira e obtenha os scripts necessários disponíveis no subdiretório Ferramentas do Microsoft Defender para Endpoint Client Analyzer.
Por exemplo, para obter os registos básicos do sensor e do estado de funcionamento do dispositivo, obtenha
..\Tools\MDELiveAnalyzer.ps1
.Se também necessitar de registos de suporte do Antivírus do Microsoft Defender (
MpSupportFiles.cab
), obtenha..\Tools\MDELiveAnalyzerAV.ps1
.Inicie uma sessão de Resposta em Direto no computador que precisa de investigar.
Selecione Carregar ficheiro para a biblioteca.
Selecione Escolher ficheiro.
Selecione o ficheiro transferido com o nome
MDELiveAnalyzer.ps1
e, em seguida, selecione Confirmar.Ainda na sessão LiveResponse, utilize os seguintes comandos para executar o analisador e recolher o ficheiro resultante.
Run MDELiveAnalyzer.ps1 GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDEClientAnalyzerResult.zip"
Informações adicionais
A versão de pré-visualização mais recente do MDEClientAnalyzer pode ser transferida aqui: https://aka.ms/Betamdeanalyzer.
O script do LiveAnalyzer transfere o pacote de resolução de problemas no computador de destino a partir de:
https://mdatpclientanalyzer.blob.core.windows.net
.Se não conseguir permitir que o computador atinja o URL acima, carregue
MDEClientAnalyzerPreview.zip
o ficheiro para a biblioteca antes de executar o script do LiveAnalyzer:PutFile MDEClientAnalyzerPreview.zip -overwrite Run MDELiveAnalyzer.ps1 GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDEClientAnalyzerResult.zip"
Para obter mais informações sobre como recolher dados localmente num computador, caso o computador não esteja a comunicar com os serviços cloud do Microsoft Defender para Endpoint ou não apareça no portal do Microsoft Defender para Endpoint conforme esperado, veja Verificar a conectividade do cliente com os URLs de serviço do Microsoft Defender para Endpoint.
Conforme descrito em Exemplos de comandos de resposta em direto, poderá querer utilizar o
&
símbolo no final do comando para recolher registos como uma ação em segundo plano:Run MDELiveAnalyzer.ps1&
Linux
A ferramenta XMDE Client Analyzer pode ser transferida como um pacote binário ou Python que pode ser extraído e executado em computadores Linux. Ambas as versões do Analisador de Cliente XMDE podem ser executadas durante uma sessão de Resposta em Direto.
Pré-requisitos
Para a instalação, o
unzip
pacote é necessário.Para a execução, o
acl
pacote é necessário.
Importante
A Janela utiliza os carateres invisíveis Símbolo de Retorno e Avanço de Linha para representar o fim de uma linha e o início de uma nova linha num ficheiro, mas os sistemas Linux utilizam apenas o caráter invisível Feed de Linhas no final das linhas de ficheiro. Ao utilizar os seguintes scripts, se for feito no Windows, esta diferença pode resultar em erros e falhas dos scripts a executar. Uma solução potencial é utilizar o Subsistema Windows para Linux e o dos2unix
pacote para reformatar o script para que se alinhe com o formato Unix e Linux padrão.
Instalar o Analisador de Cliente XMDE
Ambas as versões do Analisador de Cliente XMDE, binário e Python, um pacote autónomo que tem de ser transferido e extraído antes da execução, e pode encontrar o conjunto completo de passos para este processo:
Devido aos comandos limitados disponíveis em Live Response, os passos detalhados têm de ser executados num script de bash e, ao dividir a parte de instalação e execução destes comandos, é possível executar o script de instalação uma vez, enquanto executa o script de execução várias vezes.
Importante
Os scripts de exemplo partem do princípio de que o computador tem acesso direto à Internet e pode obter o Analisador de Cliente XMDE da Microsoft. Se o computador não tiver acesso direto à Internet, os scripts de instalação terão de ser atualizados para obter o Analisador de Cliente XMDE a partir de uma localização à qual os computadores podem aceder com êxito.
Script de Instalação do Analisador de Cliente Binário
O script seguinte executa os primeiros seis passos da versão Binária do Analisador de Cliente em Execução. Quando terminar, o binário do Analisador de Cliente XMDE está disponível no /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
diretório.
