Share via


Executar o analisador de cliente no macOS e Linux

Aplica-se a:

O XMDEClientAnalyzer é utilizado para diagnosticar problemas de Microsoft Defender para Endpoint estado de funcionamento ou fiabilidade em dispositivos integrados com Linux ou macOS.

Existem duas formas de executar a ferramenta de analisador de cliente:

  1. Utilizar uma versão binária (sem dependência python)
  2. Utilizar uma solução baseada em Python

Executar a versão binária do analisador de cliente

  1. Transfira a ferramenta Binária do Analisador de Cliente XMDE para o computador macOS ou Linux que precisa de investigar.
    Se estiver a utilizar um terminal, transfira a ferramenta ao introduzir o seguinte comando:

    wget --quiet -O XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary
    
  2. Verifique a transferência.

    Nota

    O hash SHA256 atual de "XMDEClientAnalyzerBinary.zip" transferido a partir desta ligação é: "9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469"

    • Linux
    echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 XMDEClientAnalyzerBinary.zip' | sha256sum -c
    
    • macOS
    echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469  XMDEClientAnalyzerBinary.zip' | shasum -a 256 -c
    
  3. Extraia o conteúdo de XMDEClientAnalyzerBinary.zip no computador.

    Se estiver a utilizar um terminal, extraia os ficheiros ao introduzir o seguinte comando:

    unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary
    
  4. Altere para o diretório da ferramenta ao introduzir o seguinte comando:

    cd XMDEClientAnalyzerBinary
    
  5. São produzidos três novos ficheiros zip:

    • SupportToolLinuxBinary.zip : para todos os dispositivos Linux
    • SupportToolMacOSBinary.zip : para dispositivos Mac
  6. Deszipe um dos dois ficheiros zip acima com base no computador que precisa de investigar.
    Ao utilizar um terminal, deszipe o ficheiro ao introduzir um dos seguintes comandos com base no tipo de SO:

    • Linux

      unzip -q SupportToolLinuxBinary.zip
      
    • Mac

      unzip -q SupportToolMacOSBinary.zip
      
  7. Execute a ferramenta como raiz para gerar o pacote de diagnóstico:

    sudo ./MDESupportTool -d
    

Executar o analisador de cliente baseado em Python

Nota

  • O analisador depende de poucos pacotes PIP adicionais (sh, distro, lxml, pandas) que são instalados no SO quando estão na raiz para produzir a saída do resultado. Se não estiver instalado, o analisador tentará o obter a partir do repositório oficial dos pacotes Python.

    Aviso

    Executar o analisador de cliente baseado em Python requer a instalação de pacotes PIP, o que pode causar alguns problemas no seu ambiente. Para evitar que ocorram problemas, recomenda-se que instale os pacotes num ambiente PIP de utilizador.

  • Além disso, a ferramenta requer atualmente a instalação da versão 3 ou posterior do Python.

  • Se o dispositivo estiver atrás de um proxy, pode simplesmente transmitir o servidor proxy como uma variável de ambiente para o script mde_support_tool.sh. Por exemplo: . https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh"

  1. Transfira a ferramenta XMDE Client Analyzer para o computador macOS ou Linux que precisa de investigar.

    Se estiver a utilizar um terminal, transfira a ferramenta ao executar o seguinte comando:

    wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer
    
  2. Verificar a transferência

    • Linux
    echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c
    
    • macOS
    echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66  XMDEClientAnalyzer.zip' | shasum -a 256 -c
    
  3. Extraia os conteúdos de XMDEClientAnalyzer.zip no computador.
    Se estiver a utilizar um terminal, extraia os ficheiros com o seguinte comando:

    unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzer
    
  4. Altere o diretório para a localização extraída.

    cd XMDEClientAnalyzer
    
  5. Conceder permissão executável à ferramenta:

    chmod a+x mde_support_tool.sh
    
  6. Execute como um utilizador não raiz para instalar as dependências necessárias:

    ./mde_support_tool.sh
    
  7. Para recolher o pacote de diagnóstico real e gerar o ficheiro de arquivo de resultados, execute novamente como raiz:

    sudo ./mde_support_tool.sh -d
    

Opções da linha de comandos

Linhas de comandos primárias

Utilize o seguinte comando para obter o diagnóstico do computador.

-h, --help            show this help message and exit
--output OUTPUT, -o OUTPUT
                      Output path to export report
--outdir OUTDIR       Directory where diagnostics file will be generated
--no-zip, -nz         If set a directory will be created instead of an archive file
--force, -f           Will overwrite if output directory exists
--diagnostic, -d      Collect extensive machine diagnostic information
--bypass-disclaimer   Do not display disclaimer banner
--mdatp-log {info,debug,verbose,error,trace,warning}
                      Set MDATP log level
--max-log-size MAX_LOG_SIZE
                      Maximum log file size in MB before rotating(Will restart mdatp)

Exemplo de utilização: sudo ./MDESupportTool -d

Argumentos posicionais

Recolher informações de desempenho

Recolha rastreios extensivos de desempenho da máquina para análise de um cenário de desempenho que pode ser reproduzido a pedido.

