Jaa

Asiakasanalysaattorin suorittaminen Linuxissa

  • Artikkeli

Koskee seuraavia:

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Jos sinulla on ongelmia Linux-Microsoft Defender for Endpoint kanssa ja tarvitset tukea, sinua saatetaan pyytää antamaan tuloste Client Analyzer -työkalusta. Tässä artikkelissa kerrotaan, miten työkalua käytetään laitteessasi tai reaaliaikaisella vastauksella. Voit käyttää joko Python-pohjaista ratkaisua tai binaariversiota, joka ei tarvitse Pythonia.

Suoritetaan asiakasanalysaattorin binaariversiota

  1. Lataa XMDE Client Analyzer Binary -työkalu Linux-koneeseen, jota aiot tutkia. Jos käytät päätettä, lataa työkalu antamalla seuraava komento:

    wget --quiet -O XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary

  2. Tarkista lataus.

    echo 'B5EBD9AB36F2DB92C341ABEBB20A50551D08D769CB061EAFCC1A931EFACE305D XMDEClientAnalyzerBinary.zip' | sha256sum -c

  3. Pura -kohteen sisältö XMDEClientAnalyzerBinary.zip laitteessa.

    unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary

  4. Muuta hakemistoa:

    cd XMDEClientAnalyzerBinary

  5. Kaksi uutta zip-tiedostoa on luotu:

    • SupportToolLinuxBinary.zip: Kaikille Linux-laitteille
    • SupportToolMacOSBinary.zip: Mac-laitteille

  6. Pura SupportToolLinuxBinary.zip tiedosto.

    unzip -q SupportToolLinuxBinary.zip

  7. Luo diagnostiikkapaketti suorittamalla työkalu päätasona :

    sudo ./MDESupportTool -d

Python-pohjaisen asiakasanalysaattorin suorittaminen

Huomautus

  • Analysaattori on riippuvainen muutamasta ylimääräisestä PIP-paketista (decorator, sh, distro, lxmlja psutil), jotka asennetaan käyttöjärjestelmään pääkansiossa tulostuloksen tuottamiseksi. Jos kohdetta ei ole asennettu, analyzer yrittää noutaa sen Python-pakettien virallisesta säilöstä.
  • Lisäksi työkalu edellyttää, että laitteeseen on tällä hetkellä asennettu Python-versio 3 tai uudempi versio.
  • Jos laitteesi on välityspalvelimen takana, voit välittää välityspalvelimen ympäristömuuttujana komentosarjaan mde_support_tool.sh . Esimerkki: https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh".

Varoitus

Python-pohjaisen asiakasanalysaattorin suorittaminen edellyttää PIP-pakettien asentamista, mikä voi aiheuttaa ongelmia ympäristössäsi. Jotta ongelmia ei tapahtuisi, suosittelemme asentamaan paketit käyttäjän PIP-ympäristöön.

  1. Lataa XMDE Client Analyzer -työkalu Linux-koneelta, jota sinun on tutkittava. Jos käytät päätettä, lataa työkalu antamalla seuraava komento:

    wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer

  2. Tarkista lataus.

    echo '07E6A7B89E28A78309D5B6F1E25E4CDFBA9CA141450E422D76441C03AD3477E7 XMDEClientAnalyzer.zip' | sha256sum -c

  3. Pura -kohteen sisältö XMDEClientAnalyzer.zip laitteessa.

    unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzer

  4. Vaihda hakemistoa.

    cd XMDEClientAnalyzer

  5. Anna työkalulle suoritettavan tiedoston käyttöoikeus.

    chmod a+x mde_support_tool.sh

  6. Asenna pakolliset riippuvuudet suorittamalla ei-juurettomana käyttäjänä.

    ./mde_support_tool.sh

  7. Jos haluat kerätä diagnostiikkapaketin ja luoda tulosarkistotiedoston, suorita uudelleen pääkansiona.

    sudo ./mde_support_tool.sh -d

Komentorivin asetukset

Alla on asiakasanalysaattorin tarjoamat komentoriviasetukset.


