Executar o analisador de cliente no macOS e Linux

Aplica-se a:

• API do Microsoft Defender para Endpoint 1
• Microsoft Defender para Endpoint Plano 2

O XMDEClientAnalyzer é utilizado para diagnosticar problemas de fiabilidade ou estado de funcionamento do Microsoft Defender para Endpoint em dispositivos integrados com Linux ou macOS.

Existem duas formas de executar a ferramenta de analisador de cliente:

1. Utilizar uma versão binária (sem dependência python)
2. Utilizar uma solução baseada em Python

Executar a versão binária do analisador de cliente

1. Transfira a ferramenta Binária do Analisador de Cliente XMDE para o computador macOS ou Linux que precisa de investigar.
   Se estiver a utilizar um terminal, transfira a ferramenta ao introduzir o seguinte comando:

   wget --quiet -O XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary
   

2. Verifique a transferência.

   Nota

   O hash SHA256 atual de "XMDEClientAnalyzerBinary.zip" transferido a partir desta ligação é: "6DF1D7F32F1C33B462067F029CA59742241AB6967A981161803A3BC4B5EBDBDF"

   • Linux

   echo '6DF1D7F32F1C33B462067F029CA59742241AB6967A981161803A3BC4B5EBDBDF XMDEClientAnalyzerBinary.zip' | sha256sum -c
   

   • macOS

   echo '6DF1D7F32F1C33B462067F029CA59742241AB6967A981161803A3BC4B5EBDBDF  XMDEClientAnalyzerBinary.zip' | shasum -a 256 -c
   

3. Extraia o conteúdo de XMDEClientAnalyzerBinary.zip no computador.

   Se estiver a utilizar um terminal, extraia os ficheiros ao introduzir o seguinte comando:

   unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary
   

4. Altere para o diretório da ferramenta ao introduzir o seguinte comando:

   cd XMDEClientAnalyzerBinary
   

5. São produzidos três novos ficheiros zip:

   • SupportToolLinuxBinary.zip : para todos os dispositivos Linux
   • SupportToolMacOSBinary.zip : para dispositivos Mac

6. Deszipe um dos dois ficheiros zip acima com base no computador que precisa de investigar.
   Ao utilizar um terminal, deszipe o ficheiro ao introduzir um dos seguintes comandos com base no tipo de SO:

   • Linux

     unzip -q SupportToolLinuxBinary.zip
     

   • Mac

     unzip -q SupportToolMacOSBinary.zip
     

7. Execute a ferramenta como raiz para gerar o pacote de diagnóstico:

   sudo ./MDESupportTool -d
   

Executar o analisador de cliente baseado em Python

Nota

• O analisador depende de poucos pacotes PIP adicionais (sh, distro, lxml, pandas) que são instalados no SO quando estão na raiz para produzir a saída do resultado. Se não estiver instalado, o analisador tentará o obter a partir do repositório oficial dos pacotes Python.

  Aviso

  Executar o analisador de cliente baseado em Python requer a instalação de pacotes PIP, o que pode causar alguns problemas no seu ambiente. Para evitar que ocorram problemas, recomenda-se que instale os pacotes num ambiente PIP de utilizador.

• Além disso, a ferramenta requer atualmente a instalação da versão 3 ou posterior do Python.

• Se o dispositivo estiver atrás de um proxy, pode simplesmente transmitir o servidor proxy como uma variável de ambiente para o script mde_support_tool.sh. Por exemplo:. https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh"

1. Transfira a ferramenta XMDE Client Analyzer para o computador macOS ou Linux que precisa de investigar.

   Se estiver a utilizar um terminal, transfira a ferramenta ao executar o seguinte comando:

   wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer
   

2. Verificar a transferência

   • Linux

   echo '799D1C8B24FB826283B9B04B4B503AE3C99A05FE7ADFE25A78A094E231572C4A XMDEClientAnalyzer.zip' | sha256sum -c
   

   • macOS

   echo '799D1C8B24FB826283B9B04B4B503AE3C99A05FE7ADFE25A78A094E231572C4A  XMDEClientAnalyzer.zip' | shasum -a 256 -c
   

3. Extraia os conteúdos de XMDEClientAnalyzer.zip no computador. Se estiver a utilizar um terminal, extraia os ficheiros com o seguinte comando:

   unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzer
   

4. Altere o diretório para a localização extraída.

   cd XMDEClientAnalyzer
   

5. Conceder permissão executável à ferramenta:

   chmod a+x mde_support_tool.sh
   

6. Execute como um utilizador não raiz para instalar as dependências necessárias:

   ./mde_support_tool.sh
   

7. Para recolher o pacote de diagnóstico real e gerar o ficheiro de arquivo de resultados, execute novamente como raiz:

   sudo ./mde_support_tool.sh -d
   

Opções da linha de comandos

Linhas de comandos primárias

Utilize o seguinte comando para obter o diagnóstico do computador.

-h, --help            show this help message and exit
--output OUTPUT, -o OUTPUT
                      Output path to export report
--outdir OUTDIR       Directory where diagnostics file will be generated
--no-zip, -nz         If set a directory will be created instead of an archive file
--force, -f           Will overwrite if output directory exists
--diagnostic, -d      Collect extensive machine diagnostic information
--bypass-disclaimer   Do not display disclaimer banner
--interactive, -i     Interactive diagnostic
--delay DELAY, -dd DELAY
                      Set MDATP log level. If you use interactive or delay mode, the log level will set to debug automatically, and reset after 48h.
--mdatp-log {info,debug,verbose,error,trace,warning}
                      Set MDATP log level
--max-log-size MAX_LOG_SIZE
                      Maximum log file size in MB before rotating(Will restart mdatp)

Exemplo de utilização: sudo ./MDESupportTool -d

NOTA: a funcionalidade de reposição automática ao nível do registo só está disponível na versão 2405 ou mais recente do cliente.

