Canlı yanıt kullanarak Uç Nokta için Microsoft Defender'da destek günlüklerini toplama
Şunlar için geçerlidir:
Uç nokta için Defender'i deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.
Desteğe başvurduğunuzda Uç Nokta için Microsoft Defender İstemci Çözümleyicisi aracının çıkış paketini sağlamanız istenebilir.
Bu makalede, Aracın Windows'ta ve Linux makinelerinde Canlı Yanıt aracılığıyla nasıl çalıştırılacaklarına ilişkin yönergeler sağlanır.
Windows
Endpoint Client Analyzer için Microsoft Defender'ınAraçlar alt dizininden sağlanan gerekli betikleri indirin ve getirin.
Örneğin, temel algılayıcı ve cihaz sistem durumu günlüklerini almak için öğesini getirin
..\Tools\MDELiveAnalyzer.ps1
.Microsoft Defender Virüsten Koruma destek günlüklerine ()
MpSupportFiles.cab
de ihtiyacınız varsa, öğesini getirin..\Tools\MDELiveAnalyzerAV.ps1
.Araştırmanız gereken makinede bir Canlı Yanıt oturumu başlatın.
Dosyayı kitaplığa yükle'yi seçin.
Dosya seç'i seçin.
adlı
MDELiveAnalyzer.ps1
indirilen dosyayı ve ardından Onayla'yı seçin.LiveResponse oturumundayken çözümleyiciyi çalıştırmak ve sonuçta elde edilen dosyayı toplamak için aşağıdaki komutları kullanın.
Run MDELiveAnalyzer.ps1 GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDEClientAnalyzerResult.zip"
Ek bilgiler
MDEClientAnalyzer'ın en son önizleme sürümü buradan indirilebilir: https://aka.ms/Betamdeanalyzer.
LiveAnalyzer betiği, hedef makinedeki sorun giderme paketini şu kaynaktan indirir:
https://mdatpclientanalyzer.blob.core.windows.net
.Makinenin yukarıdaki URL'ye ulaşmasına izin veremiyorsanız LiveAnalyzer betiğini çalıştırmadan önce dosyayı kitaplığa yükleyin
MDEClientAnalyzerPreview.zip
:PutFile MDEClientAnalyzerPreview.zip -overwrite Run MDELiveAnalyzer.ps1 GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDEClientAnalyzerResult.zip"
Makinenin Uç Nokta bulut hizmetleri için Microsoft Defender ile iletişim kurmaması veya Uç Nokta için Microsoft Defender portalında beklendiği gibi görünmemesi durumunda makinede verileri yerel olarak toplama hakkında daha fazla bilgi için bkz. Uç Nokta için Microsoft Defender hizmet URL'leriyle istemci bağlantısını doğrulama.
Canlı yanıt komut örneklerinde açıklandığı gibi, günlükleri arka plan eylemi olarak toplamak için komutun sonundaki simgeyi kullanmak
&
isteyebilirsiniz:Run MDELiveAnalyzer.ps1&
Linux
XMDE İstemci Çözümleyicisi aracı, Linux makinelerinde ayıklanıp yürütülebilen bir ikili veya Python paketi olarak indirilebilir. XMDE İstemci Çözümleyicisi'nin her iki sürümü de canlı yanıt oturumu sırasında yürütülebilir.
Önkoşullar
Yükleme
unzip
için paket gereklidir.Yürütme
acl
için paket gereklidir.
Önemli
Pencere, bir satırın sonunu ve bir dosyadaki yeni satırın başlangıcını göstermek için Satır Başı ve Satır Beslemesi görünmez karakterlerini kullanır, ancak Linux sistemleri yalnızca dosya satırlarının sonundaki Satır Beslemesi görünmez karakterini kullanır. Aşağıdaki betikleri kullanırken, Windows'ta yapılırsa, bu fark betiklerin çalıştırılmasında hatalara ve hatalara neden olabilir. Bunun olası bir çözümü, Linux için Windows Alt Sistemi'ni ve betiği Unix ve dos2unix
Linux biçim standardıyla uyumlu olacak şekilde yeniden biçimlendirmek için paketi kullanmaktır.
XMDE İstemci Çözümleyicisi'ni yükleme
Yürütmeden önce indirilmesi ve ayıklanması gereken bağımsız bir paket olan XMDE İstemci Çözümleyicisi ikili ve Python'ın her iki sürümü ve bu işlem için tam adım kümesi bulunabilir:
Canlı Yanıt'ta sağlanan sınırlı komutlar nedeniyle, ayrıntılı adımların bir bash betiğinde yürütülmesi gerekir ve bu komutların yükleme ve yürütme bölümünü bölerek, yürütme betiğini birden çok kez çalıştırırken yükleme betiğini bir kez çalıştırmak mümkündür.
Önemli
Örnek betikler, makinenin doğrudan İnternet erişimi olduğunu ve XMDE İstemci Çözümleyicisi'ni Microsoft'tan alabildiğini varsayar. Makinenin doğrudan İnternet erişimi yoksa yükleme betiklerinin, makinelerin başarıyla erişebileceği bir konumdan XMDE İstemci Çözümleyicisi'ni alacak şekilde güncelleştirilmesi gerekir.
İkili İstemci Çözümleyicisi Yükleme Betiği
Aşağıdaki betik , İstemci Çözümleyicisi'nin İkili sürümünü çalıştırma işleminin ilk altı adımını gerçekleştirir. Tamamlandığında, XMDE İstemci Çözümleyicisi ikili dosyası dizinden /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
kullanılabilir.