Crie um ficheiro
InstallXMDEClientAnalyzer.sh
bash e cole o seguinte conteúdo no mesmo.#! /usr/bin/bash echo "Starting Client Analyzer Script. Running As:" whoami echo "Getting XMDEClientAnalyzerBinary" wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c echo "Unzipping XMDEClientAnalyzerBinary.zip" unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary echo "Unzipping SupportToolLinuxBinary.zip" unzip -q /tmp/XMDEClientAnalyzerBinary/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
Script de Instalação do Analisador de Cliente Python
O script seguinte executa os primeiros seis passos da versão Executar o Python do Client Analyzer. Quando terminar, os scripts python do Analisador de Clientes XMDE estão disponíveis no /tmp/XMDEClientAnalyzer
diretório .
Crie um ficheiro
InstallXMDEClientAnalyzer.sh
bash e cole o seguinte conteúdo no mesmo.#! /usr/bin/bash echo "Starting Client Analyzer Install Script. Running As:" whoami echo "Getting XMDEClientAnalyzer.zip" wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c echo "Unzipping XMDEClientAnalyzer.zip" unzip -q XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer echo "Setting execute permissions on mde_support_tool.sh script" cd /tmp/XMDEClientAnalyzer chmod a+x mde_support_tool.sh echo "Performing final support tool setup" ./mde_support_tool.sh
Executar os Scripts de Instalação do Analisador de Cliente
Inicie uma sessão de Resposta em Direto no computador que precisa de investigar.
Selecione Carregar ficheiro para a biblioteca.
Selecione Escolher ficheiro.
Selecione o ficheiro transferido com o nome
InstallXMDEClientAnalyzer.sh
e, em seguida, selecione Confirmar.Ainda na sessão LiveResponse, utilize os seguintes comandos para instalar o analisador:
run InstallXMDEClientAnalyzer.sh
Executar o Analisador de Cliente XMDE
A Resposta Em Direto não suporta a execução direta do Analisador de Cliente XMDE ou Python, pelo que é necessário um script de execução.
Importante
Os scripts seguintes partem do princípio de que o Analisador de Cliente XMDE foi instalado com as mesmas localizações dos scripts mencionados anteriormente. Se a sua organização tiver optado por instalar os scripts numa localização diferente, os scripts seguintes têm de ser atualizados para se alinharem com a localização de instalação escolhida pela sua organização.
Script de Execução do Analisador de Cliente Binário
O Analisador de Cliente Binário aceita parâmetros de linha de comandos para realizar testes de análise diferentes. Para fornecer capacidades semelhantes durante a Resposta em Direto, o script de execução tira partido da $@
variável bash para transmitir todos os parâmetros de entrada fornecidos ao script para o Analisador de Cliente XMDE.
Crie um ficheiro
MDESupportTool.sh
bash e cole o seguinte conteúdo no mesmo.#! /usr/bin/bash echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer" cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer echo "Running MDESupportTool" ./MDESupportTool $@
Script de Execução do Analisador de Cliente Python
O Analisador de Cliente Python aceita parâmetros de linha de comandos para realizar testes de análise diferentes. Para fornecer capacidades semelhantes durante a Resposta em Direto, o script de execução tira partido da $@
variável bash para transmitir todos os parâmetros de entrada fornecidos ao script para o Analisador de Cliente XMDE.
Crie um ficheiro
MDESupportTool.sh
bash e cole o seguinte conteúdo no mesmo.#! /usr/bin/bash echo "cd /tmp/XMDEClientAnalyzer" cd /tmp/XMDEClientAnalyzer echo "Running mde_support_tool" ./mde_support_tool.sh $@
Executar o Script do Analisador de Cliente
Observação
Se tiver uma sessão de Resposta em Direto ativa, pode ignorar o Passo 1.
Inicie uma sessão de Resposta em Direto no computador que precisa de investigar.
Selecione Carregar ficheiro para a biblioteca.
Selecione Escolher ficheiro.
Selecione o ficheiro transferido com o nome
MDESupportTool.sh
e, em seguida, selecione Confirmar.Ainda na sessão Resposta em Direto, utilize os seguintes comandos para executar o analisador e recolher o ficheiro resultante.
run MDESupportTool.sh -parameters "--bypass-disclaimer -d" GetFile "/tmp/your_archive_file_name_here.zip"
Confira também
- Visão geral do analisador de cliente
- Baixar e executar o analisador de cliente
- Executar o analisador de cliente no Windows
- Executar o analisador de cliente no macOS ou Linux
- Coleta de dados para solução de problemas avançada no Windows
- Entender o relatório HTML do analisador
Dica
Você deseja aprender mais? Contacte a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.