Udostępnij za pośrednictwem

Uruchamianie analizatora klienta w systemie Linux

  • Artykuł

Dotyczy:

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Jeśli masz problemy z Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux i potrzebujesz pomocy technicznej, może zostać wyświetlony monit o podanie danych wyjściowych z narzędzia Client Analyzer. W tym artykule wyjaśniono, jak używać narzędzia na urządzeniu lub z odpowiedzią na żywo. Możesz użyć rozwiązania opartego na języku Python lub wersji binarnej, która nie potrzebuje języka Python.

Uruchamianie binarnej wersji analizatora klienta

  1. Pobierz narzędzie binarne analizatora klienta XMDE na maszynę z systemem Linux, którą chcesz zbadać. Jeśli używasz terminalu, pobierz narzędzie, wprowadzając następujące polecenie:

    wget --quiet -O XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary

  2. Sprawdź pobranie.

    echo 'B5EBD9AB36F2DB92C341ABEBB20A50551D08D769CB061EAFCC1A931EFACE305D XMDEClientAnalyzerBinary.zip' | sha256sum -c

  3. Wyodrębnij zawartość elementu XMDEClientAnalyzerBinary.zip na maszynie.

    unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary

  4. Zmień katalog:

    cd XMDEClientAnalyzerBinary

  5. Tworzone są dwa nowe pliki zip:

    • SupportToolLinuxBinary.zip: dla wszystkich urządzeń z systemem Linux
    • SupportToolMacOSBinary.zip: w przypadku urządzeń z systemem Mac

  6. Rozpakuj SupportToolLinuxBinary.zip plik.

    unzip -q SupportToolLinuxBinary.zip

  7. Uruchom narzędzie jako główny , aby wygenerować pakiet diagnostyczny:

    sudo ./MDESupportTool -d

Uruchamianie analizatora klienta opartego na języku Python

Uwaga

  • Analizator zależy od kilku dodatkowych pakietów (decorator, , shdistro, lxml, i psutil), które są instalowane w systemie operacyjnym, gdy w katalogu głównym, aby wygenerować dane wyjściowe wyniku. Jeśli nie jest zainstalowany, analizator próbuje pobrać go z oficjalnego repozytorium dla pakietów języka Python.
  • Ponadto narzędzie obecnie wymaga zainstalowania języka Python w wersji 3 lub nowszej na urządzeniu.
  • Jeśli urządzenie znajduje się za serwerem proxy, możesz przekazać serwer proxy jako zmienną środowiskową do skryptu mde_support_tool.sh . Przykład: https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh".

Ostrzeżenie

Uruchomienie analizatora klienta opartego na języku Python wymaga instalacji pakietów, co może spowodować pewne problemy w środowisku. Aby uniknąć występowania problemów, zalecamy zainstalowanie pakietów w środowisku użytkownika.

  1. Pobierz narzędzie XMDE Client Analyzer na maszynę z systemem Linux, którą należy zbadać. Jeśli używasz terminalu, pobierz narzędzie, wprowadzając następujące polecenie:

    wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer

  2. Sprawdź pobranie.

    echo '07E6A7B89E28A78309D5B6F1E25E4CDFBA9CA141450E422D76441C03AD3477E7 XMDEClientAnalyzer.zip' | sha256sum -c

  3. Wyodrębnij zawartość elementu XMDEClientAnalyzer.zip na maszynie.

    unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzer

  4. Zmień katalog.

    cd XMDEClientAnalyzer

  5. Nadaj narzędziu uprawnienie wykonywalne.

    chmod a+x mde_support_tool.sh

  6. Uruchom jako użytkownik niebędący użytkownikiem, aby zainstalować wymagane zależności.

    ./mde_support_tool.sh

  7. Aby zebrać pakiet diagnostyczny i wygenerować plik archiwum wyników, uruchom ponownie jako plik główny.

    sudo ./mde_support_tool.sh -d

Opcje wiersza polecenia

Poniżej przedstawiono opcje wiersza polecenia udostępniane przez analizator klienta