Bir bash dosyası
InstallXMDEClientAnalyzer.sh
oluşturun ve aşağıdaki içeriği dosyaya yapıştırın.#! /usr/bin/bash echo "Starting Client Analyzer Script. Running As:" whoami echo "Getting XMDEClientAnalyzerBinary" wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c echo "Unzipping XMDEClientAnalyzerBinary.zip" unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary echo "Unzipping SupportToolLinuxBinary.zip" unzip -q /tmp/XMDEClientAnalyzerBinary/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
Python İstemci Çözümleyicisi Yükleme Betiği
Aşağıdaki betik , İstemci Çözümleyicisi'nin Python sürümünü çalıştırma işleminin ilk altı adımını gerçekleştirir. Tamamlandığında, dizinden /tmp/XMDEClientAnalyzer
XMDE İstemci Çözümleyicisi Python betikleri kullanılabilir.
Bir bash dosyası
InstallXMDEClientAnalyzer.sh
oluşturun ve aşağıdaki içeriği dosyaya yapıştırın.#! /usr/bin/bash echo "Starting Client Analyzer Install Script. Running As:" whoami echo "Getting XMDEClientAnalyzer.zip" wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c echo "Unzipping XMDEClientAnalyzer.zip" unzip -q XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer echo "Setting execute permissions on mde_support_tool.sh script" cd /tmp/XMDEClientAnalyzer chmod a+x mde_support_tool.sh echo "Performing final support tool setup" ./mde_support_tool.sh
İstemci Çözümleyicisi Yükleme Betiklerini Çalıştırma
Araştırmanız gereken makinede bir Canlı Yanıt oturumu başlatın.
Dosyayı kitaplığa yükle'yi seçin.
Dosya seç'i seçin.
adlı
InstallXMDEClientAnalyzer.sh
indirilen dosyayı ve ardından Onayla'yı seçin.LiveResponse oturumundayken çözümleyiciyi yüklemek için aşağıdaki komutları kullanın:
run InstallXMDEClientAnalyzer.sh
XMDE İstemci Çözümleyicisi'ni çalıştırma
Canlı Yanıt, XMDE İstemci Çözümleyicisi veya Python'ın doğrudan çalıştırılmasını desteklemediğinden yürütme betiği gereklidir.
Önemli
Aşağıdaki betikler, XMDE İstemci Çözümleyicisi'nin daha önce bahsedilen betiklerden aynı konumlar kullanılarak yüklendiğini varsayar. Kuruluşunuz betikleri farklı bir konuma yüklemeyi seçtiyse, aşağıdaki betiklerin kuruluşunuzun seçilen yükleme konumuyla uyumlu olacak şekilde güncelleştirilmesi gerekir.
İkili İstemci Çözümleyicisi Çalıştırma Betiği
İkili İstemci Çözümleyicisi, farklı çözümleme testleri gerçekleştirmek için komut satırı parametrelerini kabul eder. Canlı Yanıt sırasında benzer özellikler sağlamak için yürütme betiği bash değişkenini $@
kullanarak betikte sağlanan tüm giriş parametrelerini XMDE İstemci Çözümleyicisi'ne geçirir.
Bir bash dosyası
MDESupportTool.sh
oluşturun ve aşağıdaki içeriği dosyaya yapıştırın.#! /usr/bin/bash echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer" cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer echo "Running MDESupportTool" ./MDESupportTool $@
Python İstemci Çözümleyicisi Çalıştırma Betiği
Python İstemci Çözümleyicisi, farklı analiz testleri gerçekleştirmek için komut satırı parametrelerini kabul eder. Canlı Yanıt sırasında benzer özellikler sağlamak için yürütme betiği bash değişkenini $@
kullanarak betikte sağlanan tüm giriş parametrelerini XMDE İstemci Çözümleyicisi'ne geçirir.
Bir bash dosyası
MDESupportTool.sh
oluşturun ve aşağıdaki içeriği dosyaya yapıştırın.#! /usr/bin/bash echo "cd /tmp/XMDEClientAnalyzer" cd /tmp/XMDEClientAnalyzer echo "Running mde_support_tool" ./mde_support_tool.sh $@
İstemci Çözümleyicisi Betiğini Çalıştırma
Not
Etkin bir Canlı Yanıt oturum varsa 1. Adımı atlayabilirsiniz.
Araştırmanız gereken makinede bir Canlı Yanıt oturumu başlatın.
Dosyayı kitaplığa yükle'yi seçin.
Dosya seç'i seçin.
adlı
MDESupportTool.sh
indirilen dosyayı ve ardından Onayla'yı seçin.Canlı Yanıt oturumundayken çözümleyiciyi çalıştırmak ve sonuçta elde edilen dosyayı toplamak için aşağıdaki komutları kullanın.
run MDESupportTool.sh -parameters "--bypass-disclaimer -d" GetFile "/tmp/your_archive_file_name_here.zip"
Ayrıca bkz.
- İstemci çözümleyicisine genel bakış
- İstemci çözümleyicisini indirin ve çalıştırın
- İstemci çözümleyicisini Windows’da çalıştırın
- İstemci çözümleyicisini macOS veya Linux'ta çalıştırın
- Windows'da gelişmiş sorun giderme için veri toplama
- Çözümleyici HTML raporunu inceleyin
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.