Dela via


Samla in supportloggar i Microsoft Defender för Endpoint med livesvar

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

När du kontaktar supporten kan du bli ombedd att ange utdatapaketet för verktyget Microsoft Defender för Endpoint Client Analyzer.

Den här artikeln innehåller instruktioner om hur du kör verktyget via Live Response i Windows och på Linux-datorer.

Windows

  1. Ladda ned och hämta de skript som krävs som är tillgängliga från underkatalogen Verktygi Microsoft Defender för Endpoint Client Analyzer.

    Om du till exempel vill hämta de grundläggande sensor- och enhetshälsologgarna hämtar du ..\Tools\MDELiveAnalyzer.ps1.

    Om du också behöver microsoft Defender Antivirus-supportloggar (MpSupportFiles.cab) hämtar ..\Tools\MDELiveAnalyzerAV.ps1du .

  2. Starta en livesvarssession på den dator som du behöver undersöka.

  3. Välj Ladda upp fil till bibliotek.

    Uppladdningsfilen

  4. Välj Välj fil.

    Välj filknapp-1

  5. Välj den nedladdade filen med namnet MDELiveAnalyzer.ps1och välj sedan Bekräfta.

    Välj filknapp-2

  6. Medan du fortfarande är i LiveResponse-sessionen använder du följande kommandon för att köra analysatorn och samla in den resulterande filen.

    Run MDELiveAnalyzer.ps1
    GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDEClientAnalyzerResult.zip"
    

    Bild av kommandon.

Ytterligare information

  • Den senaste förhandsversionen av MDEClientAnalyzer kan laddas ned här: https://aka.ms/Betamdeanalyzer.

  • LiveAnalyzer-skriptet laddar ned felsökningspaketet på måldatorn från: https://mdatpclientanalyzer.blob.core.windows.net.

  • Om du inte kan tillåta att datorn når ovanstående URL laddar du upp MDEClientAnalyzerPreview.zip filen till biblioteket innan du kör LiveAnalyzer-skriptet:

    PutFile MDEClientAnalyzerPreview.zip -overwrite
    Run MDELiveAnalyzer.ps1
    GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDEClientAnalyzerResult.zip"
    
  • Mer information om hur du samlar in data lokalt på en dator om datorn inte kommunicerar med Microsoft Defender för Endpoint-molntjänster eller inte visas i Microsoft Defender för Endpoint-portalen som förväntat finns i Verifiera klientanslutningen till URL:er för Microsoft Defender för Endpoint-tjänsten.

  • Som beskrivs i exempel på live-svarskommandon kanske du vill använda symbolen & i slutet av kommandot för att samla in loggar som en bakgrundsåtgärd:

    Run MDELiveAnalyzer.ps1&
    

Linux

Verktyget XMDE Client Analyzer kan laddas ned som ett binärt paket eller Ett Python-paket som kan extraheras och köras på Linux-datorer. Båda versionerna av XMDE Client Analyzer kan köras under en livesvarssession.

Förutsättningar

  • För installation unzip krävs paketet.

  • För körning acl krävs paketet.

Viktigt

Window använder de osynliga tecknen Vagnretur och Radmatning för att representera slutet på en rad och början av en ny rad i en fil, men Linux-system använder endast det osynliga tecknet Line Feed i slutet av filraderna. Om du använder följande skript i Windows kan den här skillnaden resultera i fel och fel i skripten som ska köras. En möjlig lösning på detta är att använda Windows-undersystemet för Linux och dos2unix paketet för att formatera om skriptet så att det överensstämmer med Unix- och Linux-formatstandarden.

Installera XMDE-klientanalyseraren

Båda versionerna av XMDE Client Analyzer, binär och Python, ett fristående paket som måste laddas ned och extraheras innan du kör, och den fullständiga uppsättningen steg för den här processen finns:

På grund av de begränsade kommandon som är tillgängliga i Live Response måste de detaljerade stegen köras i ett bash-skript, och genom att dela upp installations- och körningsdelen av dessa kommandon går det att köra installationsskriptet en gång, medan körningsskriptet körs flera gånger.

Viktigt

Exempelskripten förutsätter att datorn har direkt Internetåtkomst och kan hämta XMDE Client Analyzer från Microsoft. Om datorn inte har direkt Internetåtkomst måste installationsskripten uppdateras för att hämta XMDE-klientanalysen från en plats som datorerna kan komma åt.

Installationsskript för analys av binär klient

Följande skript utför de första sex stegen i köra den binära versionen av client analyzer. När det är klart är binärfilen XMDE Client Analyzer tillgänglig från /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer katalogen.