usage: MDESupportTool [-h] [--output OUTPUT] [--outdir OUTDIR] [--no-zip]
                      [--force] [--diagnostic] [--skip-mdatp]
                      [--bypass-disclaimer] [--interactive] [--delay DELAY]
                      [--mdatp-log {trace,info,warning,error,debug,verbose}]
                      [--max-log-size MAX_LOG_SIZE]
                      {certinfocollection,performance,installation,exclude,ratelimit,skipfaultyrules,trace,observespikes,connectivitytest}
                      ...

MDE Diagnostics Tool

positional arguments:
  {certinfocollection,performance,installation,exclude,ratelimit,skipfaultyrules,trace,observespikes,connectivitytest}
    certinfocollection  Collect cert information: Subject name and Hashes
    performance         Collect extensive machine performance tracing for
                        analysis of a performance scenario that can be
                        reproduced on demand
    installation        Collect different installation/onboarding reports
    exclude             Exclude specific processes from audit-d monitoring.
    ratelimit           Set the rate limit for auditd events. Rate limit will
                        update the limits for auditd events for all the
                        applications using auditd, which could impact
                        applications other than MDE.
    skipfaultyrules     Continue loading rules in spite of an error. This
                        summarizes the results of loading the rules. The exit
                        code will not be success if any rule fails to load.
    trace               Use OS tracing facilities to record Defender
                        performance traces.
    observespikes       Collect the process logs in case of spike or mdatp
                        crash
    connectivitytest    Perform connectivity test for MDE

optional arguments:
  -h, --help            show this help message and exit
  --output OUTPUT, -o OUTPUT
                        Output path to export report
  --outdir OUTDIR       Directory where diagnostics file will be generated.
  --no-zip, -nz         If set a directory will be created instead of an
                        archive file.
  --force, -f           Will overwrite if output directory exists.
  --diagnostic, -d      Collect extensive machine diagnostic information.
  --skip-mdatp          Skip any mdatp command. Use this when the mdatp
                        command is unresponsive.
  --bypass-disclaimer   Do not display disclaimer banner.
  --interactive, -i     Interactive diagnostic,
  --delay DELAY, -dd DELAY
                        Delay diagnostic by how many minutes (0~2880), use
                        this to wait for more debug logs before it collects.
  --mdatp-log {trace,info,warning,error,debug,verbose}
                        Set MDATP log level. If you use interactive or delay
                        mode, the log level will set to debug automatically,
                        and reset after 48h.
  --max-log-size MAX_LOG_SIZE
                        Maximum log file size in MB before rotating(Will
                        restart mdatp).

Tryb diagnostyki

Tryb diagnostyczny służy do zbierania obszernego zestawu informacji o maszynie, takich jak pamięć, dysk i dzienniki MDATP. Ten zestaw plików udostępnia podstawowy zestaw informacji wymaganych do debugowania wszelkich problemów związanych z usługą Defender For Endpoint.

Obsługiwane opcje są następujące:


optional arguments:
  -h, --help            show this help message and exit
  --output OUTPUT, -o OUTPUT
                        Output path to export report
  --outdir OUTDIR       Directory where diagnostics file will be generated.
  --no-zip, -nz         If set a directory will be created instead of an
                        archive file.
  --force, -f           Will overwrite if output directory exists.
  --diagnostic, -d      Collect extensive machine diagnostic information.
  --skip-mdatp          Skip any mdatp command. Use this when the mdatp
                        command is unresponsive.
  --bypass-disclaimer   Do not display disclaimer banner.
  --interactive, -i     Interactive diagnostic,
  --delay DELAY, -dd DELAY
                        Delay diagnostic by how many minutes (0~2880), use
                        this to wait for more debug logs before it collects.
  --mdatp-log {trace,info,warning,error,debug,verbose}
                        Set MDATP log level. If you use interactive or delay
                        mode, the log level will set to debug automatically,
                        and reset after 48h.
  --max-log-size MAX_LOG_SIZE
                        Maximum log file size in MB before rotating(Will
                        restart mdatp).

