Freigeben über

Ausführen des Clientanalysetools unter Linux

  • Artikel

Gilt für:

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Wenn Sie Probleme mit Microsoft Defender for Endpoint unter Linux haben und Unterstützung benötigen, werden Sie möglicherweise aufgefordert, die Ausgabe des Client Analyzer-Tools bereitzustellen. In diesem Artikel wird erläutert, wie Sie das Tool auf Ihrem Gerät oder mit Liveantwort verwenden. Sie können entweder eine Python-basierte Lösung oder eine Binärversion verwenden, die Python nicht benötigt.

Ausführen der binärversion des Clientanalysetools

  1. Laden Sie das XMDE Client Analyzer Binary-Tool auf den Linux-Computer herunter, den Sie untersuchen möchten. Wenn Sie ein Terminal verwenden, laden Sie das Tool herunter, indem Sie den folgenden Befehl eingeben:

    wget --quiet -O XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary

  2. Überprüfen Sie den Download.

    echo 'B5EBD9AB36F2DB92C341ABEBB20A50551D08D769CB061EAFCC1A931EFACE305D XMDEClientAnalyzerBinary.zip' | sha256sum -c

  3. Extrahieren Sie den Inhalt von XMDEClientAnalyzerBinary.zip auf dem Computer.

    unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary

  4. Ändern Sie das Verzeichnis:

    cd XMDEClientAnalyzerBinary

  5. Es werden zwei neue ZIP-Dateien erstellt:

    • SupportToolLinuxBinary.zip: Für alle Linux-Geräte
    • SupportToolMacOSBinary.zip: Für Mac-Geräte

  6. Entzippen SupportToolLinuxBinary.zip Sie die Datei.

    unzip -q SupportToolLinuxBinary.zip

  7. Führen Sie das Tool als Stamm aus , um ein Diagnosepaket zu generieren:

    sudo ./MDESupportTool -d

Ausführen der Python-basierten Clientanalyse

Hinweis

  • Das Analysetool hängt von einigen zusätzlichen PIP-Paketen (decorator, , distro, lxmlund psutil) ab, shdie im Betriebssystem installiert werden, wenn sie sich im Stamm befinden, um die Ergebnisausgabe zu erzeugen. Wenn es nicht installiert ist, versucht das Analysetool, es aus dem offiziellen Repository für Python-Pakete abzurufen.
  • Darüber hinaus muss für das Tool derzeit Python-Version 3 oder höher auf Ihrem Gerät installiert sein.
  • Wenn sich Ihr Gerät hinter einem Proxy befindet, können Sie den Proxyserver als Umgebungsvariable an das mde_support_tool.sh Skript übergeben. Beispiel: https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh".

Warnung

Die Ausführung des Python-basierten Clientanalysetools erfordert die Installation von PIP-Paketen, die zu Problemen in Ihrer Umgebung führen können. Um Probleme zu vermeiden, empfiehlt es sich, die Pakete in einer PIP-Benutzerumgebung zu installieren.

  1. Laden Sie das XMDE-Client analyzer-Tool auf den Linux-Computer herunter, den Sie untersuchen müssen. Wenn Sie ein Terminal verwenden, laden Sie das Tool herunter, indem Sie den folgenden Befehl eingeben:

    wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer

  2. Überprüfen Sie den Download.

    echo '07E6A7B89E28A78309D5B6F1E25E4CDFBA9CA141450E422D76441C03AD3477E7 XMDEClientAnalyzer.zip' | sha256sum -c

  3. Extrahieren Sie den Inhalt von XMDEClientAnalyzer.zip auf dem Computer.

    unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzer

  4. Ändern Sie das Verzeichnis.

    cd XMDEClientAnalyzer

  5. Erteilen Sie dem Tool die Ausführbare Berechtigung.

    chmod a+x mde_support_tool.sh

  6. Führen Sie als Nicht-Root-Benutzer aus, um die erforderlichen Abhängigkeiten zu installieren.

    ./mde_support_tool.sh

  7. Führen Sie erneut als Stamm aus, um das Diagnosepaket zu erfassen und die Ergebnisarchivdatei zu generieren.

    sudo ./mde_support_tool.sh -d

Befehlszeilenoptionen

Im Folgenden finden Sie die Befehlszeilenoptionen, die vom Client analyzer bereitgestellt werden.