Argumentos posicionais

Recolher informações de desempenho

Recolha rastreios extensivos de desempenho da máquina para análise de um cenário de desempenho que pode ser reproduzido a pedido.

-h, --help            show this help message and exit
--frequency FREQUENCY
                      profile at this frequency
--length LENGTH       length of time to collect (in seconds)

Exemplo de utilização: sudo ./MDESupportTool performance --frequency 2

Utilizar o rastreio do SO (apenas para macOS)

Utilize as instalações de rastreio do SO para registar rastreios de desempenho do Defender para Endpoint.

Nota

Esta funcionalidade só existe na solução Python.

-h, --help       show this help message and exit
--length LENGTH  Length of time to record the trace (in seconds).
--mask MASK      Mask to select with event to trace. Defaults to all

Ao executar este comando pela primeira vez, instala uma configuração de Perfil.

Siga este passo para aprovar a instalação do perfil: Guia de Suporte da Apple.

Exemplo de utilização ./mde_support_tool.sh trace --length 5

Modo de exclusão

Adicione exclusões para monitorização audit-d.

Nota

Esta funcionalidade existe apenas para Linux.

  -h, --help            show this help message and exit
  -e <executable>, --exe <executable>
                        exclude by executable name, i.e: bash
  -p <process id>, --pid <process id>
                        exclude by process id, i.e: 911
  -d <directory>, --dir <directory>
                        exclude by target path, i.e: /var/foo/bar
  -x <executable> <directory>, --exe_dir <executable> <directory>
                        exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
  -q <q_size>, --queue <q_size>
                        set dispatcher q_depth size
  -r, --remove          remove exclusion file
  -s, --stat            get statistics about common executables
  -l, --list            list auditd rules
  -o, --override        Override the existing auditd exclusion rules file for mdatp
  -c <syscall number>, --syscall <syscall number>
                        exclude all process of the given syscall

Exemplo de utilização: sudo ./MDESupportTool exclude -d /var/foo/bar

Limitador de Taxa auditada

Sintaxe que pode ser utilizada para limitar o número de eventos comunicados pelo plug-in auditD. Esta opção define o limite de taxa globalmente para AuditD, causando uma queda em todos os eventos de auditoria. Quando o limitador está ativado, o número de eventos auditados está limitado a 2500 eventos/seg. Esta opção pode ser utilizada nos casos em que vemos uma utilização elevada da CPU do lado AuditD.

Nota

Esta funcionalidade existe apenas para Linux.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the rate limit with default values

Exemplo de utilização: sudo ./mde_support_tool.sh ratelimit -e true

Nota

Esta funcionalidade deve ser cuidadosamente utilizada como limita o número de eventos comunicados pelo subsistema auditado como um todo. Isto também pode reduzir o número de eventos para outros subscritores.

Auditado– Ignorar Regras Com Falhas

Esta opção permite-lhe ignorar as regras com falhas adicionadas no ficheiro de regras auditadas ao carregá-las. Esta opção permite que o subsistema auditado continue a carregar regras, mesmo que exista uma regra com falhas. Esta opção resume os resultados do carregamento das regras. Em segundo plano, esta opção executa o auditctl com a opção -c.

Nota

Esta funcionalidade só está disponível no Linux.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.

Exemplo de utilização: sudo ./mde_support_tool.sh skipfaultyrules -e true

Nota

Esta funcionalidade irá ignorar as regras com falhas. A regra com falhas tem de ser identificada e corrigida.

Conteúdo do pacote de resultados no macOS e Linux

• report.html

  Descrição: o ficheiro de saída HTML principal que contém as conclusões e a documentação de orientação da execução da ferramenta de analisador de cliente no dispositivo. Este ficheiro só é gerado ao executar a versão baseada em Python da ferramenta de analisador de cliente.

• mde_diagnostic.zip

  Descrição: a mesma saída de diagnóstico que é gerada ao executar a criação de diagnósticos mdatp no macOS ou Linux.

• mde.xml

  Descrição: saída XML gerada durante a execução e utilizada para criar o ficheiro de relatório html.

• Processes_information.txt

  Descrição: contém os detalhes dos processos relacionados com o Microsoft Defender para Endpoint em execução no sistema.

• Log.txt

  Descrição: contém as mesmas mensagens de registo escritas no ecrã durante a recolha de dados.

• Health.txt

  Descrição: a mesma saída básica do estado de funcionamento que é apresentada ao executar o comando de estado de funcionamento do mdatp .

• Events.xml

  Descrição: ficheiro XML adicional utilizado pelo analisador ao criar o relatório HTML.

• Audited_info.txt

  Descrição: detalhes sobre o serviço auditado e os componentes relacionados para o SO Linux .

• perf_benchmark.tar.gz

  Descrição: os relatórios de teste de desempenho. Só verá isto se estiver a utilizar o parâmetro de desempenho.

Sugestão

Quer saber mais? Contacte a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.