Przykład użycia: sudo ./MDESupportTool -d

Uwaga

Funkcja autoresetu na poziomie dziennika jest dostępna tylko w wersji agenta 101.24052.0002 lub nowszej.

Pliki wygenerowane podczas korzystania z tego trybu są podsumowane w poniższej tabeli:

Plik Uwagi
mde_diagnostic.zip Dzienniki i konfiguracje usługi Defender for Endpoint
health.txt Stan kondycji usługi Defender dla punktu końcowego
(Występuje tylko wtedy, gdy jest zainstalowana usługa Defender dla punktu końcowego)
health_details_features.txt Stan kondycji innych funkcji usługi Defender for Endpoint
(Występuje tylko wtedy, gdy jest zainstalowana usługa Defender dla punktu końcowego)
permissions.txt Problemy z uprawnieniami do folderów należących do usługi Defender dla punktu końcowego lub używanych przez program Defender
(Występuje tylko wtedy, gdy jest zainstalowana usługa Defender dla punktu końcowego)
crashes Zrzuty awaryjne generowane przez usługę Defender dla punktu końcowego
process_information.txt Przetwarzanie uruchomione na maszynie po uruchomieniu narzędzia
proc_directory_info.txt Mapowanie pamięci wirtualnej usługi Defender dla procesów punktu końcowego
(Występuje tylko wtedy, gdy jest zainstalowana usługa Defender dla punktu końcowego)
auditd_info.txt Inspekcja kondycji, reguł, dzienników
auditd_log_analysis.txt Podsumowanie zdarzeń przetworzonych przez inspekcję
auditd_logs.zip Pliki dziennika z inspekcją
ebpf_kernel_config.txt Aktualnie załadowana konfiguracja jądra systemu Linux
ebpf_enabled_func.txt Lista wszystkich funkcji jądra, które są obecnie włączone do śledzenia
ebpf_syscalls.zip Informacje o śledzeniu wywołań systemowych
ebpf_raw_syscalls.zip Śledzenie zdarzeń związanych z nieprzetworzoną wywołaniami systemu
ebpf_maps_info.txt Informacje o identyfikatorze i rozmiarze map eBPF
syslog.zip Pliki w obszarze /var/log/syslog
messages.zip Pliki w obszarze /var/log/messages
conflicting_processes_information.txt Procesy powodujące konflikty w usłudze Defender for Endpoint
exclusions.txt Lista wykluczeń programu antywirusowego
definitions.txt Informacje o definicji programu antywirusowego
mde_directories.txt Lista plików w katalogach usługi Defender for Endpoint
disk_usage.txt Szczegóły użycia dysku
mde_user.txt Informacje o użytkowniku usługi Defender for Endpoint
mde_definitions_mount.txt Punkt instalacji definicji punktu końcowego w usłudze Defender
service_status.txt Stan usługi Defender for Endpoint Service
service_file.txt Plik usługi Defender for Endpoint
hardware_info.txt Informacje o sprzęcie
mount.txt Informacje o punkcie instalacji
uname.txt Informacje o jądrze
memory.txt Informacje o pamięci systemu
meminfo.txt Szczegółowe informacje o użyciu pamięci systemu
cpuinfo.txt Informacje o procesorze CPU
lsns_info.txt Informacje o przestrzeni nazw systemu Linux
lsof.txt Informacje o deskryptorach otwartych plików w usłudze Defender for Endpoint
(zobacz notatkę po tej tabeli)
sestatus.txt Informacje o deskryptorach otwartych plików w usłudze Defender for Endpoint
lsmod.txt Stan modułów w jądrze systemu Linux
dmesg.txt Komunikaty z buforu pierścienia jądra
kernel_lockdown.txt informacje o blokadzie jądra
rtp_statistics.txt Statystyki usługi Defender for Endpoint Real Time Protection (RTP)
(Występuje tylko wtedy, gdy jest zainstalowana usługa Defender dla punktu końcowego)
libc_info.txt informacje o bibliotece libc
uptime_info.txt Czas od ostatniego ponownego uruchomienia
last_info.txt Lista ostatnio zalogowanych użytkowników
locale_info.txt Pokaż bieżące ustawienia regionalne
tmp_files_owned_by_mdatp.txt /tmp pliki należące do grupy: mdatp
(Występuje tylko wtedy, gdy jest zainstalowana usługa Defender dla punktu końcowego)
mdatp_config.txt Wszystkie konfiguracje usługi Defender for Endpoint
(Występuje tylko wtedy, gdy jest zainstalowana usługa Defender dla punktu końcowego)
mpenginedb.db
mpenginedb.db-wal
mpenginedb.db-shm		 Plik definicji programu antywirusowego
(Występuje tylko wtedy, gdy jest zainstalowana usługa Defender dla punktu końcowego)
iptables_rules.txt Reguły iptables systemu Linux
network_info.txt Informacje o sieci
sysctl_info.txt informacje o ustawieniach jądra
hostname_diagnostics.txt Informacje diagnostyczne dotyczące nazwy hosta
mde_event_statistics.txt Statystyki zdarzeń usługi Defender for Endpoint
(Występuje tylko wtedy, gdy jest zainstalowana usługa Defender dla punktu końcowego)
mde_ebpf_statistics.txt Statystyki usługi Defender for Endpoint eBPF
(Występuje tylko wtedy, gdy jest zainstalowana usługa Defender dla punktu końcowego)
kernel_logs.zip Dzienniki jądra
mdc_log.zip Microsoft Defender dzienników chmury
netext_config.txt
threat_list.txt Lista zagrożeń wykrytych przez usługę Defender dla punktu końcowego
(Występuje tylko wtedy, gdy jest zainstalowana usługa Defender dla punktu końcowego)
top_output.txt Przetwarzanie uruchomione na maszynie po uruchomieniu narzędzia
top_summary.txt Analiza użycia pamięci i procesora CPU w uruchomionym procesie