usage: MDESupportTool [-h] [--output OUTPUT] [--outdir OUTDIR] [--no-zip]
                      [--force] [--diagnostic] [--skip-mdatp]
                      [--bypass-disclaimer] [--interactive] [--delay DELAY]
                      [--mdatp-log {trace,info,warning,error,debug,verbose}]
                      [--max-log-size MAX_LOG_SIZE]
                      {certinfocollection,performance,installation,exclude,ratelimit,skipfaultyrules,trace,observespikes,connectivitytest}
                      ...

MDE Diagnostics Tool

positional arguments:
  {certinfocollection,performance,installation,exclude,ratelimit,skipfaultyrules,trace,observespikes,connectivitytest}
    certinfocollection  Collect cert information: Subject name and Hashes
    performance         Collect extensive machine performance tracing for
                        analysis of a performance scenario that can be
                        reproduced on demand
    installation        Collect different installation/onboarding reports
    exclude             Exclude specific processes from audit-d monitoring.
    ratelimit           Set the rate limit for auditd events. Rate limit will
                        update the limits for auditd events for all the
                        applications using auditd, which could impact
                        applications other than MDE.
    skipfaultyrules     Continue loading rules in spite of an error. This
                        summarizes the results of loading the rules. The exit
                        code will not be success if any rule fails to load.
    trace               Use OS tracing facilities to record Defender
                        performance traces.
    observespikes       Collect the process logs in case of spike or mdatp
                        crash
    connectivitytest    Perform connectivity test for MDE

optional arguments:
  -h, --help            show this help message and exit
  --output OUTPUT, -o OUTPUT
                        Output path to export report
  --outdir OUTDIR       Directory where diagnostics file will be generated.
  --no-zip, -nz         If set a directory will be created instead of an
                        archive file.
  --force, -f           Will overwrite if output directory exists.
  --diagnostic, -d      Collect extensive machine diagnostic information.
  --skip-mdatp          Skip any mdatp command. Use this when the mdatp
                        command is unresponsive.
  --bypass-disclaimer   Do not display disclaimer banner.
  --interactive, -i     Interactive diagnostic,
  --delay DELAY, -dd DELAY
                        Delay diagnostic by how many minutes (0~2880), use
                        this to wait for more debug logs before it collects.
  --mdatp-log {trace,info,warning,error,debug,verbose}
                        Set MDATP log level. If you use interactive or delay
                        mode, the log level will set to debug automatically,
                        and reset after 48h.
  --max-log-size MAX_LOG_SIZE
                        Maximum log file size in MB before rotating(Will
                        restart mdatp).

Diagnosemodus

Der Diagnosemodus wird verwendet, um umfangreiche Computerinformationen wie Arbeitsspeicher, Datenträger und MDATP-Protokolle zu sammeln. Dieser Satz von Dateien enthält den primären Satz von Informationen, die zum Debuggen von Problemen im Zusammenhang mit Defender für Endpunkt erforderlich sind.

Folgende Optionen werden unterstützt:


optional arguments:
  -h, --help            show this help message and exit
  --output OUTPUT, -o OUTPUT
                        Output path to export report
  --outdir OUTDIR       Directory where diagnostics file will be generated.
  --no-zip, -nz         If set a directory will be created instead of an
                        archive file.
  --force, -f           Will overwrite if output directory exists.
  --diagnostic, -d      Collect extensive machine diagnostic information.
  --skip-mdatp          Skip any mdatp command. Use this when the mdatp
                        command is unresponsive.
  --bypass-disclaimer   Do not display disclaimer banner.
  --interactive, -i     Interactive diagnostic,
  --delay DELAY, -dd DELAY
                        Delay diagnostic by how many minutes (0~2880), use
                        this to wait for more debug logs before it collects.
  --mdatp-log {trace,info,warning,error,debug,verbose}
                        Set MDATP log level. If you use interactive or delay
                        mode, the log level will set to debug automatically,
                        and reset after 48h.
  --max-log-size MAX_LOG_SIZE
                        Maximum log file size in MB before rotating(Will
                        restart mdatp).