-h, --help            show this help message and exit
--frequency FREQUENCY
                      profile at this frequency
--length LENGTH       length of time to collect (in seconds)

Exemplo de utilização: sudo ./MDESupportTool performance --frequency 2

Utilizar o rastreio do SO (apenas para macOS)

Utilize as instalações de rastreio do SO para registar rastreios de desempenho do Defender para Endpoint.

Nota

Esta funcionalidade só existe na solução Python.

-h, --help       show this help message and exit
--length LENGTH  Length of time to record the trace (in seconds).
--mask MASK      Mask to select with event to trace. Defaults to all

Ao executar este comando pela primeira vez, instala uma configuração de Perfil.

Siga este passo para aprovar a instalação do perfil: Guia de Suporte da Apple.

Exemplo de utilização ./mde_support_tool.sh trace --length 5

Modo de exclusão

Adicione exclusões para monitorização audit-d.

Nota

Esta funcionalidade existe apenas para Linux.

  -h, --help            show this help message and exit
  -e <executable>, --exe <executable>
                        exclude by executable name, i.e: bash
  -p <process id>, --pid <process id>
                        exclude by process id, i.e: 911
  -d <directory>, --dir <directory>
                        exclude by target path, i.e: /var/foo/bar
  -x <executable> <directory>, --exe_dir <executable> <directory>
                        exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
  -q <q_size>, --queue <q_size>
                        set dispatcher q_depth size
  -r, --remove          remove exclusion file
  -s, --stat            get statistics about common executables
  -l, --list            list auditd rules
  -o, --override        Override the existing auditd exclusion rules file for mdatp
  -c <syscall number>, --syscall <syscall number>
                        exclude all process of the given syscall

Exemplo de utilização: sudo ./MDESupportTool exclude -d /var/foo/bar

Limitador de Taxa auditada

Sintaxe que pode ser utilizada para limitar o número de eventos comunicados pelo plug-in auditD. Esta opção define o limite de taxa globalmente para AuditD, causando uma queda em todos os eventos de auditoria. Quando o limitador está ativado, o número de eventos auditados está limitado a 2500 eventos/seg. Esta opção pode ser utilizada nos casos em que vemos uma utilização elevada da CPU do lado AuditD.

Nota

Esta funcionalidade existe apenas para Linux.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the rate limit with default values

Exemplo de utilização: sudo ./mde_support_tool.sh ratelimit -e true

Nota

Esta funcionalidade deve ser cuidadosamente utilizada como limita o número de eventos comunicados pelo subsistema auditado como um todo. Isto também pode reduzir o número de eventos para outros subscritores.

Auditado– Ignorar Regras Com Falhas

Esta opção permite-lhe ignorar as regras com falhas adicionadas no ficheiro de regras auditadas ao carregá-las. Esta opção permite que o subsistema auditado continue a carregar regras, mesmo que exista uma regra com falhas. Esta opção resume os resultados do carregamento das regras. Em segundo plano, esta opção executa o auditctl com a opção -c.

Nota

Esta funcionalidade só está disponível no Linux.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.

Exemplo de utilização: sudo ./mde_support_tool.sh skipfaultyrules -e true

Nota

Esta funcionalidade irá ignorar as regras com falhas. A regra com falhas tem de ser identificada e corrigida.

Conteúdo do pacote de resultados no macOS e Linux

  • report.html

    Descrição: o ficheiro de saída HTML principal que contém as conclusões e a documentação de orientação que o script do analisador executa no computador pode produzir.

  • mde_diagnostic.zip

    Descrição: a mesma saída de diagnóstico que é gerada ao executar a criação de diagnósticos mdatp no macOS ou Linux.

  • mde.xml

    Descrição: saída XML gerada durante a execução e utilizada para criar o ficheiro de relatório html.

  • Processes_information.txt

    Descrição: contém os detalhes da execução Microsoft Defender para Endpoint processos relacionados no sistema.

  • Log.txt

    Descrição: contém as mesmas mensagens de registo escritas no ecrã durante a recolha de dados.

  • Health.txt

    Descrição: a mesma saída básica do estado de funcionamento que é apresentada ao executar o comando de estado de funcionamento do mdatp .

  • Events.xml

    Descrição: ficheiro XML adicional utilizado pelo analisador ao criar o relatório HTML.

  • Audited_info.txt

    Descrição: detalhes sobre o serviço auditado e os componentes relacionados para o SO Linux .

  • perf_benchmark.tar.gz

    Descrição: os relatórios de teste de desempenho. Só verá isto se estiver a utilizar o parâmetro de desempenho.

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.