分享方式:


使用即時回應 適用於端點的 Microsoft Defender 收集支持記錄

適用於:

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

連絡支持人員時,系統可能會要求您提供 適用於端點的 Microsoft Defender 用戶端分析器工具的輸出套件。

本文提供如何在 Windows 和 Linux 計算機上透過即時回應執行工具的指示。

Windows

  1. 從 適用於端點的 Microsoft Defender 用戶端分析器的 [工具] 子目錄中下載並擷取可用的必要腳本。

    例如,若要取得基本感測器和裝置健康情況記錄,請擷取 ..\Tools\MDELiveAnalyzer.ps1

    • 如果您需要與 Microsoft Defender 防病毒軟體相關的其他記錄,請使用 ..\Tools\MDELiveAnalyzerAV.ps1
    • 如果您需要 Microsoft端點資料外洩防護 相關記錄,請使用 ..\Tools\MDELiveAnalyzerDLP.ps1
    • 如果您需要網路和 Windows 篩選平台 相關記錄,請使用 ..\Tools\MDELiveAnalyzerNet.ps1
    • 如果您需要 行程監視器 記錄,請使用 ..\Tools\MDELiveAnalyzerDLP.ps1
  2. 在您需要調查的計算機上起始 實時回應會話

  3. 取 [將檔案上傳至文檔庫]

    上傳檔案

  4. 取 [選擇檔案]

    選擇檔案按鈕-1

  5. 選取名為 的 MDELiveAnalyzer.ps1下載檔,然後選取 [ 確認]

    選擇檔案按鈕 2

    針對 MDEClientAnalyzerPreview.zip 檔案重複此步驟。

  6. 仍在 LiveResponse 工作階段中時,請使用下列命令來執行分析器並收集產生的檔案。

    Putfile MDEClientAnalyzerPreview.zip
    Run MDELiveAnalyzer.ps1
    GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDECA\MDEClientAnalyzerResult.zip"
    

    命令的影像。

其他資訊

  • 您可以在這裡下載 MDEClientAnalyzer 的最新預覽版本: https://aka.ms/Betamdeanalyzer

  • 如果您不允許機器連線到上述 URL,請先將檔案上傳 MDEClientAnalyzerPreview.zip 至連結庫,再執行 LiveAnalyzer 腳本:

    PutFile MDEClientAnalyzerPreview.zip -overwrite
    Run MDELiveAnalyzer.ps1
    GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDECA\MDEClientAnalyzerResult.zip"
    
  • 如需在機器上本機收集數據的詳細資訊,以防機器未與 適用於端點的 Microsoft Defender 雲端服務通訊,或未如預期般出現在 適用於端點的 Microsoft Defender 入口網站中,請參閱驗證用戶端與 適用於端點的 Microsoft Defender服務 URL

  • 即時回應命令範例中所述,您可能想要在命令結尾使用 & 符號,以背景動作收集記錄:

    Run MDELiveAnalyzer.ps1&
    

Linux

XMDE 用戶端分析器工具可以下載為 二進位Python 套件,可在 Linux 機器上擷取和執行。 這兩個版本的 XMDE 用戶端分析器都可以在即時回應會話期間執行。

必要條件

  • 若要進行安裝, unzip 需要套件。

  • 若要執行, acl 需要封裝。

重要事項

視窗會使用歸位字元和換行字元不可見字元來代表檔案中一行的結尾和新行的開頭,但是 Linux 系統只會在其文件行結尾使用行摘要不可見的字元。 使用下列腳本時,如果是在 Windows 上完成,此差異可能會導致腳本執行錯誤和失敗。 其中一個可能的解決方案是利用 Windows 子系統 Linux 版和dos2unix套件來重新格式化腳本,使其與 Unix 和 Linux 格式標準一致。

安裝 XMDE 用戶端分析器

XMDE 用戶端分析器、二進位和 Python 這兩個版本都是獨立的套件,在執行之前必須先下載並擷取,而且可以找到此程式的完整步驟集:

由於即時回應中可用的命令有限,因此必須在Bash腳本中執行詳細步驟,並分割這些命令的安裝和執行部分,就可以執行安裝腳本一次,同時執行執行腳本多次。

重要事項

範例腳本假設計算機具有直接的因特網存取權,而且可以從Microsoft擷取 XMDE 用戶端分析器。 如果計算機沒有直接的因特網存取權,則必須更新安裝腳本,才能從機器可以成功存取的位置擷取 XMDE 用戶端分析器。