Verwendungsbeispiel: sudo ./MDESupportTool -d

Hinweis

Das Feature "Autoreset" auf Protokollebene ist nur in Agent-Version 101.24052.0002 oder höher verfügbar.

Die dateien, die bei Verwendung dieses Modus generiert werden, sind in der folgenden Tabelle zusammengefasst:

File Hinweise
mde_diagnostic.zip Defender für Endpunkt-Protokolle und -Konfigurationen
health.txt Die integritäts-status von Defender für Endpunkt
(Nur vorhanden, wenn Defender für Endpunkt installiert ist)
health_details_features.txt Integritäts-status anderer Defender für Endpunkt-Features
(Nur vorhanden, wenn Defender für Endpunkt installiert ist)
permissions.txt Berechtigungsprobleme mit den Ordnern, die sich im Besitz von Defender für Endpunkt befinden bzw. von Defender für Endpunkt verwendet werden
(Nur vorhanden, wenn Defender für Endpunkt installiert ist)
crashes Von Defender für Endpunkt generierte Absturzabbilder
process_information.txt Prozess, der auf dem Computer ausgeführt wird, wenn das Tool ausgeführt wurde
proc_directory_info.txt Zuordnung des virtuellen Speichers von Defender für Endpunkt-Prozessen
(Nur vorhanden, wenn Defender für Endpunkt installiert ist)
auditd_info.txt Überwachte Integrität, Regeln, Protokolle
auditd_log_analysis.txt Zusammenfassung der von auditd verarbeiteten Ereignisse
auditd_logs.zip Überwachte Protokolldateien
ebpf_kernel_config.txt Derzeit geladene Linux-Kernelkonfiguration
ebpf_enabled_func.txt Liste aller Kernelfunktionen, die derzeit für die Ablaufverfolgung aktiviert sind
ebpf_syscalls.zip Informationen zur Systemaufrufablaufverfolgung
ebpf_raw_syscalls.zip Ablaufverfolgung von Ereignissen im Zusammenhang mit unformatierten Systemaufrufen
ebpf_maps_info.txt Id- und Größeninformationen für eBPF-Karten
syslog.zip Die Dateien unter /var/log/syslog
messages.zip Die Dateien unter /var/log/messages
conflicting_processes_information.txt In Konflikt stehende Prozesse von Defender für Endpunkt
exclusions.txt Liste der Antivirenausschlüsse
definitions.txt Informationen zur Antivirusdefinition
mde_directories.txt Liste der Dateien in den Defender für Endpunkt-Verzeichnissen
disk_usage.txt Details zur Datenträgernutzung
mde_user.txt Defender für Endpunkt-Benutzerinformationen
mde_definitions_mount.txt Bereitstellungspunkt für Defender für Endpunktdefinitionen
service_status.txt Defender für Endpunkt-Dienststatus
service_file.txt Defender für Endpunkt-Dienstdatei
hardware_info.txt Hardwareinformationen
mount.txt Informationen zum Bereitstellungspunkt
uname.txt Kernelinformationen
memory.txt Systemspeicherinformationen
meminfo.txt Detaillierte Informationen zur Speicherauslastung des Systems
cpuinfo.txt CPU-Informationen
lsns_info.txt Linux-Namespaceinformationen
lsof.txt Informationen zu offenen Dateideskriptoren in Defender für Endpunkt
(siehe Hinweis nach dieser Tabelle)
sestatus.txt Informationen zu offenen Dateideskriptoren in Defender für Endpunkt
lsmod.txt Status von Modulen im Linux-Kernel
dmesg.txt Nachrichten aus dem Kernelringpuffer
kernel_lockdown.txt Kernelsperrungsinformationen
rtp_statistics.txt Defender for Endpoint Real Time Protection (RTP)-Statistiken
(Nur vorhanden, wenn Defender für Endpunkt installiert ist)
libc_info.txt Libc-Bibliotheksinformationen
uptime_info.txt Zeit seit dem letzten Neustart
last_info.txt Liste der zuletzt angemeldeten Benutzer
locale_info.txt Aktuelles Gebietsschema anzeigen
tmp_files_owned_by_mdatp.txt /tmp-Dateien im Besitz der Gruppe: mdatp
(Nur vorhanden, wenn Defender für Endpunkt installiert ist)
mdatp_config.txt Alle Defender für Endpunkt-Konfigurationen
(Nur vorhanden, wenn Defender für Endpunkt installiert ist)
mpenginedb.db
mpenginedb.db-wal
mpenginedb.db-shm		 Antivirusdefinitionsdatei
(Nur vorhanden, wenn Defender für Endpunkt installiert ist)
iptables_rules.txt Linux-iptables-Regeln
network_info.txt Netzwerkinformationen
sysctl_info.txt Informationen zu Kerneleinstellungen
hostname_diagnostics.txt Informationen zu Hostnamen Diagnose
mde_event_statistics.txt Defender für Endpunkt-Ereignisstatistiken
(Nur vorhanden, wenn Defender für Endpunkt installiert ist)
mde_ebpf_statistics.txt Defender für Endpunkt eBPF-Statistiken
(Nur vorhanden, wenn Defender für Endpunkt installiert ist)
kernel_logs.zip Kernelprotokolle
mdc_log.zip Microsoft Defender für Cloudprotokolle
netext_config.txt
threat_list.txt Liste der von Defender für Endpunkt erkannten Bedrohungen
(Nur vorhanden, wenn Defender für Endpunkt installiert ist)
top_output.txt Prozess, der auf dem Computer ausgeführt wird, wenn das Tool ausgeführt wurde
top_summary.txt Analyse der Arbeitsspeicher- und CPU-Auslastung des ausgeführten Prozesses

