جمع سجلات الدعم في Microsoft Defender لنقطة النهاية باستخدام الاستجابة المباشرة
ينطبق على:
هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.
عند الاتصال بالدعم، قد يطلب منك توفير حزمة الإخراج لأداة Microsoft Defender لنقطة النهاية Client Analyzer.
توفر هذه المقالة إرشادات حول كيفية تشغيل الأداة عبر Live Response على Windows وعلى أجهزة Linux.
بالنسبة لنظام التشغيل
قم بتنزيل وإحضار البرامج النصية المطلوبة المتوفرة من داخل الدليل الفرعي Toolsل Microsoft Defender لنقطة النهاية Client Analyzer.
على سبيل المثال، للحصول على المستشعر الأساسي وسجلات سلامة الجهاز، قم بإحضار
..\Tools\MDELiveAnalyzer.ps1.- إذا كنت بحاجة إلى سجلات إضافية متعلقة Microsoft Defender Antivirus، فاستخدم
..\Tools\MDELiveAnalyzerAV.ps1. - إذا كنت تحتاج إلى سجلات Microsoft Endpoint Data Loss Prevention ذات الصلة، فاستخدم
..\Tools\MDELiveAnalyzerDLP.ps1. - إذا كنت بحاجة إلى سجلات متعلقة بالشبكة وWindows Filter Platform ، فاستخدم
..\Tools\MDELiveAnalyzerNet.ps1. - إذا كنت بحاجة إلى سجلات مراقبة العملية ، فاستخدم
..\Tools\MDELiveAnalyzerAppCompat.ps1.
- إذا كنت بحاجة إلى سجلات إضافية متعلقة Microsoft Defender Antivirus، فاستخدم
ابدأ جلسة Live Response على الجهاز الذي تحتاج إلى التحقيق فيه.
حدد Upload file to library.
حدد اختيار ملف.
حدد الملف الذي تم تنزيله باسم
MDELiveAnalyzer.ps1، ثم حدد تأكيد.
كرر هذه الخطوة للملف
MDEClientAnalyzerPreview.zip.أثناء وجودك في جلسة LiveResponse، استخدم الأوامر التالية لتشغيل المحلل وجمع الملف الناتج.
Putfile MDEClientAnalyzerPreview.zip Run MDELiveAnalyzer.ps1 GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDECA\MDEClientAnalyzerResult.zip"
معلومات إضافية
يمكن تنزيل أحدث إصدار معاينة من MDE Client Analyzer على https://aka.ms/MDEClientAnalyzerPreview.
لمزيد من المعلومات حول جمع البيانات محليا على جهاز في حالة عدم اتصال الجهاز بخدمات السحابة Microsoft Defender لنقطة النهاية، أو عدم ظهوره في مدخل Microsoft Defender لنقطة النهاية كما هو متوقع، راجع التحقق من اتصال العميل عناوين URL للخدمة Microsoft Defender لنقطة النهاية.
كما هو موضح في أمثلة أوامر الاستجابة المباشرة، قد تحتاج إلى استخدام
&الرمز في نهاية الأمر لجمع السجلات كإجراء في الخلفية:Run MDELiveAnalyzer.ps1&
Linux
يمكن تنزيل أداة محلل عميل XMDE كحزمة ثنائية أو Python يمكن استخراجها وتنفيذها على أجهزة Linux. يمكن تنفيذ كلا الإصدارين من محلل عميل XMDE أثناء جلسة استجابة مباشرة.
المتطلبات الأساسية
لتثبيت الحزمة
unzipمطلوبة.لتنفيذ الحزمة
aclمطلوبة.
هام
تستخدم النافذة حرفي Return وLine Feed غير المرئيين لتمثيل نهاية سطر واحد وبداية سطر جديد في ملف، ولكن تستخدم أنظمة Linux الحرف غير المرئي لموجز الأسطر فقط في نهاية أسطر الملفات الخاصة به. عند استخدام البرامج النصية التالية، إذا تم ذلك على Windows، يمكن أن يؤدي هذا الاختلاف إلى أخطاء وفشل البرامج النصية للتشغيل. الحل المحتمل لهذا هو الاستفادة من نظام Windows الفرعي لـ Linux والحزمة dos2unix بغية إعادة تنسيق البرنامج النصي بحيث يتوافق مع معيار تنسيق Unix وLinux.
تثبيت محلل عميل XMDE
كلا الإصدارين من محلل عميل XMDE، ثنائي وPython، حزمة قائمة بذاتها يجب تنزيلها واستخراجها قبل التنفيذ. لمزيد من المعلومات، راجع استكشاف أخطاء سلامة المستشعر وإصلاحها باستخدام Microsoft Defender لنقطة النهاية Client Analyzer
نظرا للأوامر المحدودة المتوفرة في Live Response، يجب تنفيذ الخطوات التفصيلية في برنامج نصي bash، وعن طريق تقسيم جزء التثبيت والتنفيذ من هذه الأوامر، من الممكن تشغيل البرنامج النصي للتثبيت مرة واحدة، أثناء تشغيل البرنامج النصي للتنفيذ عدة مرات.
