Compartir a través de


Ejecución del analizador de cliente en Linux

Se aplica a:

¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

Si tiene problemas con Microsoft Defender para punto de conexión en Linux y necesita soporte técnico, es posible que se le pida que proporcione la salida de la herramienta Analizador de cliente. En este artículo se explica cómo usar la herramienta en el dispositivo o con respuesta activa. Puede usar una solución basada en Python o una versión binaria que no necesite Python.

Ejecución de la versión binaria del analizador de cliente

  1. Descargue la herramienta binaria XMDE Client Analyzer en la máquina Linux que va a investigar. Si usa un terminal, descargue la herramienta escribiendo el siguiente comando:

    wget --quiet -O XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary
    
  2. Compruebe la descarga.

    echo 'B5EBD9AB36F2DB92C341ABEBB20A50551D08D769CB061EAFCC1A931EFACE305D XMDEClientAnalyzerBinary.zip' | sha256sum -c
    
  3. Extraiga el contenido de XMDEClientAnalyzerBinary.zip en la máquina.

    unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary
    
  4. Cambie el directorio:

    cd XMDEClientAnalyzerBinary
    
  5. Se generan dos nuevos archivos ZIP:

    • SupportToolLinuxBinary.zip: para todos los dispositivos Linux
    • SupportToolMacOSBinary.zip: para dispositivos Mac
  6. Descomprima SupportToolLinuxBinary.zip el archivo.

    unzip -q SupportToolLinuxBinary.zip
    
  7. Ejecute la herramienta como raíz para generar el paquete de diagnóstico:

    sudo ./MDESupportTool -d
    

Ejecución del analizador de cliente basado en Python

Nota:

  • El analizador depende de algunos paquetes PIP adicionales (decorator, sh, distro, lxmly psutil) que se instalan en el sistema operativo cuando están en la raíz para generar la salida del resultado. Si no está instalado, el analizador intenta capturarlo del repositorio oficial de paquetes de Python.
  • Además, la herramienta requiere actualmente la versión 3 de Python o posterior para instalarse en el dispositivo.
  • Si el dispositivo está detrás de un proxy, puede pasar el servidor proxy como una variable de entorno al mde_support_tool.sh script. Por ejemplo: https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh".

Advertencia

La ejecución del analizador de cliente basado en Python requiere la instalación de paquetes PIP, lo que podría causar algunos problemas en el entorno. Para evitar que se produzcan problemas, se recomienda instalar los paquetes en un entorno PIP de usuario.

  1. Descargue la herramienta XMDE Client Analyzer en la máquina Linux que necesita investigar. Si usa un terminal, descargue la herramienta escribiendo el siguiente comando:

    wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer
    
  2. Compruebe la descarga.

    echo '07E6A7B89E28A78309D5B6F1E25E4CDFBA9CA141450E422D76441C03AD3477E7 XMDEClientAnalyzer.zip' | sha256sum -c
    
  3. Extraiga el contenido de XMDEClientAnalyzer.zip en la máquina.

    unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzer
    
  4. Cambie el directorio.

    cd XMDEClientAnalyzer
    
  5. Conceda permiso al ejecutable de la herramienta.

    chmod a+x mde_support_tool.sh
    
  6. Ejecute como un usuario no raíz para instalar las dependencias necesarias.

    ./mde_support_tool.sh
    
  7. Para recopilar el paquete de diagnóstico y generar el archivo de archivo de resultados, vuelva a ejecutarse como raíz.

    sudo ./mde_support_tool.sh -d
    

Opciones de línea de comandos

A continuación se muestran las opciones de línea de comandos proporcionadas por el analizador de cliente.


usage: MDESupportTool [-h] [--output OUTPUT] [--outdir OUTDIR] [--no-zip]
                      [--force] [--diagnostic] [--skip-mdatp]
                      [--bypass-disclaimer] [--interactive] [--delay DELAY]
                      [--mdatp-log {trace,info,warning,error,debug,verbose}]
                      [--max-log-size MAX_LOG_SIZE]
                      {certinfocollection,performance,installation,exclude,ratelimit,skipfaultyrules,trace,observespikes,connectivitytest}
                      ...