Optionale Argumente für Client Analyzer

Client Analyzer stellt die folgenden optionalen Argumente für die zusätzliche Datensammlung bereit:

Sammeln von Leistungsinformationen

Erfassen Sie eine umfangreiche Ablaufverfolgung der Computerleistung von Defender für Endpunkt-Prozessen zur Analyse eines Leistungsszenarios, das bei Bedarf reproduziert werden kann.

-h, --help            show this help message and exit
--frequency FREQUENCY
                      profile at this frequency
--length LENGTH       length of time to collect (in seconds)

Verwendungsbeispiel: sudo ./MDESupportTool performance --frequency 500

Im Folgenden finden Sie die Datei, die bei Verwendung dieses Modus generiert wird:

File Hinweise
perf_benchmark.tar.gz Defender für Endpunkt verarbeitet Leistungsdaten

Hinweis

Die Dateien, die dem Diagnosemodus entsprechen, werden ebenfalls generiert.

Das tar enthält Dateien im Format <pid of a MDE process>.data. Die Datendatei kann mit dem Befehl gelesen werden:

perf report -i <pid>.data

Ausführen eines Konnektivitätstests

In diesem Modus wird getestet, ob die von Defender für Endpunkt benötigten Cloudressourcen erreichbar sind.


  -h, --help            show this help message and exit
  -o ONBOARDING_SCRIPT, --onboarding-script ONBOARDING_SCRIPT
                        Path to onboarding script
  -g GEO, --geo GEO     Geo string to test <US|UK|EU|AU|CH|IN>

Verwendungsbeispiel:

sudo ./MDESupportTool connectivitytest -o ~/MicrosoftDefenderATPOnboardingLinuxServer.py`

Die auf dem Bildschirm ausgegebene Ausgabe zeigt an, ob die URLs erreichbar sind oder nicht.

