Сбор журналов поддержки в Microsoft Defender для конечной точки с помощью динамического ответа

Область применения:

• Microsoft Defender для конечной точки (план 2)
• Microsoft Defender XDR

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

При обращении в службу поддержки может потребоваться предоставить выходной пакет средства анализатора клиента Microsoft Defender для конечной точки.

В этой статье содержатся инструкции по запуску средства с помощью Live Response на компьютерах с Windows и Linux.

Windows

1. Скачайте и извлеките необходимые скрипты, доступные в подкаталоге Сервисклиентского анализатора Microsoft Defender для конечной точки.

   Например, чтобы получить базовые журналы работоспособности датчиков и устройств, извлеките ..\Tools\MDELiveAnalyzer.ps1.

   Если вам также требуются журналы поддержки антивирусной программы в Microsoft Defender (MpSupportFiles.cab), извлеките ..\Tools\MDELiveAnalyzerAV.ps1.

2. Инициируйте сеанс динамического реагирования на компьютере, который необходимо исследовать.

3. Выберите Отправить файл в библиотеку.

   

4. Выберите Выбрать файл.

   

5. Выберите скачанный файл с именем MDELiveAnalyzer.ps1, а затем выберите Подтвердить.

   

6. Оставаясь в сеансе LiveResponse, используйте следующие команды, чтобы запустить анализатор и собрать полученный файл.

   Run MDELiveAnalyzer.ps1
   GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDEClientAnalyzerResult.zip"
   

   

Дополнительные сведения

• Последнюю предварительную версию MDEClientAnalyzer можно скачать здесь: https://aka.ms/Betamdeanalyzer.

• Скрипт LiveAnalyzer скачивает пакет для устранения неполадок на целевом компьютере по следующим адресам: https://mdatpclientanalyzer.blob.core.windows.net.

• Если вы не можете разрешить компьютеру доступ к указанному выше URL-адресу, отправьте MDEClientAnalyzerPreview.zip файл в библиотеку перед выполнением скрипта LiveAnalyzer:

  PutFile MDEClientAnalyzerPreview.zip -overwrite
  Run MDELiveAnalyzer.ps1
  GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDEClientAnalyzerResult.zip"
  

• Дополнительные сведения о локальном сборе данных на компьютере, если компьютер не взаимодействует с облачными службами Microsoft Defender для конечной точки или не отображается на портале Microsoft Defender для конечной точки должным образом, см. в статье Проверка подключения клиента к URL-адресам службы Microsoft Defender для конечной точки.

• Как описано в разделе Примеры динамических ответов, вы можете использовать & символ в конце команды для сбора журналов в качестве фонового действия:

  Run MDELiveAnalyzer.ps1&
  

Linux

Средство анализатора клиента XMDE можно скачать в виде двоичного пакета или пакета Python , который можно извлечь и выполнить на компьютерах Linux. Обе версии анализатора клиента XMDE могут выполняться во время сеанса динамического ответа.

Предварительные условия

• Для установки unzip требуется пакет.

• Для выполнения acl требуется пакет.

Важно!

Окно использует невидимые символы возврата каретки и канала строки для представления конца одной строки и начала новой строки в файле, но системы Linux используют только невидимый символ канала строки в конце строк файла. При использовании следующих скриптов эта разница может привести к ошибкам и сбоям выполняемых скриптов. Возможное решение заключается в использовании подсистемы Windows для Linux и dos2unix пакета для переформатировать скрипт так, чтобы он соответствовал стандарту формата Unix и Linux.

Установка клиентского анализатора XMDE

Обе версии анализатора клиента XMDE, двоичный и Python, автономный пакет, который необходимо скачать и извлечь перед выполнением, и полный набор шагов для этого процесса можно найти:

• Запуск двоичной версии анализатора клиента

• Запуск версии Python клиентского анализатора

Из-за ограниченного количества команд, доступных в Live Response, шаги, описанные в скрипте bash, должны выполняться в скрипте bash, и, разделив часть этих команд, можно запустить сценарий установки один раз, а сценарий выполнения несколько раз.

Важно!

В примерах скриптов предполагается, что компьютер имеет прямой доступ к Интернету и может получить анализатор клиента XMDE от корпорации Майкрософт. Если компьютер не имеет прямого доступа к Интернету, необходимо обновить сценарии установки, чтобы получить анализатор клиента XMDE из расположения, к котором компьютеры могут получить доступ.

Скрипт установки двоичного анализатора клиента

Следующий скрипт выполняет первые шесть шагов для запуска двоичной версии клиентского анализатора. После завершения двоичный файл клиентского анализатора XMDE будет доступен из /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer каталога.

1. Создайте bash-файл InstallXMDEClientAnalyzer.sh и вставьте в него следующее содержимое.

