使用即時回應在適用於端點的 Microsoft Defender 中收集支持記錄

適用於：

• 適用於端點的 Microsoft Defender 方案 2
• Microsoft Defender XDR

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

連絡支持人員時，系統可能會要求您提供適用於端點的 Microsoft Defender 用戶端分析器工具的輸出套件。

本文提供如何在 Windows 和 Linux 計算機上透過即時回應執行工具的指示。

Windows

1. 從適用於端點的 Microsoft Defender 用戶端分析器的 [工具] 子目錄內下載並擷取可用的必要腳本。

   例如，若要取得基本感測器和裝置健康情況記錄，請擷取 ..\Tools\MDELiveAnalyzer.ps1。

   如果您也需要 microsoft Defender 防病毒軟體支援記錄 () MpSupportFiles.cab ，請擷取 ..\Tools\MDELiveAnalyzerAV.ps1。

2. 在您需要調查的計算機上起始 實時回應會話 。

3. 選 取 [將檔案上傳至文檔庫]。

   

4. 選 取 [選擇檔案]。

   

5. 選取名為 的 MDELiveAnalyzer.ps1下載檔，然後選取 [ 確認]。

   

6. 仍在 LiveResponse 工作階段中時，請使用下列命令來執行分析器並收集產生的檔案。

   Run MDELiveAnalyzer.ps1
   GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDEClientAnalyzerResult.zip"
   

   

其他資訊

• 您可以在這裡下載 MDEClientAnalyzer 的最新預覽版本： https://aka.ms/Betamdeanalyzer。

• LiveAnalyzer 腳本會從下列項目下載目的地計算機上的疑難解答套件： https://mdatpclientanalyzer.blob.core.windows.net。

• 如果您不允許機器連線到上述 URL，請先將檔案上傳 MDEClientAnalyzerPreview.zip 至連結庫，再執行 LiveAnalyzer 腳本：

  PutFile MDEClientAnalyzerPreview.zip -overwrite
  Run MDELiveAnalyzer.ps1
  GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDEClientAnalyzerResult.zip"
  

• 如需在計算機上本機收集數據的詳細資訊，以防機器未與適用於端點的 Microsoft Defender 雲端服務通訊，或未如預期般出現在適用於端點的 Microsoft Defender 入口網站中，請參閱 驗證適用於端點的 Microsoft Defender 服務 URL 的用戶端連線能力。

• 如 即時回應命令範例中所述，您可能想要在命令結尾使用 & 符號，以背景動作收集記錄：

  Run MDELiveAnalyzer.ps1&
  

Linux

XMDE 用戶端分析器工具可以下載為 二進位 或 Python 套件，可在 Linux 機器上擷取和執行。 這兩個版本的 XMDE 用戶端分析器都可以在即時回應會話期間執行。

必要條件

• 若要進行安裝， unzip 需要套件。

• 若要執行， acl 需要封裝。

重要事項

視窗會使用歸位字元和換行字元不可見字元來代表檔案中一行的結尾和新行的開頭，但是 Linux 系統只會在其文件行結尾使用行摘要不可見的字元。 使用下列腳本時，如果是在 Windows 上完成，此差異可能會導致腳本執行錯誤和失敗。 其中一個可能的解決方案是利用適用於Linux的 Windows 子系統和 dos2unix 套件來重新格式化腳本，使其與 Unix 和 Linux 格式標準一致。

安裝 XMDE 用戶端分析器

XMDE 用戶端分析器、二進位和 Python 這兩個版本都是獨立的套件，在執行之前必須先下載並擷取，而且可以找到此程式的完整步驟集：

• 執行用戶端分析器的二進位版本

• 執行用戶端分析器的 Python 版本

由於即時回應中可用的命令有限，因此必須在Bash腳本中執行詳細步驟，並分割這些命令的安裝和執行部分，就可以執行安裝腳本一次，同時執行執行腳本多次。

重要事項

範例腳本假設計算機具有直接的因特網存取權，而且可以從 Microsoft 擷取 XMDE 用戶端分析器。 如果計算機沒有直接的因特網存取權，則必須更新安裝腳本，才能從機器可以成功存取的位置擷取 XMDE 用戶端分析器。

二進位用戶端分析器安裝腳本

下列腳本會執行執行 用戶端分析器二進位版本的前六個步驟。 完成時，可從 /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer 目錄取得 XMDE 用戶端分析器二進位檔。