  1. Skapa en bash-fil InstallXMDEClientAnalyzer.sh och klistra in följande innehåll i den.

    #! /usr/bin/bash
    
    echo "Starting Client Analyzer Script. Running As:"
    whoami
    
    echo "Getting XMDEClientAnalyzerBinary"
    wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary
    echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c
    
    echo "Unzipping XMDEClientAnalyzerBinary.zip"
    unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary
    
    echo "Unzipping SupportToolLinuxBinary.zip"
    unzip -q /tmp/XMDEClientAnalyzerBinary/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
    
    echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
    
    

Installationsskript för Python Client Analyzer

Följande skript utför de första sex stegen i Köra Python-versionen av Client Analyzer. När det är klart är Python-skripten för XMDE Client Analyzer tillgängliga från /tmp/XMDEClientAnalyzer katalogen.

  1. Skapa en bash-fil InstallXMDEClientAnalyzer.sh och klistra in följande innehåll i den.

    #! /usr/bin/bash
    
    echo "Starting Client Analyzer Install Script. Running As:"
    whoami
    
    echo "Getting XMDEClientAnalyzer.zip"
    wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer 
    echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c  
    
    echo "Unzipping XMDEClientAnalyzer.zip"
    unzip -q XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer  
    
    echo "Setting execute permissions on mde_support_tool.sh script"
    cd /tmp/XMDEClientAnalyzer 
    chmod a+x mde_support_tool.sh  
    
    echo "Performing final support tool setup"
    ./mde_support_tool.sh
    
    

Köra installationsskript för Client Analyzer

  1. Starta en livesvarssession på den dator som du behöver undersöka.

  2. Välj Ladda upp fil till bibliotek.

  3. Välj Välj fil.

  4. Välj den nedladdade filen med namnet InstallXMDEClientAnalyzer.shoch välj sedan Bekräfta.

  5. När du fortfarande är i LiveResponse-sessionen använder du följande kommandon för att installera analysatorn:

    run InstallXMDEClientAnalyzer.sh
    

Köra XMDE-klientanalys

Live Response stöder inte direkt körning av XMDE-klientanalys eller Python, så det krävs ett körningsskript.

Viktigt

Följande skript förutsätter att XMDE Client Analyzer installerades på samma platser från skripten som nämndes tidigare. Om din organisation har valt att installera skripten på en annan plats måste följande skript uppdateras så att de överensstämmer med organisationens valda installationsplats.

Kör skript för analys av binär klient

Binary Client Analyzer accepterar kommandoradsparametrar för att utföra olika analystester. För att tillhandahålla liknande funktioner under Live Response utnyttjar $@ körningsskriptet bash-variabeln för att skicka alla indataparametrar som tillhandahålls till skriptet till XMDE Client Analyzer.

  1. Skapa en bash-fil MDESupportTool.sh och klistra in följande innehåll i den.

    #! /usr/bin/bash
    
    echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
    cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
    
    echo "Running MDESupportTool"
    ./MDESupportTool $@
    
    

Körningsskript för Python Client Analyzer

Python Client Analyzer accepterar kommandoradsparametrar för att utföra olika analystester. För att tillhandahålla liknande funktioner under Live Response utnyttjar $@ körningsskriptet bash-variabeln för att skicka alla indataparametrar som tillhandahålls till skriptet till XMDE Client Analyzer.

  1. Skapa en bash-fil MDESupportTool.sh och klistra in följande innehåll i den.

    #! /usr/bin/bash  
    
    echo "cd /tmp/XMDEClientAnalyzer"
    cd /tmp/XMDEClientAnalyzer 
    
    echo "Running mde_support_tool"
    ./mde_support_tool.sh $@
    
    

Köra client analyzer-skriptet

Obs!

Om du har en aktiv livesvarssession kan du hoppa över steg 1.

  1. Starta en livesvarssession på den dator som du behöver undersöka.

  2. Välj Ladda upp fil till bibliotek.

  3. Välj Välj fil.

  4. Välj den nedladdade filen med namnet MDESupportTool.shoch välj sedan Bekräfta.

  5. När du fortfarande är i livesvarssessionen använder du följande kommandon för att köra analysatorn och samla in den resulterande filen.

    run MDESupportTool.sh -parameters "--bypass-disclaimer -d"
    GetFile "/tmp/your_archive_file_name_here.zip"
    

Se även

Tips

Vill du veta mer? Interagera med Microsoft Security-communityn i vår Tech Community: Microsoft Defender för Endpoint Tech Community.