Canlı yanıt kullanarak Uç Nokta için Microsoft Defender'de destek günlüklerini toplama

Desteğe başvurduğunuzda, Uç Nokta için Microsoft Defender İstemci Çözümleyicisi aracının çıkış paketini sağlamanız istenebilir.

Bu makalede, Aracın Windows'ta ve Linux makinelerinde Canlı Yanıt aracılığıyla nasıl çalıştırılacaklarına ilişkin yönergeler sağlanır.

Windows

1. Uç Nokta için Microsoft Defender İstemci Çözümleyicisi'ninAraçlar alt dizininde bulunan gerekli betikleri indirin ve getirin.

   Örneğin, temel algılayıcı ve cihaz sistem durumu günlüklerini almak için öğesini getirin ..\Tools\MDELiveAnalyzer.ps1.

   • Microsoft Defender Virüsten Koruma ile ilgili ek günlüklere ihtiyacınız varsa kullanın..\Tools\MDELiveAnalyzerAV.ps1.
   • Microsoft Endpoint Data Loss Prevention ile ilgili günlüklere ihtiyacınız varsa kullanın..\Tools\MDELiveAnalyzerDLP.ps1.
   • Ağ ve Windows Filtre Platformu ile ilgili günlüklere ihtiyacınız varsa kullanın ..\Tools\MDELiveAnalyzerNet.ps1.
   • İşlem İzleyicisi günlüklerine ihtiyacınız varsa kullanın..\Tools\MDELiveAnalyzerAppCompat.ps1.

2. Araştırmanız gereken makinede bir Canlı Yanıt oturumu başlatın.

3. Dosyayı kitaplığa yükle'yi seçin.

   

4. Dosya seç'i seçin.

5. adlı MDELiveAnalyzer.ps1indirilen dosyayı ve ardından Onayla'yı seçin.

   

   Dosya için MDEClientAnalyzerPreview.zip bu adımı yineleyin.

6. LiveResponse oturumundayken çözümleyiciyi çalıştırmak ve sonuçta elde edilen dosyayı toplamak için aşağıdaki komutları kullanın.

   Putfile MDEClientAnalyzerPreview.zip
   Run MDELiveAnalyzer.ps1
   GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDECA\MDEClientAnalyzerResult.zip"
   

   

Ek bilgiler

• MDE İstemci Çözümleyicisi'nin en son önizleme sürümü adresinden https://aka.ms/MDEClientAnalyzerPreviewindirilebilir.

• Makinenin Uç Nokta için Microsoft Defender bulut hizmetleriyle iletişim kurmaması veya Uç Nokta için Microsoft Defender portalında beklendiği gibi görünmemesi durumunda makinede verileri yerel olarak toplama hakkında daha fazla bilgi için bkz. hizmet URL'lerini Uç Nokta için Microsoft Defender.

• Canlı yanıt komut örneklerinde açıklandığı gibi, günlükleri arka plan eylemi olarak toplamak için komutun sonundaki simgeyi kullanmak & isteyebilirsiniz:

  Run MDELiveAnalyzer.ps1&
  

Linux

XMDE İstemci Çözümleyicisi aracı, Linux makinelerinde ayıklanıp yürütülebilen bir ikili veya Python paketi olarak indirilebilir. XMDE İstemci Çözümleyicisi'nin her iki sürümü de canlı yanıt oturumu sırasında yürütülebilir.

Önkoşullar

• Yükleme unzip için paket gereklidir.

• Yürütme acl için paket gereklidir.

Önemli

Pencere, bir satırın sonunu ve bir dosyadaki yeni satırın başlangıcını göstermek için Satır Başı ve Satır Beslemesi görünmez karakterlerini kullanır, ancak Linux sistemleri yalnızca dosya satırlarının sonundaki Satır Beslemesi görünmez karakterini kullanır. Aşağıdaki betikleri kullanırken, Windows'ta yapılırsa, bu fark betiklerin çalıştırılmasında hatalara ve hatalara neden olabilir. Bunun olası bir çözümü, betiği Unix ve dos2unix Linux biçim standardıyla uyumlu olacak şekilde yeniden biçimlendirmek için Linux için Windows Alt Sistemi ve paketi kullanmaktır.