Opcjonalne argumenty analizatora klienta

Narzędzie Client Analyzer udostępnia następujące opcjonalne argumenty dla dodatkowego zbierania danych:

Zbieranie informacji o wydajności

Zbierz obszerne śledzenie wydajności maszyn procesów usługi Defender for Endpoint w celu analizy scenariusza wydajności, który można odtworzyć na żądanie.

-h, --help            show this help message and exit
--frequency FREQUENCY
                      profile at this frequency
--length LENGTH       length of time to collect (in seconds)

Przykład użycia: sudo ./MDESupportTool performance --frequency 500

Poniżej znajduje się plik wygenerowany podczas korzystania z tego trybu:

Plik Uwagi
perf_benchmark.tar.gz Usługa Defender for Endpoint przetwarza dane wydajności

Uwaga

Generowane są również pliki odpowiadające trybowi diagnostycznemu.

Smoła zawiera pliki w formacie <pid of a MDE process>.data. Plik danych można odczytać za pomocą polecenia:

perf report -i <pid>.data

Uruchamianie testu łączności

Ten tryb sprawdza, czy zasoby w chmurze potrzebne przez usługę Defender dla punktu końcowego są osiągalne lub nie.


  -h, --help            show this help message and exit
  -o ONBOARDING_SCRIPT, --onboarding-script ONBOARDING_SCRIPT
                        Path to onboarding script
  -g GEO, --geo GEO     Geo string to test <US|UK|EU|AU|CH|IN>

Przykład użycia:

sudo ./MDESupportTool connectivitytest -o ~/MicrosoftDefenderATPOnboardingLinuxServer.py`

Dane wyjściowe wydrukowane na ekranie pokazują, czy adresy URL są osiągalne, czy nie.