MDE Diagnostics Tool

positional arguments:
  {certinfocollection,performance,installation,exclude,ratelimit,skipfaultyrules,trace,observespikes,connectivitytest}
    certinfocollection  Collect cert information: Subject name and Hashes
    performance         Collect extensive machine performance tracing for
                        analysis of a performance scenario that can be
                        reproduced on demand
    installation        Collect different installation/onboarding reports
    exclude             Exclude specific processes from audit-d monitoring.
    ratelimit           Set the rate limit for auditd events. Rate limit will
                        update the limits for auditd events for all the
                        applications using auditd, which could impact
                        applications other than MDE.
    skipfaultyrules     Continue loading rules in spite of an error. This
                        summarizes the results of loading the rules. The exit
                        code will not be success if any rule fails to load.
    trace               Use OS tracing facilities to record Defender
                        performance traces.
    observespikes       Collect the process logs in case of spike or mdatp
                        crash
    connectivitytest    Perform connectivity test for MDE

optional arguments:
  -h, --help            show this help message and exit
  --output OUTPUT, -o OUTPUT
                        Output path to export report
  --outdir OUTDIR       Directory where diagnostics file will be generated.
  --no-zip, -nz         If set a directory will be created instead of an
                        archive file.
  --force, -f           Will overwrite if output directory exists.
  --diagnostic, -d      Collect extensive machine diagnostic information.
  --skip-mdatp          Skip any mdatp command. Use this when the mdatp
                        command is unresponsive.
  --bypass-disclaimer   Do not display disclaimer banner.
  --interactive, -i     Interactive diagnostic,
  --delay DELAY, -dd DELAY
                        Delay diagnostic by how many minutes (0~2880), use
                        this to wait for more debug logs before it collects.
  --mdatp-log {trace,info,warning,error,debug,verbose}
                        Set MDATP log level. If you use interactive or delay
                        mode, the log level will set to debug automatically,
                        and reset after 48h.
  --max-log-size MAX_LOG_SIZE
                        Maximum log file size in MB before rotating(Will
                        restart mdatp).

Modo de diagnóstico

El modo de diagnóstico se usa para recopilar un amplio conjunto de información de la máquina, como registros de memoria, disco y MDATP. Este conjunto de archivos proporciona el conjunto principal de información necesaria para depurar cualquier problema relacionado con Defender para punto de conexión.

Las opciones admitidas son las siguientes:


optional arguments:
  -h, --help            show this help message and exit
  --output OUTPUT, -o OUTPUT
                        Output path to export report
  --outdir OUTDIR       Directory where diagnostics file will be generated.
  --no-zip, -nz         If set a directory will be created instead of an
                        archive file.
  --force, -f           Will overwrite if output directory exists.
  --diagnostic, -d      Collect extensive machine diagnostic information.
  --skip-mdatp          Skip any mdatp command. Use this when the mdatp
                        command is unresponsive.
  --bypass-disclaimer   Do not display disclaimer banner.
  --interactive, -i     Interactive diagnostic,
  --delay DELAY, -dd DELAY
                        Delay diagnostic by how many minutes (0~2880), use
                        this to wait for more debug logs before it collects.
  --mdatp-log {trace,info,warning,error,debug,verbose}
                        Set MDATP log level. If you use interactive or delay
                        mode, the log level will set to debug automatically,
                        and reset after 48h.
  --max-log-size MAX_LOG_SIZE
                        Maximum log file size in MB before rotating(Will
                        restart mdatp).

Ejemplo de uso: sudo ./MDESupportTool -d

Nota:

La característica de autoreset de nivel de registro solo está disponible en la versión 101.24052.0002 o posterior del agente.