二進位用戶端分析器安裝腳本

下列腳本會執行執行 用戶端分析器二進位版本的前六個步驟。 完成時,可從 /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer 目錄取得 XMDE 用戶端分析器二進位檔。

  1. 建立Bash檔案 InstallXMDEClientAnalyzer.sh ,並將下列內容貼到其中。

    #! /usr/bin/bash
    
    echo "Starting Client Analyzer Script. Running As:"
    whoami
    
    echo "Getting XMDEClientAnalyzerBinary"
    wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary
    echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c
    
    echo "Unzipping XMDEClientAnalyzerBinary.zip"
    unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary
    
    echo "Unzipping SupportToolLinuxBinary.zip"
    unzip -q /tmp/XMDEClientAnalyzerBinary/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
    
    echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
    
    

Python 用戶端分析器安裝腳本

下列腳本會執行執行 Python 版用戶端分析器的前六個步驟。 完成時,可從 /tmp/XMDEClientAnalyzer 目錄取得 XMDE 用戶端分析器 Python 腳本。

  1. 建立Bash檔案 InstallXMDEClientAnalyzer.sh ,並將下列內容貼到其中。

    #! /usr/bin/bash
    
    echo "Starting Client Analyzer Install Script. Running As:"
    whoami
    
    echo "Getting XMDEClientAnalyzer.zip"
    wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer 
    echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c  
    
    echo "Unzipping XMDEClientAnalyzer.zip"
    unzip -q XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer  
    
    echo "Setting execute permissions on mde_support_tool.sh script"
    cd /tmp/XMDEClientAnalyzer 
    chmod a+x mde_support_tool.sh  
    
    echo "Performing final support tool setup"
    ./mde_support_tool.sh
    
    

執行用戶端分析器安裝文稿

  1. 在您需要調查的計算機上起始 實時回應會話

  2. 取 [將檔案上傳至文檔庫]

  3. 取 [選擇檔案]

  4. 選取名為 的 InstallXMDEClientAnalyzer.sh下載檔,然後選取 [ 確認]

  5. 當仍在 LiveResponse 工作階段中時,請使用下列命令來安裝分析器:

    run InstallXMDEClientAnalyzer.sh
    

執行 XMDE 用戶端分析器

即時回應不支援直接執行 XMDE 用戶端分析器或 Python,因此需要執行腳本。

重要事項

下列文稿假設 XMDE 用戶端分析器是使用先前所述文稿中的相同位置來安裝。 如果您的組織已選擇將腳本安裝到不同的位置,則必須更新下列腳本,以符合您組織選擇的安裝位置。

二進位用戶端分析器執行腳本

二進位用戶端分析器會接受命令行參數來執行不同的分析測試。 為了在即時回應期間提供類似的功能,執行腳本會利用 $@ bash變數,將提供給腳本的所有輸入參數傳遞至 XMDE 用戶端分析器。

  1. 建立Bash檔案 MDESupportTool.sh ,並將下列內容貼到其中。

    #! /usr/bin/bash
    
    echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
    cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
    
    echo "Running MDESupportTool"
    ./MDESupportTool $@
    
    

Python 用戶端分析器執行腳本

Python 用戶端分析器會接受命令行參數來執行不同的分析測試。 為了在即時回應期間提供類似的功能,執行腳本會利用 $@ bash變數,將提供給腳本的所有輸入參數傳遞至 XMDE 用戶端分析器。

  1. 建立Bash檔案 MDESupportTool.sh ,並將下列內容貼到其中。

    #! /usr/bin/bash  
    
    echo "cd /tmp/XMDEClientAnalyzer"
    cd /tmp/XMDEClientAnalyzer 
    
    echo "Running mde_support_tool"
    ./mde_support_tool.sh $@
    
    

執行用戶端分析器腳本

注意事項

如果您有作用中的即時回應會話,您可以略過步驟 1。

  1. 在您需要調查的計算機上起始 實時回應會話

  2. 取 [將檔案上傳至文檔庫]

  3. 取 [選擇檔案]

  4. 選取名為 的 MDESupportTool.sh下載檔,然後選取 [ 確認]

  5. 仍在即時回應會話中時,請使用下列命令來執行分析器並收集產生的檔案。

    run MDESupportTool.sh -parameters "--bypass-disclaimer -d"
    GetFile "/tmp/your_archive_file_name_here.zip"
    

另請參閱

提示

想要深入了解? Engage 技術社群中的Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。