Sammeln verschiedener Installations-/Onboardingberichte

Dieser Modus sammelt Installationsinformationen wie Distributions- und Systemanforderungen.


  -h, --help                show this help message and exit
  -d, --distro              Check for distro support
  -m, --min-requirement     Check for the system info against offical minimum requirements
  -e, --external-dep        Check for externel package dependency
  -c, --connectivity        Check for connectivity for services used by MDE
  -a, --all                 Run all checks
  -o ONBOARDING_SCRIPT, --onboarding-script ONBOARDING_SCRIPT
                            Path to onboarding script
  -g GEO, --geo GEO         Geo string to test <US|UK|EU|AU|CH|IN>

Verwendungsbeispiel:

sudo ./MDESupportTool installation --all

Ein einzelner Bericht installation_report.json wird generiert. Die Schlüssel in der Datei sind wie folgt:

Schlüssel Hinweise
agent_version Version von Defender für Endpunkt installiert
onboarding_status Onboarding- und Ringinformationen
support_status MDE wird mit den aktuellen Systemkonfigurationen unterstützt.
Distribution Die Distribution, in der der Agent in unterstützt oder nicht installiert ist
Konnektivitätstest Der Konnektivitätstest stratus
min_requirement Die Mindestanforderungen für CPU und Arbeitsspeicher sind erfüllt.
external_depedency Die externen Abhängigkeiten sind erfüllt oder nicht.
mde_health Integritäts-status des MDE-Agents
folder_perm Die erforderlichen Ordnerberechtigungen sind erfüllt oder nicht

Ausschlussmodus

Dieser Modus fügt Ausschlüsse für audit-d die Überwachung hinzu.


  -h, --help            show this help message and exit
  -e <executable>, --exe <executable>
                        exclude by executable name, i.e: bash
  -p <process id>, --pid <process id>
                        exclude by process id, i.e: 911
  -d <directory>, --dir <directory>
                        exclude by target path, i.e: /var/foo/bar
  -x <executable> <directory>, --exe_dir <executable> <directory>
                        exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
  -q <q_size>, --queue <q_size>
                        set dispatcher q_depth size
  -r, --remove          remove exclusion file
  -s, --stat            get statistics about common executables
  -l, --list            list auditd rules
  -o, --override        Override the existing auditd exclusion rules file for mdatp
  -c <syscall number>, --syscall <syscall number>
                        exclude all process of the given syscall

Verwendungsbeispiel:

sudo ./MDESupportTool exclude -d /var/foo/bar`

AuditD-Ratenbegrenzung

Diese Option legt die Ratenbegrenzung global für AuditD fest, was zu einem Rückgang aller Überwachungsereignisse führt. Wenn der Grenzwert aktiviert ist, sind die überwachten Ereignisse auf 2500 Ereignisse/Sekunde beschränkt. Diese Option kann in Fällen verwendet werden, in denen eine hohe CPU-Auslastung aufseiten von AuditD angezeigt wird.


-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the rate limit with default values

Verwendungsbeispiel:

sudo ./mde_support_tool.sh ratelimit -e true

Hinweis

Diese Funktionalität sollte sorgfältig verwendet werden, da sie die Anzahl der Ereignisse begrenzt, die das überwachte Subsystem als Ganzes meldet. Dies könnte auch die Anzahl der Ereignisse für andere Abonnenten reduzieren.

AuditD skip faulty rules (AuditD skip faulty rules)

Mit dieser Option können Sie die fehlerhaften Regeln überspringen, die in der Überwachungsregeldatei beim Laden hinzugefügt wurden. Dadurch kann das überwachte Subsystem weiterhin Regeln laden, auch wenn eine fehlerhafte Regel vorliegt.


-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.

Verwendungsbeispiel:

sudo ./mde_support_tool.sh skipfaultyrules -e true

Hinweis

Diese Funktion überspringt die fehlerhaften Regeln. Fehlerhafte Regeln müssen weiter identifiziert und behoben werden.