Los archivos generados al usar este modo se resumen en la tabla siguiente:

Archivo Comentarios
mde_diagnostic.zip Registros y configuraciones de Defender para punto de conexión
health.txt Estado de mantenimiento de Defender para punto de conexión
(Solo se presenta cuando se instala Defender para punto de conexión)
health_details_features.txt Estado de mantenimiento de otras características de Defender para punto de conexión
(Solo se presenta cuando se instala Defender para punto de conexión)
permissions.txt Problemas de permisos con las carpetas propiedad o usadas por Defender para punto de conexión
(Solo se presenta cuando se instala Defender para punto de conexión)
crashes Volcados de memoria generados por Defender para punto de conexión
process_information.txt Proceso que se ejecuta en la máquina cuando se ejecutó la herramienta
proc_directory_info.txt Asignación de la memoria virtual de los procesos de Defender para punto de conexión
(Solo se presenta cuando se instala Defender para punto de conexión)
auditd_info.txt Estado auditado, reglas, registros
auditd_log_analysis.txt Resumen de eventos procesados por auditados
auditd_logs.zip Archivos de registro auditados
ebpf_kernel_config.txt Configuración del kernel de Linux cargada actualmente
ebpf_enabled_func.txt Lista de todas las funciones de kernel que están habilitadas actualmente para el seguimiento
ebpf_syscalls.zip Información sobre el seguimiento de llamadas del sistema
ebpf_raw_syscalls.zip Seguimiento de eventos relacionados con llamadas al sistema sin procesar
ebpf_maps_info.txt Información del tamaño y el identificador de los mapas eBPF
syslog.zip Los archivos de /var/log/syslog
messages.zip Los archivos de /var/log/messages
conflicting_processes_information.txt Procesos en conflicto de Defender para punto de conexión
exclusions.txt Lista de exclusiones de antivirus
definitions.txt Información de definición de antivirus
mde_directories.txt Lista de archivos en los directorios de Defender para punto de conexión
disk_usage.txt Detalles de uso del disco
mde_user.txt Información de usuario de Defender para punto de conexión
mde_definitions_mount.txt Punto de montaje de definiciones de Defender para punto de conexión
service_status.txt Estado del servicio Defender para punto de conexión
service_file.txt Archivo de servicio de Defender para punto de conexión
hardware_info.txt Información de hardware
mount.txt Información del punto de montaje
uname.txt Información del kernel
memory.txt Información de memoria del sistema
meminfo.txt Información detallada sobre el uso de memoria del sistema
cpuinfo.txt Información de CPU
lsns_info.txt Información del espacio de nombres de Linux
lsof.txt Información de descriptores de archivo abiertos de Defender para punto de conexión
(vea la nota después de esta tabla)
sestatus.txt Información de descriptores de archivo abiertos de Defender para punto de conexión
lsmod.txt Estado de los módulos en el kernel de Linux
dmesg.txt Mensajes del búfer de anillo del kernel
kernel_lockdown.txt Información de bloqueo del kernel
rtp_statistics.txt Estadísticas de Defender para endpoint Real Time Protection (RTP)
(Solo se presenta cuando se instala Defender para punto de conexión)
libc_info.txt información de biblioteca libc
uptime_info.txt Hora desde el último reinicio
last_info.txt Lista de los últimos usuarios que han iniciado sesión
locale_info.txt Mostrar configuración regional actual
tmp_files_owned_by_mdatp.txt Archivos /tmp propiedad del grupo: mdatp
(Solo se presenta cuando se instala Defender para punto de conexión)
mdatp_config.txt Todas las configuraciones de Defender para punto de conexión
(Solo se presenta cuando se instala Defender para punto de conexión)
mpenginedb.db
mpenginedb.db-wal
mpenginedb.db-shm
Archivo de definiciones de antivirus
(Solo se presenta cuando se instala Defender para punto de conexión)
iptables_rules.txt Reglas de iptables de Linux
network_info.txt Información de red
sysctl_info.txt información de configuración del kernel
hostname_diagnostics.txt Información de diagnóstico de nombre de host
mde_event_statistics.txt Estadísticas de eventos de Defender para punto de conexión
(Solo se presenta cuando se instala Defender para punto de conexión)
mde_ebpf_statistics.txt Estadísticas de eBPF de Defender para punto de conexión
(Solo se presenta cuando se instala Defender para punto de conexión)
kernel_logs.zip Registros de kernel
mdc_log.zip Microsoft Defender para registros en la nube
netext_config.txt
threat_list.txt Lista de amenazas detectadas por Defender para punto de conexión
(Solo se presenta cuando se instala Defender para punto de conexión)
top_output.txt Proceso que se ejecuta en la máquina cuando se ejecutó la herramienta
top_summary.txt Análisis de uso de cpu y memoria del proceso en ejecución

Argumentos opcionales para el Analizador de cliente

Client Analyzer proporciona los siguientes argumentos opcionales para la recopilación de datos adicional:

Recopilación de información de rendimiento

Recopile un amplio seguimiento del rendimiento de la máquina de los procesos de Defender para punto de conexión para analizar un escenario de rendimiento que se pueda reproducir a petición.

