Samla in supportloggar i Microsoft Defender för Endpoint med livesvar

Gäller för:

• Microsoft Defender för Endpoint Abonnemang 2
• Microsoft Defender XDR

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

När du kontaktar supporten kan du bli ombedd att ange utdatapaketet för verktyget Microsoft Defender för Endpoint Client Analyzer.

Den här artikeln innehåller instruktioner om hur du kör verktyget via Live Response i Windows och på Linux-datorer.

Windows

1. Ladda ned och hämta de skript som krävs som är tillgängliga från underkatalogen Verktygi Microsoft Defender för Endpoint Client Analyzer.

   Om du till exempel vill hämta de grundläggande sensor- och enhetshälsologgarna hämtar du ..\Tools\MDELiveAnalyzer.ps1.

   Om du också behöver microsoft Defender Antivirus-supportloggar (MpSupportFiles.cab) hämtar ..\Tools\MDELiveAnalyzerAV.ps1du .

2. Starta en livesvarssession på den dator som du behöver undersöka.

3. Välj Ladda upp fil till bibliotek.

   

4. Välj Välj fil.

   

5. Välj den nedladdade filen med namnet MDELiveAnalyzer.ps1och välj sedan Bekräfta.

   

6. Medan du fortfarande är i LiveResponse-sessionen använder du följande kommandon för att köra analysatorn och samla in den resulterande filen.

   Run MDELiveAnalyzer.ps1
   GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDEClientAnalyzerResult.zip"
   

   

Ytterligare information

• Den senaste förhandsversionen av MDEClientAnalyzer kan laddas ned här: https://aka.ms/Betamdeanalyzer.

• LiveAnalyzer-skriptet laddar ned felsökningspaketet på måldatorn från: https://mdatpclientanalyzer.blob.core.windows.net.

• Om du inte kan tillåta att datorn når ovanstående URL laddar du upp MDEClientAnalyzerPreview.zip filen till biblioteket innan du kör LiveAnalyzer-skriptet:

  PutFile MDEClientAnalyzerPreview.zip -overwrite
  Run MDELiveAnalyzer.ps1
  GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDEClientAnalyzerResult.zip"
  

• Mer information om hur du samlar in data lokalt på en dator om datorn inte kommunicerar med Microsoft Defender för Endpoint-molntjänster eller inte visas i Microsoft Defender för Endpoint-portalen som förväntat finns i Verifiera klientanslutningen till URL:er för Microsoft Defender för Endpoint-tjänsten.

• Som beskrivs i exempel på live-svarskommandon kanske du vill använda symbolen & i slutet av kommandot för att samla in loggar som en bakgrundsåtgärd:

  Run MDELiveAnalyzer.ps1&
  

Linux

Verktyget XMDE Client Analyzer kan laddas ned som ett binärt paket eller Ett Python-paket som kan extraheras och köras på Linux-datorer. Båda versionerna av XMDE Client Analyzer kan köras under en livesvarssession.

Förutsättningar

• För installation unzip krävs paketet.

• För körning acl krävs paketet.

Viktigt

Window använder de osynliga tecknen Vagnretur och Radmatning för att representera slutet på en rad och början av en ny rad i en fil, men Linux-system använder endast det osynliga tecknet Line Feed i slutet av filraderna. Om du använder följande skript i Windows kan den här skillnaden resultera i fel och fel i skripten som ska köras. En möjlig lösning på detta är att använda Windows-undersystemet för Linux och dos2unix paketet för att formatera om skriptet så att det överensstämmer med Unix- och Linux-formatstandarden.

Installera XMDE-klientanalyseraren

Båda versionerna av XMDE Client Analyzer, binär och Python, ett fristående paket som måste laddas ned och extraheras innan du kör, och den fullständiga uppsättningen steg för den här processen finns:

• Köra den binära versionen av client analyzer

• Köra Python-versionen av Client Analyzer

På grund av de begränsade kommandon som är tillgängliga i Live Response måste de detaljerade stegen köras i ett bash-skript, och genom att dela upp installations- och körningsdelen av dessa kommandon går det att köra installationsskriptet en gång, medan körningsskriptet körs flera gånger.

Viktigt

Exempelskripten förutsätter att datorn har direkt Internetåtkomst och kan hämta XMDE Client Analyzer från Microsoft. Om datorn inte har direkt Internetåtkomst måste installationsskripten uppdateras för att hämta XMDE-klientanalysen från en plats som datorerna kan komma åt.

Installationsskript för analys av binär klient

Följande skript utför de första sex stegen i köra den binära versionen av client analyzer. När det är klart är binärfilen XMDE Client Analyzer tillgänglig från /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer katalogen.