1. 建立Bash檔案 InstallXMDEClientAnalyzer.sh ，並將下列內容貼到其中。

   #! /usr/bin/bash
   
   echo "Starting Client Analyzer Script. Running As:"
   whoami
   
   echo "Getting XMDEClientAnalyzerBinary"
   wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary
   echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c
   
   echo "Unzipping XMDEClientAnalyzerBinary.zip"
   unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary
   
   echo "Unzipping SupportToolLinuxBinary.zip"
   unzip -q /tmp/XMDEClientAnalyzerBinary/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
   
   echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
   
   

Python 用戶端分析器安裝腳本

下列腳本會執行執行 Python 版用戶端分析器的前六個步驟。 完成時，可從 /tmp/XMDEClientAnalyzer 目錄取得 XMDE 用戶端分析器 Python 腳本。

1. 建立Bash檔案 InstallXMDEClientAnalyzer.sh ，並將下列內容貼到其中。

   #! /usr/bin/bash
   
   echo "Starting Client Analyzer Install Script. Running As:"
   whoami
   
   echo "Getting XMDEClientAnalyzer.zip"
   wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer 
   echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c  
   
   echo "Unzipping XMDEClientAnalyzer.zip"
   unzip -q XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer  
   
   echo "Setting execute permissions on mde_support_tool.sh script"
   cd /tmp/XMDEClientAnalyzer 
   chmod a+x mde_support_tool.sh  
   
   echo "Performing final support tool setup"
   ./mde_support_tool.sh
   
   

執行用戶端分析器安裝文稿

1. 在您需要調查的計算機上起始 實時回應會話 。

2. 選 取 [將檔案上傳至文檔庫]。

3. 選 取 [選擇檔案]。

4. 選取名為 的 InstallXMDEClientAnalyzer.sh下載檔，然後選取 [ 確認]。

5. 當仍在 LiveResponse 工作階段中時，請使用下列命令來安裝分析器：

   run InstallXMDEClientAnalyzer.sh
   

執行 XMDE 用戶端分析器

即時回應不支援直接執行 XMDE 用戶端分析器或 Python，因此需要執行腳本。

重要事項

下列文稿假設 XMDE 用戶端分析器是使用先前所述文稿中的相同位置來安裝。 如果您的組織已選擇將腳本安裝到不同的位置，則必須更新下列腳本，以符合您組織選擇的安裝位置。

二進位用戶端分析器執行腳本

二進位用戶端分析器會接受命令行參數來執行不同的分析測試。 為了在即時回應期間提供類似的功能，執行腳本會利用 $@ bash變數，將提供給腳本的所有輸入參數傳遞至 XMDE 用戶端分析器。

1. 建立Bash檔案 MDESupportTool.sh ，並將下列內容貼到其中。

   #! /usr/bin/bash
   
   echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
   cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
   
   echo "Running MDESupportTool"
   ./MDESupportTool $@
   
   

Python 用戶端分析器執行腳本

Python 用戶端分析器會接受命令行參數來執行不同的分析測試。 為了在即時回應期間提供類似的功能，執行腳本會利用 $@ bash變數，將提供給腳本的所有輸入參數傳遞至 XMDE 用戶端分析器。

1. 建立Bash檔案 MDESupportTool.sh ，並將下列內容貼到其中。

   #! /usr/bin/bash  
   
   echo "cd /tmp/XMDEClientAnalyzer"
   cd /tmp/XMDEClientAnalyzer 
   
   echo "Running mde_support_tool"
   ./mde_support_tool.sh $@
   
   

執行用戶端分析器腳本

注意事項

如果您有作用中的即時回應會話，您可以略過步驟 1。

1. 在您需要調查的計算機上起始 實時回應會話 。

2. 選 取 [將檔案上傳至文檔庫]。

3. 選 取 [選擇檔案]。

4. 選取名為 的 MDESupportTool.sh下載檔，然後選取 [ 確認]。

5. 仍在即時回應會話中時，請使用下列命令來執行分析器並收集產生的檔案。

   run MDESupportTool.sh -parameters "--bypass-disclaimer -d"
   GetFile "/tmp/your_archive_file_name_here.zip"
   

另請參閱

• 用戶端分析器概觀
• 下載及執行用戶端分析器
• 在 Windows 上執行用戶端分析器
• 在 macOS 或 Linux 上執行用戶端分析器
• 在 Windows 進階疑難排解的資料收集
• 了解分析器 HTML 報告

提示

想要深入了解? 在我們的技術社群中與 Microsoft 安全性社群互動： 適用於端點的 Microsoft Defender 技術社群。