Aracılığıyla paylaş


Canlı yanıt kullanarak Uç Nokta için Microsoft Defender'de destek günlüklerini toplama

Şunlar için geçerlidir:

Uç nokta için Defender'i deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.

Desteğe başvurduğunuzda, Uç Nokta için Microsoft Defender İstemci Çözümleyicisi aracının çıkış paketini sağlamanız istenebilir.

Bu makalede, Aracın Windows'ta ve Linux makinelerinde Canlı Yanıt aracılığıyla nasıl çalıştırılacaklarına ilişkin yönergeler sağlanır.

Windows

  1. Uç Nokta için Microsoft Defender İstemci Çözümleyicisi'ninAraçlar alt dizininde bulunan gerekli betikleri indirin ve getirin.

    Örneğin, temel algılayıcı ve cihaz sistem durumu günlüklerini almak için öğesini getirin ..\Tools\MDELiveAnalyzer.ps1.

    • Microsoft Defender Virüsten Koruma ile ilgili ek günlüklere ihtiyacınız varsa kullanın..\Tools\MDELiveAnalyzerAV.ps1.
    • Microsoft Endpoint Data Loss Prevention ile ilgili günlüklere ihtiyacınız varsa kullanın..\Tools\MDELiveAnalyzerDLP.ps1.
    • Ağ ve Windows Filtre Platformu ile ilgili günlüklere ihtiyacınız varsa kullanın ..\Tools\MDELiveAnalyzerNet.ps1.
    • İşlem İzleyicisi günlüklerine ihtiyacınız varsa kullanın..\Tools\MDELiveAnalyzerAppCompat.ps1.
  2. Araştırmanız gereken makinede bir Canlı Yanıt oturumu başlatın.

  3. Dosyayı kitaplığa yükle'yi seçin.

    Karşıya yükleme dosyası

  4. Dosya seç'i seçin.

    Dosya seç düğmesi-1

  5. adlı MDELiveAnalyzer.ps1indirilen dosyayı ve ardından Onayla'yı seçin.

    Dosya seç düğmesi-2

    Dosya için MDEClientAnalyzerPreview.zip bu adımı yineleyin.

  6. LiveResponse oturumundayken çözümleyiciyi çalıştırmak ve sonuçta elde edilen dosyayı toplamak için aşağıdaki komutları kullanın.

    Putfile MDEClientAnalyzerPreview.zip
    Run MDELiveAnalyzer.ps1
    GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDECA\MDEClientAnalyzerResult.zip"
    

    Komutların görüntüsü.

Ek bilgiler

  • MDEClientAnalyzer'ın en son önizleme sürümü buradan indirilebilir: https://aka.ms/MDEClientAnalyzerPreview.

  • Makinenin yukarıdaki URL'ye ulaşmasına izin veremiyorsanız LiveAnalyzer betiğini çalıştırmadan önce dosyayı kitaplığa yükleyin MDEClientAnalyzerPreview.zip :

    PutFile MDEClientAnalyzerPreview.zip -overwrite
    Run MDELiveAnalyzer.ps1
    GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDECA\MDEClientAnalyzerResult.zip"
    
  • Makinenin Uç Nokta için Microsoft Defender bulut hizmetleriyle iletişim kurmaması veya Uç Nokta için Microsoft Defender portalında beklendiği gibi görünmemesi durumunda makinede verileri yerel olarak toplama hakkında daha fazla bilgi için bkz. hizmet URL'lerini Uç Nokta için Microsoft Defender.

  • Canlı yanıt komut örneklerinde açıklandığı gibi, günlükleri arka plan eylemi olarak toplamak için komutun sonundaki simgeyi kullanmak & isteyebilirsiniz:

    Run MDELiveAnalyzer.ps1&
    

Linux

XMDE İstemci Çözümleyicisi aracı, Linux makinelerinde ayıklanıp yürütülebilen bir ikili veya Python paketi olarak indirilebilir. XMDE İstemci Çözümleyicisi'nin her iki sürümü de canlı yanıt oturumu sırasında yürütülebilir.