usage: MDESupportTool [-h] [--output OUTPUT] [--outdir OUTDIR] [--no-zip]
                      [--force] [--diagnostic] [--skip-mdatp]
                      [--bypass-disclaimer] [--interactive] [--delay DELAY]
                      [--mdatp-log {trace,info,warning,error,debug,verbose}]
                      [--max-log-size MAX_LOG_SIZE]
                      {certinfocollection,performance,installation,exclude,ratelimit,skipfaultyrules,trace,observespikes,connectivitytest}
                      ...

MDE Diagnostics Tool

positional arguments:
  {certinfocollection,performance,installation,exclude,ratelimit,skipfaultyrules,trace,observespikes,connectivitytest}
    certinfocollection  Collect cert information: Subject name and Hashes
    performance         Collect extensive machine performance tracing for
                        analysis of a performance scenario that can be
                        reproduced on demand
    installation        Collect different installation/onboarding reports
    exclude             Exclude specific processes from audit-d monitoring.
    ratelimit           Set the rate limit for auditd events. Rate limit will
                        update the limits for auditd events for all the
                        applications using auditd, which could impact
                        applications other than MDE.
    skipfaultyrules     Continue loading rules in spite of an error. This
                        summarizes the results of loading the rules. The exit
                        code will not be success if any rule fails to load.
    trace               Use OS tracing facilities to record Defender
                        performance traces.
    observespikes       Collect the process logs in case of spike or mdatp
                        crash
    connectivitytest    Perform connectivity test for MDE

optional arguments:
  -h, --help            show this help message and exit
  --output OUTPUT, -o OUTPUT
                        Output path to export report
  --outdir OUTDIR       Directory where diagnostics file will be generated.
  --no-zip, -nz         If set a directory will be created instead of an
                        archive file.
  --force, -f           Will overwrite if output directory exists.
  --diagnostic, -d      Collect extensive machine diagnostic information.
  --skip-mdatp          Skip any mdatp command. Use this when the mdatp
                        command is unresponsive.
  --bypass-disclaimer   Do not display disclaimer banner.
  --interactive, -i     Interactive diagnostic,
  --delay DELAY, -dd DELAY
                        Delay diagnostic by how many minutes (0~2880), use
                        this to wait for more debug logs before it collects.
  --mdatp-log {trace,info,warning,error,debug,verbose}
                        Set MDATP log level. If you use interactive or delay
                        mode, the log level will set to debug automatically,
                        and reset after 48h.
  --max-log-size MAX_LOG_SIZE
                        Maximum log file size in MB before rotating(Will
                        restart mdatp).

Diagnostiikkatila

Diagnostiikkatilaa käytetään keräämään runsaasti konetietoja, kuten muistia, levyä ja MDATP-lokeja. Tämä tiedostojoukko antaa ensisijaisen tietojoukon, jota tarvitaan minkä tahansa Defender For Endpointiin liittyvän ongelman virheenkorjaukseen.

Tuetut asetukset ovat seuraavat:


optional arguments:
  -h, --help            show this help message and exit
  --output OUTPUT, -o OUTPUT
                        Output path to export report
  --outdir OUTDIR       Directory where diagnostics file will be generated.
  --no-zip, -nz         If set a directory will be created instead of an
                        archive file.
  --force, -f           Will overwrite if output directory exists.
  --diagnostic, -d      Collect extensive machine diagnostic information.
  --skip-mdatp          Skip any mdatp command. Use this when the mdatp
                        command is unresponsive.
  --bypass-disclaimer   Do not display disclaimer banner.
  --interactive, -i     Interactive diagnostic,
  --delay DELAY, -dd DELAY
                        Delay diagnostic by how many minutes (0~2880), use
                        this to wait for more debug logs before it collects.
  --mdatp-log {trace,info,warning,error,debug,verbose}
                        Set MDATP log level. If you use interactive or delay
                        mode, the log level will set to debug automatically,
                        and reset after 48h.
  --max-log-size MAX_LOG_SIZE
                        Maximum log file size in MB before rotating(Will
                        restart mdatp).