-h, --help            show this help message and exit
--frequency FREQUENCY
                      profile at this frequency
--length LENGTH       length of time to collect (in seconds)

Ejemplo de uso: sudo ./MDESupportTool performance --frequency 500

A continuación se muestra el archivo generado cuando se usa este modo:

Archivo Comentarios
perf_benchmark.tar.gz Defender para punto de conexión procesa los datos de rendimiento

Nota:

También se generan los archivos correspondientes al modo de diagnóstico.

El tar contiene archivos con el formato <pid of a MDE process>.data. El archivo de datos se puede leer mediante el comando :

perf report -i <pid>.data

Ejecución de una prueba de conectividad

Este modo comprueba si los recursos en la nube necesarios para Defender para punto de conexión son accesibles o no.


  -h, --help            show this help message and exit
  -o ONBOARDING_SCRIPT, --onboarding-script ONBOARDING_SCRIPT
                        Path to onboarding script
  -g GEO, --geo GEO     Geo string to test <US|UK|EU|AU|CH|IN>

Ejemplo de uso:

sudo ./MDESupportTool connectivitytest -o ~/MicrosoftDefenderATPOnboardingLinuxServer.py`

La salida impresa en la pantalla muestra si las direcciones URL son accesibles o no.

Recopilación de diferentes informes de instalación e incorporación

Este modo recopila información relacionada con la instalación, como los requisitos de distribución y del sistema.


  -h, --help                show this help message and exit
  -d, --distro              Check for distro support
  -m, --min-requirement     Check for the system info against offical minimum requirements
  -e, --external-dep        Check for externel package dependency
  -c, --connectivity        Check for connectivity for services used by MDE
  -a, --all                 Run all checks
  -o ONBOARDING_SCRIPT, --onboarding-script ONBOARDING_SCRIPT
                            Path to onboarding script
  -g GEO, --geo GEO         Geo string to test <US|UK|EU|AU|CH|IN>

Ejemplo de uso:

sudo ./MDESupportTool installation --all

Se genera un único informe installation_report.json . Las claves del archivo son las siguientes:

Clave Comentarios
agent_version Versión de Defender para punto de conexión instalada
onboarding_status La información de incorporación y anillo
support_status MDE se admite con las configuraciones del sistema actuales
distro La distribución en la que se instala el agente en compatible o no
connectivitytest El stratus de prueba de conectividad
min_requirement Se cumplen los requisitos mínimos de CPU y memoria
external_depedency Las dependencias externas se satisfacen o no
mde_health Estado de mantenimiento del agente de MDE
folder_perm Los permisos de carpeta necesarios se cumplen o no

Modo de exclusión

Este modo agrega exclusiones para la audit-d supervisión.


  -h, --help            show this help message and exit
  -e <executable>, --exe <executable>
                        exclude by executable name, i.e: bash
  -p <process id>, --pid <process id>
                        exclude by process id, i.e: 911
  -d <directory>, --dir <directory>
                        exclude by target path, i.e: /var/foo/bar
  -x <executable> <directory>, --exe_dir <executable> <directory>
                        exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
  -q <q_size>, --queue <q_size>
                        set dispatcher q_depth size
  -r, --remove          remove exclusion file
  -s, --stat            get statistics about common executables
  -l, --list            list auditd rules
  -o, --override        Override the existing auditd exclusion rules file for mdatp
  -c <syscall number>, --syscall <syscall number>
                        exclude all process of the given syscall

Ejemplo de uso:

sudo ./MDESupportTool exclude -d /var/foo/bar`

Limitador de velocidad AuditD

Esta opción establece el límite de velocidad globalmente para AuditD, lo que provoca una caída en todos los eventos de auditoría. Cuando el limitador está habilitado, los eventos auditados se limitan a 2500 eventos por segundo. Esta opción se puede usar en los casos en los que se ve un uso elevado de CPU del lado AuditD.