XMDE İstemci Çözümleyicisi'ni yükleme

XMDE İstemci Çözümleyicisi'nin her iki sürümü de, yürütülmeden önce indirilmesi ve ayıklanması gereken bağımsız bir paket olan ikili ve Python. Daha fazla bilgi için bkz. Uç Nokta için Microsoft Defender İstemci Çözümleyicisi kullanarak algılayıcı sistem durumu sorunlarını giderme

Canlı Yanıt'ta sağlanan sınırlı komutlar nedeniyle, ayrıntılı adımların bir bash betiğinde yürütülmesi gerekir ve bu komutların yükleme ve yürütme bölümünü bölerek, yürütme betiğini birden çok kez çalıştırırken yükleme betiğini bir kez çalıştırmak mümkündür.

Önemli

Örnek betikler, makinenin doğrudan İnternet erişimi olduğunu ve XMDE İstemci Çözümleyicisi'ni Microsoft'tan alabildiğini varsayar. Makinenin doğrudan İnternet erişimi yoksa yükleme betiklerinin, makinelerin başarıyla erişebileceği bir konumdan XMDE İstemci Çözümleyicisi'ni alacak şekilde güncelleştirilmesi gerekir.

İkili İstemci Çözümleyicisi Yükleme Betiği

Aşağıdaki betik , İstemci Çözümleyicisi'nin İkili sürümünü çalıştırma işleminin ilk altı adımını gerçekleştirir. Tamamlandığında, XMDE İstemci Çözümleyicisi ikili dosyası dizinden /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer kullanılabilir.

1. Bir bash dosyası InstallXMDEClientAnalyzer.sh oluşturun ve aşağıdaki içeriği dosyaya yapıştırın.

   #! /usr/bin/bash
   
   echo "Starting Client Analyzer Script. Running As:"
   whoami
   
   echo "Getting XMDEClientAnalyzerBinary"
   wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://go.microsoft.com/fwlink/?linkid=2297517
   echo 'C65A4E4C6851D130942BFACD147A9D18B8A92B4F50FACF519477FD1C41A1C323 /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c
   
   echo "Unzipping XMDEClientAnalyzerBinary.zip"
   unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary
   
   echo "Unzipping SupportToolLinuxBinary.zip"
   unzip -q /tmp/XMDEClientAnalyzerBinary/XMDEClientAnalyzer/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
   
   echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
   
   

Python İstemci Çözümleyicisi Yükleme Betiği

Aşağıdaki betik , İstemci Çözümleyicisi'nin Python sürümünü çalıştırma işleminin ilk altı adımını gerçekleştirir. Tamamlandığında, dizinden /tmp/XMDEClientAnalyzer XMDE İstemci Çözümleyicisi Python betikleri kullanılabilir.

1. Bir bash dosyası InstallXMDEClientAnalyzer.sh oluşturun ve aşağıdaki içeriği dosyaya yapıştırın.

   #! /usr/bin/bash
   
   echo "Starting Client Analyzer Install Script. Running As:"
   whoami
   
   echo "Getting XMDEClientAnalyzer.zip"
   wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer 
   echo '07E6A7B89E28A78309D5B6F1E25E4CDFBA9CA141450E422D76441C03AD3477E7 XMDEClientAnalyzer.zip' | sha256sum -c  
   
   echo "Unzipping XMDEClientAnalyzer.zip"
   unzip -q XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer  
   
   echo "Setting execute permissions on mde_support_tool.sh script"
   cd /tmp/XMDEClientAnalyzer 
   chmod a+x mde_support_tool.sh  
   
   echo "Performing final support tool setup"
   ./mde_support_tool.sh
   
   

İstemci Çözümleyicisi Yükleme Betiklerini Çalıştırma

1. Araştırmanız gereken makinede bir Canlı Yanıt oturumu başlatın.

2. Dosyayı kitaplığa yükle'yi seçin.

3. Dosya seç'i seçin.

4. adlı InstallXMDEClientAnalyzer.shindirilen dosyayı ve ardından Onayla'yı seçin.