Käyttöesimerkki: sudo ./MDESupportTool -d

Huomautus

Lokitason automaattisen uudelleenmäärittelyn ominaisuus on käytettävissä vain agentin versiossa 101.24052.0002 tai uudemmilla versioilla.

Tässä tilassa luodut tiedostot on koottu seuraavassa taulukossa:

Tiedosto Huomautuksia
mde_diagnostic.zip Defender for Endpoint -lokit ja -määritykset
health.txt Defenderin kuntotila päätepisteelle
(Tämä näkyy vain, kun Defender for Endpoint on asennettu)
health_details_features.txt Muiden Defender for Endpoint -ominaisuuksien kuntotila
(Tämä näkyy vain, kun Defender for Endpoint on asennettu)
permissions.txt Defenderin päätepisteelle omistamien tai käyttämien kansioiden käyttöoikeusongelmat
(Tämä näkyy vain, kun Defender for Endpoint on asennettu)
crashes Defenderin päätepisteelle luomat kaatumisvedokset
process_information.txt Prosessi käynnissä tietokoneessa, kun työkalu suoritettiin
proc_directory_info.txt Defenderin näennäismuistin yhdistäminen päätepisteprosesseille
(Tämä näkyy vain, kun Defender for Endpoint on asennettu)
auditd_info.txt Valvottu kunto, säännöt, lokit
auditd_log_analysis.txt Yhteenveto auditoiduista tapahtumista
auditd_logs.zip Valvotut lokitiedostot
ebpf_kernel_config.txt Tällä hetkellä ladattu Linux-ytimen määritys
ebpf_enabled_func.txt Luettelo kaikista ydinfunktioista, jotka ovat tällä hetkellä käytössä jäljitystä varten
ebpf_syscalls.zip Tietoja järjestelmäkutsujen jäljitystoiminnosta
ebpf_raw_syscalls.zip Raakajärjestelmäkutsuihin liittyvien tapahtumien jäljitys
ebpf_maps_info.txt eBPF Mapsin tunnus- ja kokotiedot
syslog.zip Tiedostot kohdassa /var/log/syslog
messages.zip Tiedostot kohdassa /var/log/messages
conflicting_processes_information.txt Defender for Endpoint -ristiriitaprosessit
exclusions.txt Luettelo virustentorjuntaohjelman poissulkemisista
definitions.txt Virustentorjunnan määritystiedot
mde_directories.txt Luettelo tiedostoista Defender for Endpoint -hakemistoissa
disk_usage.txt Levyn käyttötiedot
mde_user.txt Defender for Endpoint -käyttäjätiedot
mde_definitions_mount.txt Defender for Endpoint Definitions Mount Point
service_status.txt Defender for Endpoint Service Status
service_file.txt Defender for Endpoint Service -tiedosto
hardware_info.txt Laitteistotiedot
mount.txt Asennuspisteen tiedot
uname.txt Ytimen tiedot
memory.txt Järjestelmän muistitiedot
meminfo.txt Yksityiskohtaisia tietoja järjestelmän muistin käytöstä
cpuinfo.txt Suorittimen tiedot
lsns_info.txt Linux-nimitilan tiedot
lsof.txt Defender for Endpoint Open File Kuvaajien tiedot
(katso tämän taulukon jälkeinen huomautus)
sestatus.txt Defender for Endpoint Open File Kuvaajien tiedot
lsmod.txt Linux-ytimen moduulien tila
dmesg.txt Sanomat ytimen rengaspuskurista
kernel_lockdown.txt ytimen lukitustiedot
rtp_statistics.txt Defender for Endpoint Real Time Protection (RTP) -tilastot
(Tämä näkyy vain, kun Defender for Endpoint on asennettu)
libc_info.txt libc-kirjaston tiedot
uptime_info.txt Edellisen uudelleenkäynnistyksen jälkeen kulunut aika
last_info.txt Luettelo viimeksi kirjautuneiden käyttäjien
locale_info.txt Näytä nykyiset aluekohtaiset asetukset
tmp_files_owned_by_mdatp.txt /tmp ryhmän omistamat tiedostot: mdatp
(Tämä näkyy vain, kun Defender for Endpoint on asennettu)
mdatp_config.txt Kaikki Defender for Endpoint -määritykset
(Tämä näkyy vain, kun Defender for Endpoint on asennettu)
mpenginedb.db
mpenginedb.db-wal
mpenginedb.db-shm		 Virustentorjuntaohjelman määritystiedosto
(Tämä näkyy vain, kun Defender for Endpoint on asennettu)
iptables_rules.txt Linuxin iptables-säännöt
network_info.txt Verkon tiedot
sysctl_info.txt ytimen asetusten tiedot
hostname_diagnostics.txt Isäntänimen diagnostiikkatiedot
mde_event_statistics.txt Defender for Endpoint -tapahtuman tilastotiedot
(Tämä näkyy vain, kun Defender for Endpoint on asennettu)
mde_ebpf_statistics.txt Defender for Endpoint eBPF -tilastotiedot
(Tämä näkyy vain, kun Defender for Endpoint on asennettu)
kernel_logs.zip Ytimen lokit
mdc_log.zip Microsoft Defender pilvilokeille
netext_config.txt
threat_list.txt Defenderin päätepisteelle havaitsemien uhkien luettelo
(Tämä näkyy vain, kun Defender for Endpoint on asennettu)
top_output.txt Prosessi käynnissä tietokoneessa, kun työkalu suoritettiin
top_summary.txt Käynnissä olevan prosessin muistin ja suorittimen käyttöanalytiikka

