Canlı yanıt kullanarak Uç Nokta için Microsoft Defender'da destek günlüklerini toplama

Şunlar için geçerlidir:

• Uç Nokta için Microsoft Defender Planı 2
• Microsoft Defender XDR

Uç nokta için Defender'i deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.

Desteğe başvurduğunuzda Uç Nokta için Microsoft Defender İstemci Çözümleyicisi aracının çıkış paketini sağlamanız istenebilir.

Bu makalede, Aracın Windows'ta ve Linux makinelerinde Canlı Yanıt aracılığıyla nasıl çalıştırılacaklarına ilişkin yönergeler sağlanır.

Windows

1. Endpoint Client Analyzer için Microsoft Defender'ınAraçlar alt dizininden sağlanan gerekli betikleri indirin ve getirin.

   Örneğin, temel algılayıcı ve cihaz sistem durumu günlüklerini almak için öğesini getirin ..\Tools\MDELiveAnalyzer.ps1.

   Microsoft Defender Virüsten Koruma destek günlüklerine ()MpSupportFiles.cab de ihtiyacınız varsa, öğesini getirin ..\Tools\MDELiveAnalyzerAV.ps1.

2. Araştırmanız gereken makinede bir Canlı Yanıt oturumu başlatın.

3. Dosyayı kitaplığa yükle'yi seçin.

   

4. Dosya seç'i seçin.

   

5. adlı MDELiveAnalyzer.ps1indirilen dosyayı ve ardından Onayla'yı seçin.

   

6. LiveResponse oturumundayken çözümleyiciyi çalıştırmak ve sonuçta elde edilen dosyayı toplamak için aşağıdaki komutları kullanın.

   Run MDELiveAnalyzer.ps1
   GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDEClientAnalyzerResult.zip"
   

   

Ek bilgiler

• MDEClientAnalyzer'ın en son önizleme sürümü buradan indirilebilir: https://aka.ms/Betamdeanalyzer.

• LiveAnalyzer betiği, hedef makinedeki sorun giderme paketini şu kaynaktan indirir: https://mdatpclientanalyzer.blob.core.windows.net.

• Makinenin yukarıdaki URL'ye ulaşmasına izin veremiyorsanız LiveAnalyzer betiğini çalıştırmadan önce dosyayı kitaplığa yükleyin MDEClientAnalyzerPreview.zip :

  PutFile MDEClientAnalyzerPreview.zip -overwrite
  Run MDELiveAnalyzer.ps1
  GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDEClientAnalyzerResult.zip"
  

• Makinenin Uç Nokta bulut hizmetleri için Microsoft Defender ile iletişim kurmaması veya Uç Nokta için Microsoft Defender portalında beklendiği gibi görünmemesi durumunda makinede verileri yerel olarak toplama hakkında daha fazla bilgi için bkz. Uç Nokta için Microsoft Defender hizmet URL'leriyle istemci bağlantısını doğrulama.

• Canlı yanıt komut örneklerinde açıklandığı gibi, günlükleri arka plan eylemi olarak toplamak için komutun sonundaki simgeyi kullanmak & isteyebilirsiniz:

  Run MDELiveAnalyzer.ps1&
  

Linux

XMDE İstemci Çözümleyicisi aracı, Linux makinelerinde ayıklanıp yürütülebilen bir ikili veya Python paketi olarak indirilebilir. XMDE İstemci Çözümleyicisi'nin her iki sürümü de canlı yanıt oturumu sırasında yürütülebilir.

Önkoşullar

• Yükleme unzip için paket gereklidir.

• Yürütme acl için paket gereklidir.

Önemli

Pencere, bir satırın sonunu ve bir dosyadaki yeni satırın başlangıcını göstermek için Satır Başı ve Satır Beslemesi görünmez karakterlerini kullanır, ancak Linux sistemleri yalnızca dosya satırlarının sonundaki Satır Beslemesi görünmez karakterini kullanır. Aşağıdaki betikleri kullanırken, Windows'ta yapılırsa, bu fark betiklerin çalıştırılmasında hatalara ve hatalara neden olabilir. Bunun olası bir çözümü, Linux için Windows Alt Sistemi'ni ve betiği Unix ve dos2unix Linux biçim standardıyla uyumlu olacak şekilde yeniden biçimlendirmek için paketi kullanmaktır.

XMDE İstemci Çözümleyicisi'ni yükleme

Yürütmeden önce indirilmesi ve ayıklanması gereken bağımsız bir paket olan XMDE İstemci Çözümleyicisi ikili ve Python'ın her iki sürümü ve bu işlem için tam adım kümesi bulunabilir:

• İstemci Çözümleyicisi'nin İkili sürümünü çalıştırma

• İstemci Çözümleyicisi'nin Python sürümünü çalıştırma

Canlı Yanıt'ta sağlanan sınırlı komutlar nedeniyle, ayrıntılı adımların bir bash betiğinde yürütülmesi gerekir ve bu komutların yükleme ve yürütme bölümünü bölerek, yürütme betiğini birden çok kez çalıştırırken yükleme betiğini bir kez çalıştırmak mümkündür.

Önemli

Örnek betikler, makinenin doğrudan İnternet erişimi olduğunu ve XMDE İstemci Çözümleyicisi'ni Microsoft'tan alabildiğini varsayar. Makinenin doğrudan İnternet erişimi yoksa yükleme betiklerinin, makinelerin başarıyla erişebileceği bir konumdan XMDE İstemci Çözümleyicisi'ni alacak şekilde güncelleştirilmesi gerekir.

İkili İstemci Çözümleyicisi Yükleme Betiği

Aşağıdaki betik , İstemci Çözümleyicisi'nin İkili sürümünü çalıştırma işleminin ilk altı adımını gerçekleştirir. Tamamlandığında, XMDE İstemci Çözümleyicisi ikili dosyası dizinden /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer kullanılabilir.

