Canlı yanıt kullanarak Uç Nokta için Microsoft Defender'de destek günlüklerini toplama
Şunlar için geçerlidir:
Uç nokta için Defender'i deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.
Desteğe başvurduğunuzda, Uç Nokta için Microsoft Defender İstemci Çözümleyicisi aracının çıkış paketini sağlamanız istenebilir.
Bu makalede, Aracın Windows'ta ve Linux makinelerinde Canlı Yanıt aracılığıyla nasıl çalıştırılacaklarına ilişkin yönergeler sağlanır.
Windows
Uç Nokta için Microsoft Defender İstemci Çözümleyicisi'ninAraçlar alt dizininde bulunan gerekli betikleri indirin ve getirin.
Örneğin, temel algılayıcı ve cihaz sistem durumu günlüklerini almak için öğesini getirin
..\Tools\MDELiveAnalyzer.ps1
.- Microsoft Defender Virüsten Koruma ile ilgili ek günlüklere ihtiyacınız varsa kullanın
..\Tools\MDELiveAnalyzerAV.ps1
. -
Microsoft Endpoint Data Loss Prevention ile ilgili günlüklere ihtiyacınız varsa kullanın
..\Tools\MDELiveAnalyzerDLP.ps1
. - Ağ ve Windows Filtre Platformu ile ilgili günlüklere ihtiyacınız varsa kullanın
..\Tools\MDELiveAnalyzerNet.ps1
. -
İşlem İzleyicisi günlüklerine ihtiyacınız varsa kullanın
..\Tools\MDELiveAnalyzerAppCompat.ps1
.
- Microsoft Defender Virüsten Koruma ile ilgili ek günlüklere ihtiyacınız varsa kullanın
Araştırmanız gereken makinede bir Canlı Yanıt oturumu başlatın.
Dosyayı kitaplığa yükle'yi seçin.
Dosya seç'i seçin.
adlı
MDELiveAnalyzer.ps1
indirilen dosyayı ve ardından Onayla'yı seçin.Dosya için
MDEClientAnalyzerPreview.zip
bu adımı yineleyin.LiveResponse oturumundayken çözümleyiciyi çalıştırmak ve sonuçta elde edilen dosyayı toplamak için aşağıdaki komutları kullanın.
Putfile MDEClientAnalyzerPreview.zip Run MDELiveAnalyzer.ps1 GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDECA\MDEClientAnalyzerResult.zip"
Ek bilgiler
MDEClientAnalyzer'ın en son önizleme sürümü buradan indirilebilir: https://aka.ms/MDEClientAnalyzerPreview.
Makinenin yukarıdaki URL'ye ulaşmasına izin veremiyorsanız LiveAnalyzer betiğini çalıştırmadan önce dosyayı kitaplığa yükleyin
MDEClientAnalyzerPreview.zip
:PutFile MDEClientAnalyzerPreview.zip -overwrite Run MDELiveAnalyzer.ps1 GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDECA\MDEClientAnalyzerResult.zip"
Makinenin Uç Nokta için Microsoft Defender bulut hizmetleriyle iletişim kurmaması veya Uç Nokta için Microsoft Defender portalında beklendiği gibi görünmemesi durumunda makinede verileri yerel olarak toplama hakkında daha fazla bilgi için bkz. hizmet URL'lerini Uç Nokta için Microsoft Defender.
Canlı yanıt komut örneklerinde açıklandığı gibi, günlükleri arka plan eylemi olarak toplamak için komutun sonundaki simgeyi kullanmak
&
isteyebilirsiniz:Run MDELiveAnalyzer.ps1&
Linux
XMDE İstemci Çözümleyicisi aracı, Linux makinelerinde ayıklanıp yürütülebilen bir ikili veya Python paketi olarak indirilebilir. XMDE İstemci Çözümleyicisi'nin her iki sürümü de canlı yanıt oturumu sırasında yürütülebilir.
Önkoşullar
Yükleme
unzip
için paket gereklidir.Yürütme
acl
için paket gereklidir.
Önemli
Pencere, bir satırın sonunu ve bir dosyadaki yeni satırın başlangıcını göstermek için Satır Başı ve Satır Beslemesi görünmez karakterlerini kullanır, ancak Linux sistemleri yalnızca dosya satırlarının sonundaki Satır Beslemesi görünmez karakterini kullanır. Aşağıdaki betikleri kullanırken, Windows'ta yapılırsa, bu fark betiklerin çalıştırılmasında hatalara ve hatalara neden olabilir. Bunun olası bir çözümü, betiği Unix ve dos2unix
Linux biçim standardıyla uyumlu olacak şekilde yeniden biçimlendirmek için Linux için Windows Alt Sistemi ve paketi kullanmaktır.
XMDE İstemci Çözümleyicisi'ni yükleme
Yürütmeden önce indirilmesi ve ayıklanması gereken bağımsız bir paket olan XMDE İstemci Çözümleyicisi ikili ve Python'ın her iki sürümü ve bu işlem için tam adım kümesi bulunabilir:
Canlı Yanıt'ta sağlanan sınırlı komutlar nedeniyle, ayrıntılı adımların bir bash betiğinde yürütülmesi gerekir ve bu komutların yükleme ve yürütme bölümünü bölerek, yürütme betiğini birden çok kez çalıştırırken yükleme betiğini bir kez çalıştırmak mümkündür.
Önemli
Örnek betikler, makinenin doğrudan İnternet erişimi olduğunu ve XMDE İstemci Çözümleyicisi'ni Microsoft'tan alabildiğini varsayar. Makinenin doğrudan İnternet erişimi yoksa yükleme betiklerinin, makinelerin başarıyla erişebileceği bir konumdan XMDE İstemci Çözümleyicisi'ni alacak şekilde güncelleştirilmesi gerekir.