Zbieranie różnych raportów dotyczących instalacji/dołączania

Ten tryb zbiera informacje dotyczące instalacji, takie jak dystrybucja i wymagania systemowe.


  -h, --help                show this help message and exit
  -d, --distro              Check for distro support
  -m, --min-requirement     Check for the system info against offical minimum requirements
  -e, --external-dep        Check for externel package dependency
  -c, --connectivity        Check for connectivity for services used by MDE
  -a, --all                 Run all checks
  -o ONBOARDING_SCRIPT, --onboarding-script ONBOARDING_SCRIPT
                            Path to onboarding script
  -g GEO, --geo GEO         Geo string to test <US|UK|EU|AU|CH|IN>

Przykład użycia:

sudo ./MDESupportTool installation --all

Generowany jest pojedynczy raport installation_report.json . Klucze w pliku są następujące:

Klucz Uwagi
agent_version Zainstalowana wersja usługi Defender dla punktu końcowego
onboarding_status Informacje o dołączaniu i pierścieniu
support_status MDE jest obsługiwana w przypadku bieżących konfiguracji systemu
dystrybucja Dystrybucja, na której agent jest zainstalowany w obsługiwanym programie lub nie
test łączności Warstwa testowa łączności
min_requirement Spełnione są minimalne wymagania dotyczące procesora CPU i pamięci
external_depedency Zależności zewnętrzne są spełnione lub nie
mde_health Stan kondycji agenta MDE
folder_perm Wymagane uprawnienia folderu są spełnione lub nie

Tryb wykluczania

W tym trybie dodano wykluczenia do audit-d monitorowania.


  -h, --help            show this help message and exit
  -e <executable>, --exe <executable>
                        exclude by executable name, i.e: bash
  -p <process id>, --pid <process id>
                        exclude by process id, i.e: 911
  -d <directory>, --dir <directory>
                        exclude by target path, i.e: /var/foo/bar
  -x <executable> <directory>, --exe_dir <executable> <directory>
                        exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
  -q <q_size>, --queue <q_size>
                        set dispatcher q_depth size
  -r, --remove          remove exclusion file
  -s, --stat            get statistics about common executables
  -l, --list            list auditd rules
  -o, --override        Override the existing auditd exclusion rules file for mdatp
  -c <syscall number>, --syscall <syscall number>
                        exclude all process of the given syscall

Przykład użycia:

sudo ./MDESupportTool exclude -d /var/foo/bar`

Ogranicznik szybkości inspekcji

Ta opcja ustawia limit szybkości globalnie dla auditD powodując spadek wszystkich zdarzeń inspekcji. Po włączeniu ogranicznika zdarzenia z inspekcji są ograniczone do 2500 zdarzeń na sekundę. Tej opcji można użyć w przypadkach, gdy widzimy wysokie użycie procesora CPU po stronie AuditD.


-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the rate limit with default values

Przykład użycia:

sudo ./mde_support_tool.sh ratelimit -e true

Uwaga

Ta funkcja powinna być starannie używana, ponieważ ogranicza liczbę zdarzeń raportów inspekcji podsystemu jako całości. Może to również zmniejszyć liczbę zdarzeń dla innych subskrybentów.

AuditD pomiń błędne reguły

Ta opcja umożliwia pominięcie błędnych reguł dodanych do pliku reguł inspekcji podczas ich ładowania. Umożliwia to inspekcji podsystemu kontynuowanie ładowania reguł, nawet jeśli istnieje błędna reguła.


-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.

Przykład użycia:

sudo ./mde_support_tool.sh skipfaultyrules -e true

Uwaga

Ta funkcja pomija błędne reguły. Wadliwe reguły muszą być dalej identyfikowane i naprawiane.