Asiakasanalysaattorin valinnaiset argumentit

Client Analyzer tarjoaa seuraavat valinnaiset argumentit tietojen ylimääräistä keräämistä varten:

Kerää suorituskykytietoja

Kerää laajat defender for Endpoint -prosessien konesuorituskykyjäljitys, jotta voit analysoida suorituskykyskenaariota, joka voidaan toistaa tarvittaessa.

-h, --help            show this help message and exit
--frequency FREQUENCY
                      profile at this frequency
--length LENGTH       length of time to collect (in seconds)

Käyttöesimerkki: sudo ./MDESupportTool performance --frequency 500

Alla on tiedosto, joka luodaan tätä tilaa käytettäessä:

Tiedosto Huomautuksia
perf_benchmark.tar.gz Defender for Endpoint käsittelee suorituskykytietoja

Huomautus

Myös diagnostiikkatilaa vastaavat tiedostot luodaan.

Terva sisältää tiedostoja muodossa <pid of a MDE process>.data. Datatiedoston voi lukea käyttämällä komentoa:

perf report -i <pid>.data

Yhteystestin suorittaminen

Tämä tila testaa, ovatko Defenderin päätepisteelle tarvitsemat pilviresurssit tavoitettavissa vai eivät.


  -h, --help            show this help message and exit
  -o ONBOARDING_SCRIPT, --onboarding-script ONBOARDING_SCRIPT
                        Path to onboarding script
  -g GEO, --geo GEO     Geo string to test <US|UK|EU|AU|CH|IN>

Käyttöesimerkki:

sudo ./MDESupportTool connectivitytest -o ~/MicrosoftDefenderATPOnboardingLinuxServer.py`

Näyttöön tulostetussa tulosteessa näkyy, ovatko URL-osoitteet tavoitettavissa vai eivät.

Kerää erilaisia asennus- ja käyttöönottoraportteja

Tämä tila kerää asennukseen liittyviä tietoja, kuten distro- ja järjestelmävaatimuksia.