İkili İstemci Çözümleyicisi Yükleme Betiği
Aşağıdaki betik , İstemci Çözümleyicisi'nin İkili sürümünü çalıştırma işleminin ilk altı adımını gerçekleştirir. Tamamlandığında, XMDE İstemci Çözümleyicisi ikili dosyası dizinden /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
kullanılabilir.
Bir bash dosyası
InstallXMDEClientAnalyzer.sh
oluşturun ve aşağıdaki içeriği dosyaya yapıştırın.#! /usr/bin/bash echo "Starting Client Analyzer Script. Running As:" whoami echo "Getting XMDEClientAnalyzerBinary" wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://go.microsoft.com/fwlink/?linkid=2297517 echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c echo "Unzipping XMDEClientAnalyzerBinary.zip" unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary echo "Unzipping SupportToolLinuxBinary.zip" unzip -q /tmp/XMDEClientAnalyzerBinary/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
Python İstemci Çözümleyicisi Yükleme Betiği
Aşağıdaki betik , İstemci Çözümleyicisi'nin Python sürümünü çalıştırma işleminin ilk altı adımını gerçekleştirir. Tamamlandığında, dizinden /tmp/XMDEClientAnalyzer
XMDE İstemci Çözümleyicisi Python betikleri kullanılabilir.
Bir bash dosyası
InstallXMDEClientAnalyzer.sh
oluşturun ve aşağıdaki içeriği dosyaya yapıştırın.#! /usr/bin/bash echo "Starting Client Analyzer Install Script. Running As:" whoami echo "Getting XMDEClientAnalyzer.zip" wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c echo "Unzipping XMDEClientAnalyzer.zip" unzip -q XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer echo "Setting execute permissions on mde_support_tool.sh script" cd /tmp/XMDEClientAnalyzer chmod a+x mde_support_tool.sh echo "Performing final support tool setup" ./mde_support_tool.sh
İstemci Çözümleyicisi Yükleme Betiklerini Çalıştırma
Araştırmanız gereken makinede bir Canlı Yanıt oturumu başlatın.
Dosyayı kitaplığa yükle'yi seçin.
Dosya seç'i seçin.
adlı
InstallXMDEClientAnalyzer.sh
indirilen dosyayı ve ardından Onayla'yı seçin.LiveResponse oturumundayken çözümleyiciyi yüklemek için aşağıdaki komutları kullanın:
run InstallXMDEClientAnalyzer.sh
XMDE İstemci Çözümleyicisi'ni çalıştırma
Canlı Yanıt, XMDE İstemci Çözümleyicisi veya Python'ın doğrudan çalıştırılmasını desteklemediğinden yürütme betiği gereklidir.
Önemli
Aşağıdaki betikler, XMDE İstemci Çözümleyicisi'nin daha önce bahsedilen betiklerden aynı konumlar kullanılarak yüklendiğini varsayar. Kuruluşunuz betikleri farklı bir konuma yüklemeyi seçtiyse, aşağıdaki betiklerin kuruluşunuzun seçilen yükleme konumuyla uyumlu olacak şekilde güncelleştirilmesi gerekir.
İkili İstemci Çözümleyicisi Çalıştırma Betiği
İkili İstemci Çözümleyicisi, farklı çözümleme testleri gerçekleştirmek için komut satırı parametrelerini kabul eder. Canlı Yanıt sırasında benzer özellikler sağlamak için yürütme betiği bash değişkenini $@
kullanarak betikte sağlanan tüm giriş parametrelerini XMDE İstemci Çözümleyicisi'ne geçirir.
Bir bash dosyası
MDESupportTool.sh
oluşturun ve aşağıdaki içeriği dosyaya yapıştırın.#! /usr/bin/bash echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer" cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer echo "Running MDESupportTool" ./MDESupportTool $@
Python İstemci Çözümleyicisi Çalıştırma Betiği
Python İstemci Çözümleyicisi, farklı analiz testleri gerçekleştirmek için komut satırı parametrelerini kabul eder. Canlı Yanıt sırasında benzer özellikler sağlamak için yürütme betiği bash değişkenini $@
kullanarak betikte sağlanan tüm giriş parametrelerini XMDE İstemci Çözümleyicisi'ne geçirir.
Bir bash dosyası
MDESupportTool.sh
oluşturun ve aşağıdaki içeriği dosyaya yapıştırın.#! /usr/bin/bash echo "cd /tmp/XMDEClientAnalyzer" cd /tmp/XMDEClientAnalyzer echo "Running mde_support_tool" ./mde_support_tool.sh $@
İstemci Çözümleyicisi Betiğini Çalıştırma
Not
Etkin bir Canlı Yanıt oturum varsa 1. Adımı atlayabilirsiniz.
Araştırmanız gereken makinede bir Canlı Yanıt oturumu başlatın.
Dosyayı kitaplığa yükle'yi seçin.
Dosya seç'i seçin.
adlı
MDESupportTool.sh
indirilen dosyayı ve ardından Onayla'yı seçin.Canlı Yanıt oturumundayken çözümleyiciyi çalıştırmak ve sonuçta elde edilen dosyayı toplamak için aşağıdaki komutları kullanın.
run MDESupportTool.sh -parameters "--bypass-disclaimer -d" GetFile "/tmp/your_archive_file_name_here.zip"
Ayrıca bkz.
- İstemci çözümleyicisine genel bakış
- İstemci çözümleyicisini indirin ve çalıştırın
- İstemci çözümleyicisini Windows’da çalıştırın
- İstemci çözümleyicisini macOS veya Linux'ta çalıştırın
- Windows'da gelişmiş sorun giderme için veri toplama
- Çözümleyici HTML raporunu inceleyin
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.