-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the rate limit with default values

Ejemplo de uso:

sudo ./mde_support_tool.sh ratelimit -e true

Nota:

Esta funcionalidad debe usarse cuidadosamente, ya que limita el número de eventos que informa el subsistema auditado en su conjunto. Esto también podría reducir el número de eventos para otros suscriptores.

AuditD omite reglas erróneas

Esta opción permite omitir las reglas erróneas agregadas en el archivo de reglas auditadas al cargarlas. Permite que el subsistema auditado continúe cargando reglas incluso si hay una regla errónea.


-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.

Ejemplo de uso:

sudo ./mde_support_tool.sh skipfaultyrules -e true

Nota:

Esta funcionalidad omite las reglas erróneas. Las reglas erróneas deben identificarse y corregirse aún más.

Uso de la respuesta activa en Defender para punto de conexión para recopilar registros de soporte técnico

La herramienta XMDE Client Analyzer se puede descargar como un paquete binario o de Python que se puede extraer y ejecutar en máquinas Linux. Ambas versiones del analizador de cliente XMDE se pueden ejecutar durante una sesión de respuesta dinámica.

  • Para la instalación, se requiere el unzip paquete.
  • Para la ejecución, se requiere el acl paquete.

Importante

La ventana usa los caracteres invisibles Retorno de carro y Fuente de línea para representar el final de una línea y el principio de una nueva línea en un archivo, pero los sistemas Linux solo usan el carácter invisible Fuente de línea al final de sus líneas de archivo. Cuando se usan los siguientes scripts, si se hace en Windows, esta diferencia puede dar lugar a errores y errores de los scripts que se van a ejecutar. Una posible solución a esto es usar el Subsistema de Windows para Linux y el dos2unix paquete para volver a formatear el script de modo que se alinee con el estándar de formato Unix y Linux.

Instalación del analizador de cliente XMDE

Descargue y extraiga el analizador de cliente XMDE. Puede usar la versión binaria o de Python, como se indica a continuación:

Debido a los comandos limitados disponibles en respuesta dinámica, los pasos detallados deben ejecutarse en un script de Bash. Al dividir la parte de instalación y ejecución de estos comandos, es posible ejecutar el script de instalación una vez y ejecutar el script de ejecución varias veces.

Importante

Los scripts de ejemplo suponen que la máquina tiene acceso directo a Internet y puede recuperar el analizador de cliente XMDE de Microsoft. Si la máquina no tiene acceso directo a Internet, los scripts de instalación deben actualizarse para capturar el analizador de cliente XMDE desde una ubicación a la que las máquinas puedan acceder correctamente.

Script de instalación del analizador de cliente binario

El siguiente script realiza los seis primeros pasos de la versión En ejecución de la versión binaria del Analizador de cliente. Una vez completado, el binario xmde client analyzer está disponible en el /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer directorio.

  1. Cree un archivo InstallXMDEClientAnalyzer.sh bash y pegue el siguiente contenido en él.

    #! /usr/bin/bash 
    
    echo "Starting Client Analyzer Script. Running As:"
    whoami
    
    echo "Getting XMDEClientAnalyzerBinary"
    wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary
    echo '4E96E75B16244BB25BDBF34CBB3EB596BC2E9CE368BC4E532E8AE12DF2A1E19D /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c
    
    echo "Unzipping XMDEClientAnalyzerBinary.zip"
    unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary
    
    echo "Unzipping SupportToolLinuxBinary.zip"
    unzip -q /tmp/XMDEClientAnalyzerBinary/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
    
    echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
    
    

Script de instalación del analizador de cliente de Python

El siguiente script realiza los seis primeros pasos de la versión de Ejecución de la versión de Python del Analizador de cliente. Una vez completado, los scripts de Python del Analizador de cliente XMDE están disponibles en el /tmp/XMDEClientAnalyzer directorio.