  -h, --help                show this help message and exit
  -d, --distro              Check for distro support
  -m, --min-requirement     Check for the system info against offical minimum requirements
  -e, --external-dep        Check for externel package dependency
  -c, --connectivity        Check for connectivity for services used by MDE
  -a, --all                 Run all checks
  -o ONBOARDING_SCRIPT, --onboarding-script ONBOARDING_SCRIPT
                            Path to onboarding script
  -g GEO, --geo GEO         Geo string to test <US|UK|EU|AU|CH|IN>

Käyttöesimerkki:

sudo ./MDESupportTool installation --all

Luodaan yksittäinen raportti installation_report.json . Tiedoston avaimet ovat seuraavat:

Avain Huomautuksia
agent_version Defender for Endpointin versio asennettu
onboarding_status Perehdytys- ja rengastiedot
support_status MDE tuetaan nykyisissä järjestelmämäärityksissä
distro Distro, johon agentti on asennettu, tuetaan tai ei
connectivitytest Yhteystestin stratus
min_requirement Suorittimen ja muistin vähimmäisvaatimukset täyttyvät
external_depedency Ulkoiset riippuvuudet ovat tyytyväisiä tai eivät
mde_health MDE agentin kuntotila
folder_perm Tarvittavat kansion käyttöoikeudet täyttyvät tai eivät

Pois jätettävien tila

Tämä tila lisää seurannan audit-d poissulkemisia.


  -h, --help            show this help message and exit
  -e <executable>, --exe <executable>
                        exclude by executable name, i.e: bash
  -p <process id>, --pid <process id>
                        exclude by process id, i.e: 911
  -d <directory>, --dir <directory>
                        exclude by target path, i.e: /var/foo/bar
  -x <executable> <directory>, --exe_dir <executable> <directory>
                        exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
  -q <q_size>, --queue <q_size>
                        set dispatcher q_depth size
  -r, --remove          remove exclusion file
  -s, --stat            get statistics about common executables
  -l, --list            list auditd rules
  -o, --override        Override the existing auditd exclusion rules file for mdatp
  -c <syscall number>, --syscall <syscall number>
                        exclude all process of the given syscall

Käyttöesimerkki:

sudo ./MDESupportTool exclude -d /var/foo/bar`

AuditD-koronrajoitus

Tämä asetus määrittää AuditD:n nopeusrajoituksen maailmanlaajuisesti, jolloin kaikki valvontatapahtumat laskevat. Kun rajoitin on käytössä, valvotut tapahtumat rajoittuvat 2500 tapahtumaan sekunnissa. Tätä vaihtoehtoa voidaan käyttää tapauksissa, joissa AuditD-puolelta tulee näkyviin suuri suoritinkäyttö.


-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the rate limit with default values

Käyttöesimerkki:

sudo ./mde_support_tool.sh ratelimit -e true

Huomautus

Tätä toimintoa tulee käyttää huolellisesti, koska se rajoittaa valvotun alijärjestelmän raporttien määrää kokonaisuudessaan. Tämä voi vähentää myös muiden tilaajien tapahtumien määrää.

AuditD ohita virheellinen sääntö

Tämän asetuksen avulla voit ohittaa valvotut säännöt -tiedostoon lisätyt vialliset säännöt niiden lataamisen aikana. Sen avulla valvottu alijärjestelmä voi jatkaa sääntöjen lataamista, vaikka sääntö olisi virheellinen.


-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.

Käyttöesimerkki:

sudo ./mde_support_tool.sh skipfaultyrules -e true

Huomautus

Tämä toiminto ohittaa virheelliset säännöt. Vialliset säännöt on tunnistettava tarkemmin ja kiinteästi.

Käytä reaaliaikaista vastausta Defender for Endpointissa tukilokien keräämiseen

XMDE Client Analyzer -työkalun voi ladata binaari - tai Python-pakettina , joka voidaan poimia ja suorittaa Linux-koneissa. Molemmat XMDE Client Analyzer -versiot voidaan suorittaa reaaliaikaisen vastausistunnon aikana.