Verwenden von Liveantworten in Defender für Endpunkt zum Sammeln von Supportprotokollen

Das XMDE-Client analyzer-Tool kann als Binär- oder Python-Paket heruntergeladen werden, das auf Linux-Computern extrahiert und ausgeführt werden kann. Beide Versionen der XMDE-Clientanalyse können während einer Live Response-Sitzung ausgeführt werden.

  • Für die Installation ist das unzip Paket erforderlich.
  • Für die Ausführung ist das acl Paket erforderlich.

Wichtig

Window verwendet die unsichtbaren Zeichen Wagenrücklauf und Zeilenvorschub, um das Ende einer Zeile und den Anfang einer neuen Zeile in einer Datei darzustellen, aber Linux-Systeme verwenden nur das unsichtbare Zeichen Zeilenvorschub am Ende der Dateizeilen. Wenn Sie die folgenden Skripts verwenden, kann dieser Unterschied unter Windows zu Fehlern und Fehlern der auszuführenden Skripts führen. Eine mögliche Lösung hierfür besteht darin, die Windows-Subsystem für Linux und das dos2unix Paket zu verwenden, um das Skript so zu formatieren, dass es dem Unix- und Linux-Formatstandard entspricht.

Installieren der XMDE-Clientanalyse

Laden Sie die XMDE-Clientanalyse herunter, und extrahieren Sie es. Sie können entweder die Binärversion oder die Python-Version wie folgt verwenden:

Aufgrund der eingeschränkten Befehle, die in der Liveantwort verfügbar sind, müssen die detaillierten Schritte in einem Bash-Skript ausgeführt werden. Durch aufteilen des Installations- und Ausführungsteils dieser Befehle ist es möglich, das Installationsskript einmal auszuführen und das Ausführungsskript mehrmals auszuführen.

Wichtig

In den Beispielskripts wird davon ausgegangen, dass der Computer über direkten Internetzugriff verfügt und den XMDE-Client Analyzer von Microsoft abrufen kann. Wenn der Computer keinen direkten Internetzugriff hat, müssen die Installationsskripts aktualisiert werden, um die XMDE-Clientanalyse von einem Speicherort abzurufen, auf den die Computer erfolgreich zugreifen können.

Installationsskript für binäre Clientanalyse

Das folgende Skript führt die ersten sechs Schritte der Ausführung der Binärversion des Client Analyzer aus. Nach Abschluss des Vorgangs ist die XMDE-Clientanalyse-Binärdatei im /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer Verzeichnis verfügbar.

  1. Erstellen Sie eine Bash-Datei InstallXMDEClientAnalyzer.sh , und fügen Sie den folgenden Inhalt ein.

    #! /usr/bin/bash 

echo "Starting Client Analyzer Script. Running As:"
whoami

echo "Getting XMDEClientAnalyzerBinary"
wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary
echo '4E96E75B16244BB25BDBF34CBB3EB596BC2E9CE368BC4E532E8AE12DF2A1E19D /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c

echo "Unzipping XMDEClientAnalyzerBinary.zip"
unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary

echo "Unzipping SupportToolLinuxBinary.zip"
unzip -q /tmp/XMDEClientAnalyzerBinary/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer

echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"

Installationsskript für die Python-Clientanalyse

Das folgende Skript führt die ersten sechs Schritte der Ausführung der Python-Version des Client Analyzer aus. Nach Abschluss des Vorgangs sind die Python-Skripts der XMDE-Clientanalyse im /tmp/XMDEClientAnalyzer Verzeichnis verfügbar.