  1. Cree un archivo InstallXMDEClientAnalyzer.sh bash y pegue el siguiente contenido en él.

    #! /usr/bin/bash
    
    echo "Starting Client Analyzer Install Script. Running As:"
    whoami
    
    echo "Getting XMDEClientAnalyzer.zip"
    wget --quiet -O /tmp/XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer 
    echo '07E6A7B89E28A78309D5B6F1E25E4CDFBA9CA141450E422D76441C03AD3477E7 /tmp/XMDEClientAnalyzer.zip' | sha256sum -c  
    
    echo "Unzipping XMDEClientAnalyzer.zip"
    unzip -q /tmp/XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer  
    
    echo "Setting execute permissions on mde_support_tool.sh script"
    cd /tmp/XMDEClientAnalyzer 
    chmod a+x mde_support_tool.sh  
    
    echo "Performing final support tool setup"
    ./mde_support_tool.sh
    
    

Ejecución de los scripts de instalación del analizador de cliente

  1. Inicie una sesión de live response en la máquina que desea investigar.

  2. Seleccione Cargar archivo en la biblioteca.

  3. Seleccione Elegir archivo.

  4. Seleccione el archivo descargado denominado InstallXMDEClientAnalyzer.shy, a continuación, seleccione Confirmar.

  5. Mientras sigue en la sesión de LiveResponse, use los siguientes comandos para instalar el analizador:

    run InstallXMDEClientAnalyzer.sh
    

Ejecución del analizador de cliente XMDE

La respuesta dinámica no admite la ejecución directa del Analizador de cliente XMDE o Python, por lo que es necesario un script de ejecución.

Importante

En los scripts siguientes se supone que el Analizador de cliente XMDE se instaló con las mismas ubicaciones de los scripts mencionados anteriormente. Si su organización decide instalar los scripts en una ubicación diferente, los scripts deben actualizarse para alinearse con la ubicación de instalación elegida por la organización.

Script para ejecutar el analizador de cliente binario

La versión binaria del analizador de cliente acepta parámetros de línea de comandos para realizar distintas pruebas de análisis. Para proporcionar funcionalidades similares durante la respuesta en vivo, el script de ejecución aprovecha la $@ variable bash para pasar todos los parámetros de entrada proporcionados al script al analizador de cliente XMDE.

  1. Cree un archivo MDESupportTool.sh bash y pegue el siguiente contenido en él.

    #! /usr/bin/bash
    
    echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
    cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
    
    echo "Running MDESupportTool"
    ./MDESupportTool $@
    
    

Script para ejecutar el analizador de cliente de Python

La versión de Python del analizador de cliente acepta parámetros de línea de comandos para realizar distintas pruebas de análisis. Para proporcionar funcionalidades similares durante la respuesta en vivo, el script de ejecución aprovecha la $@ variable bash para pasar todos los parámetros de entrada proporcionados al script al analizador de cliente XMDE.

  1. Cree un archivo MDESupportTool.sh bash y pegue el siguiente contenido en él.

    #! /usr/bin/bash  
    
    echo "cd /tmp/XMDEClientAnalyzer"
    cd /tmp/XMDEClientAnalyzer 
    
    echo "Running mde_support_tool"
    ./mde_support_tool.sh $@
    
    

Ejecución del script del analizador de cliente

Nota:

Si tiene una sesión de respuesta activa en vivo, puede omitir el paso 1.

  1. Inicie una sesión de live response en la máquina que desea investigar.

  2. Seleccione Cargar archivo en la biblioteca.

  3. Seleccione Elegir archivo.

  4. Seleccione el archivo descargado denominado MDESupportTool.shy, a continuación, seleccione Confirmar.

  5. Mientras sigue en la sesión de respuesta en directo, use los siguientes comandos para ejecutar el analizador y recopilar el archivo resultante:

    run MDESupportTool.sh -parameters "--bypass-disclaimer -d"
    GetFile "/tmp/your_archive_file_name_here.zip"
    

Vea también

Documentos de solución de problemas de Defender para punto de conexión en Linux

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.