Önkoşullar

  • Yükleme unzip için paket gereklidir.

  • Yürütme acl için paket gereklidir.

Önemli

Pencere, bir satırın sonunu ve bir dosyadaki yeni satırın başlangıcını göstermek için Satır Başı ve Satır Beslemesi görünmez karakterlerini kullanır, ancak Linux sistemleri yalnızca dosya satırlarının sonundaki Satır Beslemesi görünmez karakterini kullanır. Aşağıdaki betikleri kullanırken, Windows'ta yapılırsa, bu fark betiklerin çalıştırılmasında hatalara ve hatalara neden olabilir. Bunun olası bir çözümü, betiği Unix ve dos2unix Linux biçim standardıyla uyumlu olacak şekilde yeniden biçimlendirmek için Linux için Windows Alt Sistemi ve paketi kullanmaktır.

XMDE İstemci Çözümleyicisi'ni yükleme

Yürütmeden önce indirilmesi ve ayıklanması gereken bağımsız bir paket olan XMDE İstemci Çözümleyicisi ikili ve Python'ın her iki sürümü ve bu işlem için tam adım kümesi bulunabilir:

Canlı Yanıt'ta sağlanan sınırlı komutlar nedeniyle, ayrıntılı adımların bir bash betiğinde yürütülmesi gerekir ve bu komutların yükleme ve yürütme bölümünü bölerek, yürütme betiğini birden çok kez çalıştırırken yükleme betiğini bir kez çalıştırmak mümkündür.

Önemli

Örnek betikler, makinenin doğrudan İnternet erişimi olduğunu ve XMDE İstemci Çözümleyicisi'ni Microsoft'tan alabildiğini varsayar. Makinenin doğrudan İnternet erişimi yoksa yükleme betiklerinin, makinelerin başarıyla erişebileceği bir konumdan XMDE İstemci Çözümleyicisi'ni alacak şekilde güncelleştirilmesi gerekir.

İkili İstemci Çözümleyicisi Yükleme Betiği

Aşağıdaki betik , İstemci Çözümleyicisi'nin İkili sürümünü çalıştırma işleminin ilk altı adımını gerçekleştirir. Tamamlandığında, XMDE İstemci Çözümleyicisi ikili dosyası dizinden /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer kullanılabilir.

  1. Bir bash dosyası InstallXMDEClientAnalyzer.sh oluşturun ve aşağıdaki içeriği dosyaya yapıştırın.

    #! /usr/bin/bash
    
    echo "Starting Client Analyzer Script. Running As:"
    whoami
    
    echo "Getting XMDEClientAnalyzerBinary"
    wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://go.microsoft.com/fwlink/?linkid=2297517
    echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c
    
    echo "Unzipping XMDEClientAnalyzerBinary.zip"
    unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary
    
    echo "Unzipping SupportToolLinuxBinary.zip"
    unzip -q /tmp/XMDEClientAnalyzerBinary/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
    
    echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
    
    

Python İstemci Çözümleyicisi Yükleme Betiği

Aşağıdaki betik , İstemci Çözümleyicisi'nin Python sürümünü çalıştırma işleminin ilk altı adımını gerçekleştirir. Tamamlandığında, dizinden /tmp/XMDEClientAnalyzer XMDE İstemci Çözümleyicisi Python betikleri kullanılabilir.