1. Skapa en bash-fil InstallXMDEClientAnalyzer.sh och klistra in följande innehåll i den.

   #! /usr/bin/bash
   
   echo "Starting Client Analyzer Script. Running As:"
   whoami
   
   echo "Getting XMDEClientAnalyzerBinary"
   wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary
   echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c
   
   echo "Unzipping XMDEClientAnalyzerBinary.zip"
   unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary
   
   echo "Unzipping SupportToolLinuxBinary.zip"
   unzip -q /tmp/XMDEClientAnalyzerBinary/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
   
   echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
   
   

Installationsskript för Python Client Analyzer

Följande skript utför de första sex stegen i Köra Python-versionen av Client Analyzer. När det är klart är Python-skripten för XMDE Client Analyzer tillgängliga från /tmp/XMDEClientAnalyzer katalogen.

1. Skapa en bash-fil InstallXMDEClientAnalyzer.sh och klistra in följande innehåll i den.

   #! /usr/bin/bash
   
   echo "Starting Client Analyzer Install Script. Running As:"
   whoami
   
   echo "Getting XMDEClientAnalyzer.zip"
   wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer 
   echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c  
   
   echo "Unzipping XMDEClientAnalyzer.zip"
   unzip -q XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer  
   
   echo "Setting execute permissions on mde_support_tool.sh script"
   cd /tmp/XMDEClientAnalyzer 
   chmod a+x mde_support_tool.sh  
   
   echo "Performing final support tool setup"
   ./mde_support_tool.sh
   
   

Köra installationsskript för Client Analyzer

1. Starta en livesvarssession på den dator som du behöver undersöka.

2. Välj Ladda upp fil till bibliotek.

3. Välj Välj fil.

4. Välj den nedladdade filen med namnet InstallXMDEClientAnalyzer.shoch välj sedan Bekräfta.

5. När du fortfarande är i LiveResponse-sessionen använder du följande kommandon för att installera analysatorn:

   run InstallXMDEClientAnalyzer.sh
   

Köra XMDE-klientanalys

Live Response stöder inte direkt körning av XMDE-klientanalys eller Python, så det krävs ett körningsskript.

Viktigt

Följande skript förutsätter att XMDE Client Analyzer installerades på samma platser från skripten som nämndes tidigare. Om din organisation har valt att installera skripten på en annan plats måste följande skript uppdateras så att de överensstämmer med organisationens valda installationsplats.

Kör skript för analys av binär klient

Binary Client Analyzer accepterar kommandoradsparametrar för att utföra olika analystester. För att tillhandahålla liknande funktioner under Live Response utnyttjar $@ körningsskriptet bash-variabeln för att skicka alla indataparametrar som tillhandahålls till skriptet till XMDE Client Analyzer.

1. Skapa en bash-fil MDESupportTool.sh och klistra in följande innehåll i den.

   #! /usr/bin/bash
   
   echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
   cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
   
   echo "Running MDESupportTool"
   ./MDESupportTool $@
   
   

Körningsskript för Python Client Analyzer

Python Client Analyzer accepterar kommandoradsparametrar för att utföra olika analystester. För att tillhandahålla liknande funktioner under Live Response utnyttjar $@ körningsskriptet bash-variabeln för att skicka alla indataparametrar som tillhandahålls till skriptet till XMDE Client Analyzer.

1. Skapa en bash-fil MDESupportTool.sh och klistra in följande innehåll i den.

   #! /usr/bin/bash  
   
   echo "cd /tmp/XMDEClientAnalyzer"
   cd /tmp/XMDEClientAnalyzer 
   
   echo "Running mde_support_tool"
   ./mde_support_tool.sh $@
   
   

Köra client analyzer-skriptet

Obs!

Om du har en aktiv livesvarssession kan du hoppa över steg 1.

1. Starta en livesvarssession på den dator som du behöver undersöka.

2. Välj Ladda upp fil till bibliotek.

3. Välj Välj fil.

4. Välj den nedladdade filen med namnet MDESupportTool.shoch välj sedan Bekräfta.

5. När du fortfarande är i livesvarssessionen använder du följande kommandon för att köra analysatorn och samla in den resulterande filen.

   run MDESupportTool.sh -parameters "--bypass-disclaimer -d"
   GetFile "/tmp/your_archive_file_name_here.zip"
   

Se även

• Client analyzer översikt
• Ladda ned och kör client analyzer
• Kör client analyzer i Windows
• Kör client analyzer på macOS eller Linux
• Data-samling för avancerad felsökning i Windows
• Förstå HTML-rapporten för analysen

Tips

Vill du veta mer? Interagera med Microsoft Security-communityn i vår Tech Community: Microsoft Defender för Endpoint Tech Community.