هام
تفترض البرامج النصية المثال أن الجهاز لديه وصول مباشر إلى الإنترنت ويمكنه استرداد محلل عميل XMDE من Microsoft. إذا لم يكن لدى الجهاز وصول مباشر إلى الإنترنت، فستحتاج البرامج النصية للتثبيت إلى التحديث لإحضار محلل عميل XMDE من موقع يمكن للأجهزة الوصول إليه بنجاح.
البرنامج النصي لتثبيت محلل العميل الثنائي
ينفذ البرنامج النصي التالي الخطوات الست الأولى من تشغيل الإصدار الثنائي من محلل العميل. عند الانتهاء، يتوفر ثنائي محلل عميل XMDE من /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer الدليل.
إنشاء ملف
InstallXMDEClientAnalyzer.shbash ولصق المحتوى التالي فيه.#! /usr/bin/bash echo "Starting Client Analyzer Script. Running As:" whoami echo "Getting XMDEClientAnalyzerBinary" wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://go.microsoft.com/fwlink/?linkid=2297517 echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c echo "Unzipping XMDEClientAnalyzerBinary.zip" unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary echo "Unzipping SupportToolLinuxBinary.zip" unzip -q /tmp/XMDEClientAnalyzerBinary/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
البرنامج النصي لتثبيت محلل عميل Python
ينفذ البرنامج النصي التالي الخطوات الست الأولى من تشغيل إصدار Python من محلل العميل. عند الانتهاء، تتوفر البرامج النصية XMDE Client Analyzer Python من /tmp/XMDEClientAnalyzer الدليل.
إنشاء ملف
InstallXMDEClientAnalyzer.shbash ولصق المحتوى التالي فيه.#! /usr/bin/bash echo "Starting Client Analyzer Install Script. Running As:" whoami echo "Getting XMDEClientAnalyzer.zip" wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c echo "Unzipping XMDEClientAnalyzer.zip" unzip -q XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer echo "Setting execute permissions on mde_support_tool.sh script" cd /tmp/XMDEClientAnalyzer chmod a+x mde_support_tool.sh echo "Performing final support tool setup" ./mde_support_tool.sh
تشغيل البرامج النصية لتثبيت محلل العميل
ابدأ جلسة Live Response على الجهاز الذي تحتاج إلى التحقيق فيه.
حدد Upload file to library.
حدد اختيار ملف.
حدد الملف الذي تم تنزيله باسم
InstallXMDEClientAnalyzer.sh، ثم حدد Confirm.أثناء وجودك في جلسة LiveResponse، استخدم الأوامر التالية لتثبيت المحلل:
run InstallXMDEClientAnalyzer.sh
تشغيل محلل عميل XMDE
لا تدعم Live Response تشغيل محلل عميل XMDE أو Python مباشرة، لذلك من الضروري وجود برنامج نصي للتنفيذ.
هام
تفترض البرامج النصية التالية أنه تم تثبيت XMDE Client Analyzer باستخدام نفس المواقع من البرامج النصية المذكورة سابقا. إذا اختارت مؤسستك تثبيت البرامج النصية في موقع مختلف، فيجب تحديث البرامج النصية التالية لتتماشى مع موقع التثبيت الذي تختاره مؤسستك.
البرنامج النصي لتشغيل محلل العميل الثنائي
يقبل Binary Client Analyzer معلمات سطر الأوامر لإجراء اختبارات تحليل مختلفة. لتوفير قدرات مماثلة أثناء Live Response، يستفيد البرنامج النصي للتنفيذ من $@ متغير bash لتمرير جميع معلمات الإدخال المقدمة إلى البرنامج النصي إلى محلل عميل XMDE.
إنشاء ملف
MDESupportTool.shbash ولصق المحتوى التالي فيه.#! /usr/bin/bash echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer" cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer echo "Running MDESupportTool" ./MDESupportTool $@
البرنامج النصي لتشغيل محلل عميل Python
يقبل Python Client Analyzer معلمات سطر الأوامر لإجراء اختبارات تحليل مختلفة. لتوفير قدرات مماثلة أثناء Live Response، يستفيد البرنامج النصي للتنفيذ من $@ متغير bash لتمرير جميع معلمات الإدخال المقدمة إلى البرنامج النصي إلى محلل عميل XMDE.
إنشاء ملف
MDESupportTool.shbash ولصق المحتوى التالي فيه.#! /usr/bin/bash echo "cd /tmp/XMDEClientAnalyzer" cd /tmp/XMDEClientAnalyzer echo "Running mde_support_tool" ./mde_support_tool.sh $@
تشغيل البرنامج النصي لمحلل العميل
ملاحظة
إذا كان لديك جلسة Live Response نشطة، فيمكنك تخطي الخطوة 1.
ابدأ جلسة Live Response على الجهاز الذي تحتاج إلى التحقيق فيه.
حدد Upload file to library.
حدد اختيار ملف.
حدد الملف الذي تم تنزيله باسم
MDESupportTool.sh، ثم حدد Confirm.أثناء وجودك في جلسة Live Response، استخدم الأوامر التالية لتشغيل المحلل وجمع الملف الناتج.
run MDESupportTool.sh -parameters "--bypass-disclaimer -d" GetFile "/tmp/your_archive_file_name_here.zip"
راجع أيضًا
- نظرة عامة حول محلل العميل
- تجميع البيانات من أجل استكشاف الأخطاء وإصلاحها على Windows
- فهم تقرير HTML الخاص ب المحلل
تلميح
هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.