  1. Erstellen Sie eine Bash-Datei InstallXMDEClientAnalyzer.sh , und fügen Sie den folgenden Inhalt ein.

    #! /usr/bin/bash

echo "Starting Client Analyzer Install Script. Running As:"
whoami

echo "Getting XMDEClientAnalyzer.zip"
wget --quiet -O /tmp/XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer 
echo '07E6A7B89E28A78309D5B6F1E25E4CDFBA9CA141450E422D76441C03AD3477E7 /tmp/XMDEClientAnalyzer.zip' | sha256sum -c  

echo "Unzipping XMDEClientAnalyzer.zip"
unzip -q /tmp/XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer  

echo "Setting execute permissions on mde_support_tool.sh script"
cd /tmp/XMDEClientAnalyzer 
chmod a+x mde_support_tool.sh  

echo "Performing final support tool setup"
./mde_support_tool.sh

Ausführen der Installationsskripts für die Clientanalyse

  1. Initiieren Sie eine Live Response-Sitzung auf dem Computer, den Sie untersuchen möchten.

  2. Wählen Sie Datei in Bibliothek hochladen aus.

  3. Wählen Sie Datei auswählen aus.

  4. Wählen Sie die heruntergeladene Datei mit dem Namen aus InstallXMDEClientAnalyzer.sh, und wählen Sie dann Bestätigen aus.

  5. Verwenden Sie während der LiveResponse-Sitzung die folgenden Befehle, um das Analysetool zu installieren:

    run InstallXMDEClientAnalyzer.sh

Ausführen des XMDE-Clientanalysetools

Die Liveantwort unterstützt nicht die direkte Ausführung von XMDE-Client Analyzer oder Python, sodass ein Ausführungsskript erforderlich ist.

Wichtig

Bei den folgenden Skripts wird davon ausgegangen, dass die XMDE-Clientanalyse mit denselben Speicherorten aus den zuvor erwähnten Skripts installiert wurde. Wenn Ihr organization die Skripts an einem anderen Speicherort installiert, müssen die Skripts so aktualisiert werden, dass sie am ausgewählten Installationsspeicherort Ihres organization ausgerichtet sind.

Skript zum Ausführen des binären Clientanalysetools

Die binärversion des Clientanalysetools akzeptiert Befehlszeilenparameter, um verschiedene Analysetests durchzuführen. Um ähnliche Funktionen während der Liveantwort bereitzustellen, nutzt das Ausführungsskript die $@ Bash-Variable, um alle Eingabeparameter zu übergeben, die für das Skript an die XMDE-Clientanalyse bereitgestellt werden.

  1. Erstellen Sie eine Bash-Datei MDESupportTool.sh , und fügen Sie den folgenden Inhalt ein.

    #! /usr/bin/bash

echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer

echo "Running MDESupportTool"
./MDESupportTool $@

Skript zum Ausführen der Python-Clientanalyse

Die Python-Version des Clientanalysetools akzeptiert Befehlszeilenparameter, um verschiedene Analysetests durchzuführen. Um ähnliche Funktionen während der Liveantwort bereitzustellen, nutzt das Ausführungsskript die $@ Bash-Variable, um alle Eingabeparameter zu übergeben, die für das Skript an die XMDE-Clientanalyse bereitgestellt werden.

  1. Erstellen Sie eine Bash-Datei MDESupportTool.sh , und fügen Sie den folgenden Inhalt ein.

    #! /usr/bin/bash  

echo "cd /tmp/XMDEClientAnalyzer"
cd /tmp/XMDEClientAnalyzer 

echo "Running mde_support_tool"
./mde_support_tool.sh $@

Ausführen des Clientanalyseskripts

Hinweis

Wenn Sie über eine aktive Liveantwortsitzung verfügen, können Sie Schritt 1 überspringen.

  1. Initiieren Sie eine Live Response-Sitzung auf dem Computer, den Sie untersuchen möchten.

  2. Wählen Sie Datei in Bibliothek hochladen aus.

  3. Wählen Sie Datei auswählen aus.

  4. Wählen Sie die heruntergeladene Datei mit dem Namen aus MDESupportTool.sh, und wählen Sie dann Bestätigen aus.

  5. Verwenden Sie während der Liveantwortsitzung die folgenden Befehle, um das Analysetool auszuführen und die resultierende Datei zu sammeln:

    run MDESupportTool.sh -parameters "--bypass-disclaimer -d"
GetFile "/tmp/your_archive_file_name_here.zip"

Siehe auch

Dokumente zur Problembehandlung in Defender für Endpunkt unter Linux

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.