1. Bir bash dosyası InstallXMDEClientAnalyzer.sh oluşturun ve aşağıdaki içeriği dosyaya yapıştırın.

   #! /usr/bin/bash
   
   echo "Starting Client Analyzer Script. Running As:"
   whoami
   
   echo "Getting XMDEClientAnalyzerBinary"
   wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary
   echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c
   
   echo "Unzipping XMDEClientAnalyzerBinary.zip"
   unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary
   
   echo "Unzipping SupportToolLinuxBinary.zip"
   unzip -q /tmp/XMDEClientAnalyzerBinary/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
   
   echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
   
   

Python İstemci Çözümleyicisi Yükleme Betiği

Aşağıdaki betik , İstemci Çözümleyicisi'nin Python sürümünü çalıştırma işleminin ilk altı adımını gerçekleştirir. Tamamlandığında, dizinden /tmp/XMDEClientAnalyzer XMDE İstemci Çözümleyicisi Python betikleri kullanılabilir.

1. Bir bash dosyası InstallXMDEClientAnalyzer.sh oluşturun ve aşağıdaki içeriği dosyaya yapıştırın.

   #! /usr/bin/bash
   
   echo "Starting Client Analyzer Install Script. Running As:"
   whoami
   
   echo "Getting XMDEClientAnalyzer.zip"
   wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer 
   echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c  
   
   echo "Unzipping XMDEClientAnalyzer.zip"
   unzip -q XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer  
   
   echo "Setting execute permissions on mde_support_tool.sh script"
   cd /tmp/XMDEClientAnalyzer 
   chmod a+x mde_support_tool.sh  
   
   echo "Performing final support tool setup"
   ./mde_support_tool.sh
   
   

İstemci Çözümleyicisi Yükleme Betiklerini Çalıştırma

1. Araştırmanız gereken makinede bir Canlı Yanıt oturumu başlatın.

2. Dosyayı kitaplığa yükle'yi seçin.

3. Dosya seç'i seçin.

4. adlı InstallXMDEClientAnalyzer.shindirilen dosyayı ve ardından Onayla'yı seçin.

5. LiveResponse oturumundayken çözümleyiciyi yüklemek için aşağıdaki komutları kullanın:

   run InstallXMDEClientAnalyzer.sh
   

XMDE İstemci Çözümleyicisi'ni çalıştırma

Canlı Yanıt, XMDE İstemci Çözümleyicisi veya Python'ın doğrudan çalıştırılmasını desteklemediğinden yürütme betiği gereklidir.

Önemli

Aşağıdaki betikler, XMDE İstemci Çözümleyicisi'nin daha önce bahsedilen betiklerden aynı konumlar kullanılarak yüklendiğini varsayar. Kuruluşunuz betikleri farklı bir konuma yüklemeyi seçtiyse, aşağıdaki betiklerin kuruluşunuzun seçilen yükleme konumuyla uyumlu olacak şekilde güncelleştirilmesi gerekir.

İkili İstemci Çözümleyicisi Çalıştırma Betiği

İkili İstemci Çözümleyicisi, farklı çözümleme testleri gerçekleştirmek için komut satırı parametrelerini kabul eder. Canlı Yanıt sırasında benzer özellikler sağlamak için yürütme betiği bash değişkenini $@ kullanarak betikte sağlanan tüm giriş parametrelerini XMDE İstemci Çözümleyicisi'ne geçirir.

1. Bir bash dosyası MDESupportTool.sh oluşturun ve aşağıdaki içeriği dosyaya yapıştırın.

   #! /usr/bin/bash
   
   echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
   cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
   
   echo "Running MDESupportTool"
   ./MDESupportTool $@
   
   

Python İstemci Çözümleyicisi Çalıştırma Betiği

Python İstemci Çözümleyicisi, farklı analiz testleri gerçekleştirmek için komut satırı parametrelerini kabul eder. Canlı Yanıt sırasında benzer özellikler sağlamak için yürütme betiği bash değişkenini $@ kullanarak betikte sağlanan tüm giriş parametrelerini XMDE İstemci Çözümleyicisi'ne geçirir.

1. Bir bash dosyası MDESupportTool.sh oluşturun ve aşağıdaki içeriği dosyaya yapıştırın.

   #! /usr/bin/bash  
   
   echo "cd /tmp/XMDEClientAnalyzer"
   cd /tmp/XMDEClientAnalyzer 
   
   echo "Running mde_support_tool"
   ./mde_support_tool.sh $@
   
   

İstemci Çözümleyicisi Betiğini Çalıştırma

Not

Etkin bir Canlı Yanıt oturum varsa 1. Adımı atlayabilirsiniz.

1. Araştırmanız gereken makinede bir Canlı Yanıt oturumu başlatın.

2. Dosyayı kitaplığa yükle'yi seçin.

3. Dosya seç'i seçin.

4. adlı MDESupportTool.shindirilen dosyayı ve ardından Onayla'yı seçin.

5. Canlı Yanıt oturumundayken çözümleyiciyi çalıştırmak ve sonuçta elde edilen dosyayı toplamak için aşağıdaki komutları kullanın.

   run MDESupportTool.sh -parameters "--bypass-disclaimer -d"
   GetFile "/tmp/your_archive_file_name_here.zip"
   

Ayrıca bkz.

• İstemci çözümleyicisine genel bakış
• İstemci çözümleyicisini indirin ve çalıştırın
• İstemci çözümleyicisini Windows’da çalıştırın
• İstemci çözümleyicisini macOS veya Linux'ta çalıştırın
• Windows'da gelişmiş sorun giderme için veri toplama
• Çözümleyici HTML raporunu inceleyin

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.