  • Asennusta unzip varten tarvitaan paketti.
  • Suoritusta acl varten paketti on pakollinen.

Tärkeää

Ikkuna käyttää näkymättömiä Rivinvaihto- ja Rivisyöte-merkkejä edustamaan tiedoston yhden rivin loppua ja uuden rivin alkua, mutta Linux-järjestelmissä käytetään vain näkymätöntä viivasyötemerkkiä tiedostorivien lopussa. Kun käytät seuraavia komentosarjoja, jos ne tehdään Windowsissa, tämä ero voi johtaa suoritettavien komentosarjojen virheisiin ja virheisiin. Mahdollinen ratkaisu tähän on käyttää Windows-alijärjestelmä Linuxille ja dos2unix pakettia komentosarjan uudelleenmuotoiluun niin, että se vastaa Unix- ja Linux-muotostandardia.

XMDE Client Analyzerin asentaminen

Lataa ja pura XMDE-asiakasanalysaattori. Voit käyttää joko binaariversiota tai Python-versiota seuraavasti:

Live-vastauksessa käytettävissä olevien rajoitettujen komentojen vuoksi yksityiskohtaiset vaiheet on suoritettava bash-komentosarjassa. Jakamalla näiden komentojen asennus- ja suoritusosan voit suorittaa asennuskomentosarjan kerran ja suorittaa suorituskomentosarjan useita kertoja.

Tärkeää

Esimerkkikomentosarjoissa oletetaan, että koneella on suora Internet-yhteys, ja ne voivat noutaa XMDE Client Analyzerin Microsoftilta. Jos tietokoneessa ei ole suoraa Internet-yhteyttä, asennuskomentosarjat on päivitettävä, jotta XMDE-asiakasanalysaattori voidaan noutaa sijainnista, jota tietokoneet voivat käyttää onnistuneesti.

Binaarisen asiakasanalysaattorin asennuskomentosarja

Seuraava komentosarja suorittaa Client Analyzerin binaariversion suorittamisen kuusi ensimmäistä vaihetta. Kun kaikki on valmista, XMDE Client Analyzer -binaari on käytettävissä hakemistosta /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer .

  1. Luo bash-tiedosto InstallXMDEClientAnalyzer.sh ja liitä siihen seuraava sisältö.

    #! /usr/bin/bash 

echo "Starting Client Analyzer Script. Running As:"
whoami

echo "Getting XMDEClientAnalyzerBinary"
wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary
echo '4E96E75B16244BB25BDBF34CBB3EB596BC2E9CE368BC4E532E8AE12DF2A1E19D /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c

echo "Unzipping XMDEClientAnalyzerBinary.zip"
unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary

echo "Unzipping SupportToolLinuxBinary.zip"
unzip -q /tmp/XMDEClientAnalyzerBinary/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer

echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"

Python-asiakasohjelman analysoinnin asennuskomentosarja

Seuraava komentosarja suorittaa Client Analyzerin Python-version suorittamisen kuusi ensimmäistä vaihetta. Kun kaikki on valmista, XMDE Client Analyzer Python -komentosarjat ovat käytettävissä hakemistosta /tmp/XMDEClientAnalyzer .