5. LiveResponse oturumundayken çözümleyiciyi yüklemek için aşağıdaki komutları kullanın:

   run InstallXMDEClientAnalyzer.sh
   

XMDE İstemci Çözümleyicisi'ni çalıştırma

Canlı Yanıt, XMDE İstemci Çözümleyicisi veya Python'ın doğrudan çalıştırılmasını desteklemediğinden yürütme betiği gereklidir.

Önemli

Aşağıdaki betikler, XMDE İstemci Çözümleyicisi'nin daha önce bahsedilen betiklerden aynı konumlar kullanılarak yüklendiğini varsayar. Kuruluşunuz betikleri farklı bir konuma yüklemeyi seçtiyse, aşağıdaki betiklerin kuruluşunuzun seçilen yükleme konumuyla uyumlu olacak şekilde güncelleştirilmesi gerekir.

İkili İstemci Çözümleyicisi Çalıştırma Betiği

İkili İstemci Çözümleyicisi, farklı çözümleme testleri gerçekleştirmek için komut satırı parametrelerini kabul eder. Canlı Yanıt sırasında benzer özellikler sağlamak için yürütme betiği bash değişkenini $@ kullanarak betikte sağlanan tüm giriş parametrelerini XMDE İstemci Çözümleyicisi'ne geçirir.

1. Bir bash dosyası MDESupportTool.sh oluşturun ve aşağıdaki içeriği dosyaya yapıştırın.

   #! /usr/bin/bash
   
   echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
   cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
   
   echo "Running MDESupportTool"
   ./MDESupportTool $@
   
   

Python İstemci Çözümleyicisi Çalıştırma Betiği

Python İstemci Çözümleyicisi, farklı analiz testleri gerçekleştirmek için komut satırı parametrelerini kabul eder. Canlı Yanıt sırasında benzer özellikler sağlamak için yürütme betiği bash değişkenini $@ kullanarak betikte sağlanan tüm giriş parametrelerini XMDE İstemci Çözümleyicisi'ne geçirir.

1. Bir bash dosyası MDESupportTool.sh oluşturun ve aşağıdaki içeriği dosyaya yapıştırın.

   #! /usr/bin/bash  
   
   echo "cd /tmp/XMDEClientAnalyzer"
   cd /tmp/XMDEClientAnalyzer 
   
   echo "Running mde_support_tool"
   ./mde_support_tool.sh $@
   
   

İstemci Çözümleyicisi Betiğini Çalıştırma

Not

Etkin bir Canlı Yanıt oturum varsa 1. Adımı atlayabilirsiniz.

1. Araştırmanız gereken makinede bir Canlı Yanıt oturumu başlatın.

2. Dosyayı kitaplığa yükle'yi seçin.

3. Dosya seç'i seçin.

4. adlı MDESupportTool.shindirilen dosyayı ve ardından Onayla'yı seçin.

5. Canlı Yanıt oturumundayken çözümleyiciyi çalıştırmak ve sonuçta elde edilen dosyayı toplamak için aşağıdaki komutları kullanın.

   run MDESupportTool.sh -parameters "--bypass-disclaimer -d"
   GetFile "/tmp/your_archive_file_name_here.zip"
   

Ayrıca bkz.

• İstemci çözümleyicisine genel bakış
• Windows'da gelişmiş sorun giderme için veri toplama
• Çözümleyici HTML raporunu inceleyin