   #! /usr/bin/bash
   
   echo "Starting Client Analyzer Script. Running As:"
   whoami
   
   echo "Getting XMDEClientAnalyzerBinary"
   wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary
   echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c
   
   echo "Unzipping XMDEClientAnalyzerBinary.zip"
   unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary
   
   echo "Unzipping SupportToolLinuxBinary.zip"
   unzip -q /tmp/XMDEClientAnalyzerBinary/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
   
   echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
   
   

Скрипт установки клиентского анализатора Python

Следующий скрипт выполняет первые шесть шагов для запуска версии Python клиентского анализатора. После завершения скрипты Python клиентского анализатора XMDE будут доступны из /tmp/XMDEClientAnalyzer каталога.

1. Создайте bash-файл InstallXMDEClientAnalyzer.sh и вставьте в него следующее содержимое.

   #! /usr/bin/bash
   
   echo "Starting Client Analyzer Install Script. Running As:"
   whoami
   
   echo "Getting XMDEClientAnalyzer.zip"
   wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer 
   echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c  
   
   echo "Unzipping XMDEClientAnalyzer.zip"
   unzip -q XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer  
   
   echo "Setting execute permissions on mde_support_tool.sh script"
   cd /tmp/XMDEClientAnalyzer 
   chmod a+x mde_support_tool.sh  
   
   echo "Performing final support tool setup"
   ./mde_support_tool.sh
   
   

Запуск скриптов установки клиентского анализатора

1. Инициируйте сеанс динамического реагирования на компьютере, который необходимо исследовать.

2. Выберите Отправить файл в библиотеку.

3. Выберите Выбрать файл.

4. Выберите скачанный файл с именем InstallXMDEClientAnalyzer.sh, а затем нажмите кнопку Подтвердить.

5. Оставаясь в сеансе LiveResponse, используйте следующие команды, чтобы установить анализатор:

   run InstallXMDEClientAnalyzer.sh
   

Запуск клиентского анализатора XMDE

Live Response не поддерживает запуск клиентского анализатора XMDE или Python напрямую, поэтому требуется скрипт выполнения.

Важно!

В следующих сценариях предполагается, что анализатор клиента XMDE был установлен в том же расположении, что и упомянутые выше скрипты. Если ваша организация решила установить скрипты в другом расположении, то следующие скрипты необходимо обновить в соответствии с выбранным расположением установки вашей организации.

Выполнение скрипта двоичного клиентского анализатора

Двоичный анализатор клиента принимает параметры командной строки для выполнения различных аналитических тестов. Чтобы предоставить аналогичные возможности во время динамического $@ ответа, скрипт выполнения использует переменную bash для передачи всех входных параметров, предоставленных скрипту, в анализатор клиента XMDE.

1. Создайте bash-файл MDESupportTool.sh и вставьте в него следующее содержимое.

   #! /usr/bin/bash
   
   echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
   cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
   
   echo "Running MDESupportTool"
   ./MDESupportTool $@
   
   

Запуск скрипта клиентского анализатора Python

Клиентский анализатор Python принимает параметры командной строки для выполнения различных аналитических тестов. Чтобы предоставить аналогичные возможности во время динамического $@ ответа, скрипт выполнения использует переменную bash для передачи всех входных параметров, предоставленных скрипту, в анализатор клиента XMDE.

1. Создайте bash-файл MDESupportTool.sh и вставьте в него следующее содержимое.

   #! /usr/bin/bash  
   
   echo "cd /tmp/XMDEClientAnalyzer"
   cd /tmp/XMDEClientAnalyzer 
   
   echo "Running mde_support_tool"
   ./mde_support_tool.sh $@
   
   

Выполнение скрипта клиентского анализатора

Примечание.

Если у вас есть активный сеанс динамического ответа, можно пропустить шаг 1.

1. Инициируйте сеанс динамического реагирования на компьютере, который необходимо исследовать.

2. Выберите Отправить файл в библиотеку.

3. Выберите Выбрать файл.

4. Выберите скачанный файл с именем MDESupportTool.sh, а затем нажмите кнопку Подтвердить.

5. Еще в сеансе динамического ответа используйте следующие команды, чтобы запустить анализатор и собрать результирующий файл.

   run MDESupportTool.sh -parameters "--bypass-disclaimer -d"
   GetFile "/tmp/your_archive_file_name_here.zip"
   

См. также

• Обзор анализатора клиента
• Скачивание и запуск анализатор клиента
• Запуск анализатора клиента в Windows
• Запуск анализатора клиента в macOS или Linux
• Сбор данных для усовершенствованного устранения неполадок в Windows
• Понимание отчета анализатора в формате HTML

Совет

Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender для конечной точки Tech Community.