  1. Bir bash dosyası InstallXMDEClientAnalyzer.sh oluşturun ve aşağıdaki içeriği dosyaya yapıştırın.

    #! /usr/bin/bash
    
    echo "Starting Client Analyzer Install Script. Running As:"
    whoami
    
    echo "Getting XMDEClientAnalyzer.zip"
    wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer 
    echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c  
    
    echo "Unzipping XMDEClientAnalyzer.zip"
    unzip -q XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer  
    
    echo "Setting execute permissions on mde_support_tool.sh script"
    cd /tmp/XMDEClientAnalyzer 
    chmod a+x mde_support_tool.sh  
    
    echo "Performing final support tool setup"
    ./mde_support_tool.sh
    
    

İstemci Çözümleyicisi Yükleme Betiklerini Çalıştırma

  1. Araştırmanız gereken makinede bir Canlı Yanıt oturumu başlatın.

  2. Dosyayı kitaplığa yükle'yi seçin.

  3. Dosya seç'i seçin.

  4. adlı InstallXMDEClientAnalyzer.shindirilen dosyayı ve ardından Onayla'yı seçin.

  5. LiveResponse oturumundayken çözümleyiciyi yüklemek için aşağıdaki komutları kullanın:

    run InstallXMDEClientAnalyzer.sh
    

XMDE İstemci Çözümleyicisi'ni çalıştırma

Canlı Yanıt, XMDE İstemci Çözümleyicisi veya Python'ın doğrudan çalıştırılmasını desteklemediğinden yürütme betiği gereklidir.

Önemli

Aşağıdaki betikler, XMDE İstemci Çözümleyicisi'nin daha önce bahsedilen betiklerden aynı konumlar kullanılarak yüklendiğini varsayar. Kuruluşunuz betikleri farklı bir konuma yüklemeyi seçtiyse, aşağıdaki betiklerin kuruluşunuzun seçilen yükleme konumuyla uyumlu olacak şekilde güncelleştirilmesi gerekir.

İkili İstemci Çözümleyicisi Çalıştırma Betiği

İkili İstemci Çözümleyicisi, farklı çözümleme testleri gerçekleştirmek için komut satırı parametrelerini kabul eder. Canlı Yanıt sırasında benzer özellikler sağlamak için yürütme betiği bash değişkenini $@ kullanarak betikte sağlanan tüm giriş parametrelerini XMDE İstemci Çözümleyicisi'ne geçirir.

  1. Bir bash dosyası MDESupportTool.sh oluşturun ve aşağıdaki içeriği dosyaya yapıştırın.

    #! /usr/bin/bash
    
    echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
    cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
    
    echo "Running MDESupportTool"
    ./MDESupportTool $@
    
    

Python İstemci Çözümleyicisi Çalıştırma Betiği

Python İstemci Çözümleyicisi, farklı analiz testleri gerçekleştirmek için komut satırı parametrelerini kabul eder. Canlı Yanıt sırasında benzer özellikler sağlamak için yürütme betiği bash değişkenini $@ kullanarak betikte sağlanan tüm giriş parametrelerini XMDE İstemci Çözümleyicisi'ne geçirir.

  1. Bir bash dosyası MDESupportTool.sh oluşturun ve aşağıdaki içeriği dosyaya yapıştırın.

    #! /usr/bin/bash  
    
    echo "cd /tmp/XMDEClientAnalyzer"
    cd /tmp/XMDEClientAnalyzer 
    
    echo "Running mde_support_tool"
    ./mde_support_tool.sh $@
    
    

İstemci Çözümleyicisi Betiğini Çalıştırma

Not

Etkin bir Canlı Yanıt oturum varsa 1. Adımı atlayabilirsiniz.

  1. Araştırmanız gereken makinede bir Canlı Yanıt oturumu başlatın.

  2. Dosyayı kitaplığa yükle'yi seçin.

  3. Dosya seç'i seçin.

  4. adlı MDESupportTool.shindirilen dosyayı ve ardından Onayla'yı seçin.

  5. Canlı Yanıt oturumundayken çözümleyiciyi çalıştırmak ve sonuçta elde edilen dosyayı toplamak için aşağıdaki komutları kullanın.

    run MDESupportTool.sh -parameters "--bypass-disclaimer -d"
    GetFile "/tmp/your_archive_file_name_here.zip"
    

Ayrıca bkz.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.