Zbieranie dzienników pomocy technicznej przy użyciu odpowiedzi na żywo w usłudze Defender for Endpoint

Narzędzie XMDE Client Analyzer można pobrać jako pakiet binarny lub pakiet języka Python , który można wyodrębnić i wykonać na maszynach z systemem Linux. Obie wersje analizatora klienta XMDE można wykonać podczas sesji odpowiedzi na żywo.

  • Do instalacji unzip pakiet jest wymagany.
  • Do wykonania acl pakiet jest wymagany.

Ważna

Okno używa niewidocznych znaków powrotu karetki i kanału wiersza do reprezentowania końca jednego wiersza i początku nowego wiersza w pliku, ale systemy Linux używają tylko niewidocznego znaku kanału informacyjnego linii na końcu jego wierszy plików. Jeśli używasz następujących skryptów, jeśli jest to zrobione w systemie Windows, ta różnica może spowodować błędy i błędy uruchamiania skryptów. Potencjalnym rozwiązaniem tego problemu jest użycie Podsystem Windows dla systemu Linux i dos2unix pakietu do sformatowania skryptu w taki sposób, aby był zgodny ze standardem formatu Unix i Linux.

Instalowanie analizatora klienta XMDE

Pobierz i wyodrębnij analizator klienta XMDE. Możesz użyć wersji binarnej lub języka Python w następujący sposób:

Ze względu na ograniczone polecenia dostępne w odpowiedzi na żywo szczegółowe kroki muszą być wykonywane w skryptze powłoki Bash. Dzieląc część instalacji i wykonywania tych poleceń, można uruchomić skrypt instalacji raz i uruchomić skrypt wykonywania wiele razy.

Ważna

W przykładowych skryptach założono, że maszyna ma bezpośredni dostęp do Internetu i może pobrać analizator klienta XMDE od firmy Microsoft. Jeśli maszyna nie ma bezpośredniego dostępu do Internetu, skrypty instalacji muszą zostać zaktualizowane w celu pobrania analizatora klienta XMDE z lokalizacji, do których maszyny mogą uzyskać dostęp pomyślnie.

Skrypt instalacji binarnego analizatora klienta

Poniższy skrypt wykonuje pierwsze sześć kroków uruchamiania binarnej wersji analizatora klienta. Po zakończeniu plik binarny analizatora klienta XMDE jest dostępny w /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer katalogu.

  1. Utwórz plik InstallXMDEClientAnalyzer.sh bash i wklej do niego następującą zawartość.

    #! /usr/bin/bash 

echo "Starting Client Analyzer Script. Running As:"
whoami

echo "Getting XMDEClientAnalyzerBinary"
wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary
echo '4E96E75B16244BB25BDBF34CBB3EB596BC2E9CE368BC4E532E8AE12DF2A1E19D /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c

echo "Unzipping XMDEClientAnalyzerBinary.zip"
unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary

echo "Unzipping SupportToolLinuxBinary.zip"
unzip -q /tmp/XMDEClientAnalyzerBinary/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer

echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"

Skrypt instalacji analizatora klienta języka Python

Poniższy skrypt wykonuje pierwsze sześć kroków uruchamiania wersji narzędzia Client Analyzer w języku Python. Po zakończeniu skrypty języka Python analizatora klienta XMDE są dostępne w /tmp/XMDEClientAnalyzer katalogu.