  1. Luo bash-tiedosto InstallXMDEClientAnalyzer.sh ja liitä siihen seuraava sisältö.

    #! /usr/bin/bash

echo "Starting Client Analyzer Install Script. Running As:"
whoami

echo "Getting XMDEClientAnalyzer.zip"
wget --quiet -O /tmp/XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer 
echo '07E6A7B89E28A78309D5B6F1E25E4CDFBA9CA141450E422D76441C03AD3477E7 /tmp/XMDEClientAnalyzer.zip' | sha256sum -c  

echo "Unzipping XMDEClientAnalyzer.zip"
unzip -q /tmp/XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer  

echo "Setting execute permissions on mde_support_tool.sh script"
cd /tmp/XMDEClientAnalyzer 
chmod a+x mde_support_tool.sh  

echo "Performing final support tool setup"
./mde_support_tool.sh

Suorita asiakasanalysaattorin asennuskomentosarjat

  1. Aloita live-vastausistunto tietokoneessa, jonka haluat tutkia.

  2. Valitse Lataa tiedosto kirjastoon.

  3. Valitse Valitse tiedosto.

  4. Valitse ladattu tiedosto nimeltä InstallXMDEClientAnalyzer.sh, ja valitse sitten Vahvista.

  5. Kun olet vielä LiveResponse-istunnossa, asenna analysoija seuraavien komentojen avulla:

    run InstallXMDEClientAnalyzer.sh

XMDE-asiakasanalysaattorin suorittaminen

Reaaliaikainen vastaus ei tue XMDE-asiakasanalysaattorin tai Pythonin suorittamista suoraan, joten suorituskomentosarja on välttämätön.

Tärkeää

Seuraavissa komentosarjoissa oletetaan, että XMDE Client Analyzer on asennettu samoilla sijainnilla aiemmin mainituista komentosareista. Jos organisaatiosi päättää asentaa komentosarjat eri sijaintiin, komentosarjat on päivitettävä, jotta ne vastaavat organisaatiosi valitsemaa asennussijaintia.

Binaariasiakkaan analysoinnin suorittamisen komentosarja

Asiakasanalysaattorin binaariversio hyväksyy komentoriviparametrit eri analyysitestien suorittamiseksi. Samanlaisten ominaisuuksien tarjoamiseksi reaaliaikaisen vastauksen aikana suorituskomentosarja hyödyntää $@ bash-muuttujaa välittääkseen kaikki komentosarjaan annetut syöteparametrit XMDE-asiakasanalysaattoriin.

  1. Luo bash-tiedosto MDESupportTool.sh ja liitä siihen seuraava sisältö.

    #! /usr/bin/bash

echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer

echo "Running MDESupportTool"
./MDESupportTool $@

Komentosarja Python-asiakasanalysaattorin suorittamiseen

Asiakasanalysaattorin Python-versio hyväksyy komentoriviparametreja eri analyysitestien suorittamiseksi. Samanlaisten ominaisuuksien tarjoamiseksi reaaliaikaisen vastauksen aikana suorituskomentosarja hyödyntää $@ bash-muuttujaa välittääkseen kaikki komentosarjaan annetut syöteparametrit XMDE-asiakasanalysaattoriin.

  1. Luo bash-tiedosto MDESupportTool.sh ja liitä siihen seuraava sisältö.

    #! /usr/bin/bash  

echo "cd /tmp/XMDEClientAnalyzer"
cd /tmp/XMDEClientAnalyzer 

echo "Running mde_support_tool"
./mde_support_tool.sh $@

Asiakkaan analyzer-komentosarjan suorittaminen

Huomautus

Jos sinulla on aktiivinen reaaliaikainen vastausistunto, voit ohittaa vaiheen 1.

  1. Aloita live-vastausistunto tietokoneessa, jonka haluat tutkia.

  2. Valitse Lataa tiedosto kirjastoon.

  3. Valitse Valitse tiedosto.

  4. Valitse ladattu tiedosto nimeltä MDESupportTool.sh, ja valitse sitten Vahvista.

  5. Kun olet vielä reaaliaikaisessa vastausistunnossa, suorita analyzer ja kerää tulokseksi saatava tiedosto seuraavien komentojen avulla:

    run MDESupportTool.sh -parameters "--bypass-disclaimer -d"
GetFile "/tmp/your_archive_file_name_here.zip"

Tutustu myös seuraaviin ohjeartikkeleihin:

Defender for Endpoint Linuxin tiedostojen vianmäärityksessä

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.