  1. Utwórz plik InstallXMDEClientAnalyzer.sh bash i wklej do niego następującą zawartość.

    #! /usr/bin/bash

echo "Starting Client Analyzer Install Script. Running As:"
whoami

echo "Getting XMDEClientAnalyzer.zip"
wget --quiet -O /tmp/XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer 
echo '07E6A7B89E28A78309D5B6F1E25E4CDFBA9CA141450E422D76441C03AD3477E7 /tmp/XMDEClientAnalyzer.zip' | sha256sum -c  

echo "Unzipping XMDEClientAnalyzer.zip"
unzip -q /tmp/XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer  

echo "Setting execute permissions on mde_support_tool.sh script"
cd /tmp/XMDEClientAnalyzer 
chmod a+x mde_support_tool.sh  

echo "Performing final support tool setup"
./mde_support_tool.sh

Uruchamianie skryptów instalacji analizatora klienta

  1. Zainicjuj sesję odpowiedzi na żywo na maszynie, którą chcesz zbadać.

  2. Wybierz pozycję Przekaż plik do biblioteki.

  3. Wybierz pozycję Wybierz plik.

  4. Wybierz pobrany plik o nazwie InstallXMDEClientAnalyzer.sh, a następnie wybierz pozycję Potwierdź.

  5. Będąc jeszcze w sesji LiveResponse, użyj następujących poleceń, aby zainstalować analizator:

    run InstallXMDEClientAnalyzer.sh

Uruchamianie analizatora klienta XMDE

Odpowiedź na żywo nie obsługuje bezpośredniego uruchamiania analizatora klienta XMDE ani języka Python, dlatego wymagany jest skrypt wykonywania.

Ważna

W poniższych skryptach założono, że analizator klienta XMDE został zainstalowany przy użyciu tych samych lokalizacji ze skryptów wymienionych wcześniej. Jeśli organizacja zdecyduje się zainstalować skrypty w innej lokalizacji, skrypty muszą zostać zaktualizowane w celu dopasowania ich do wybranej lokalizacji instalacji organizacji.

Skrypt do wykonywania binarnego analizatora klienta

Wersja binarna analizatora klienta akceptuje parametry wiersza polecenia do wykonywania różnych testów analizy. Aby zapewnić podobne możliwości podczas odpowiedzi na żywo, skrypt wykonywania korzysta ze zmiennej $@ bash, aby przekazać wszystkie parametry wejściowe podane do skryptu do analizatora klienta XMDE.

  1. Utwórz plik MDESupportTool.sh bash i wklej do niego następującą zawartość.

    #! /usr/bin/bash

echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer

echo "Running MDESupportTool"
./MDESupportTool $@

Skrypt do wykonywania analizatora klienta języka Python

Wersja analizatora klienta w języku Python akceptuje parametry wiersza polecenia do wykonywania różnych testów analizy. Aby zapewnić podobne możliwości podczas odpowiedzi na żywo, skrypt wykonywania korzysta ze zmiennej $@ bash, aby przekazać wszystkie parametry wejściowe podane do skryptu do analizatora klienta XMDE.

  1. Utwórz plik MDESupportTool.sh bash i wklej do niego następującą zawartość.

    #! /usr/bin/bash  

echo "cd /tmp/XMDEClientAnalyzer"
cd /tmp/XMDEClientAnalyzer 

echo "Running mde_support_tool"
./mde_support_tool.sh $@

Uruchamianie skryptu analizatora klienta

Uwaga

Jeśli masz aktywną sesję odpowiedzi na żywo, możesz pominąć krok 1.

  1. Zainicjuj sesję odpowiedzi na żywo na maszynie, którą chcesz zbadać.

  2. Wybierz pozycję Przekaż plik do biblioteki.

  3. Wybierz pozycję Wybierz plik.

  4. Wybierz pobrany plik o nazwie MDESupportTool.sh, a następnie wybierz pozycję Potwierdź.

  5. Będąc jeszcze w sesji odpowiedzi na żywo, użyj następujących poleceń, aby uruchomić analizator i zebrać wynikowe pliki:

    run MDESupportTool.sh -parameters "--bypass-disclaimer -d"
GetFile "/tmp/your_archive_file_name_here.zip"

Zobacz też

Dokumenty dotyczące rozwiązywania problemów z usługą Defender for Endpoint w systemie Linux

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.