Aracılığıyla paylaş

Linux'ta istemci çözümleyicisini çalıştırma

  • Makale

Şunlar için geçerlidir:

Uç nokta için Defender'i deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.

Linux'ta Uç Nokta için Microsoft Defender ile ilgili sorunlarınız varsa ve desteğe ihtiyacınız varsa İstemci Çözümleyicisi aracından çıktı sağlamanız istenebilir. Bu makalede, aracın cihazınızda veya canlı yanıtla nasıl kullanılacağı açıklanmaktadır. Python tabanlı bir çözüm veya Python gerektirmeyen bir ikili sürüm kullanabilirsiniz.

İstemci çözümleyicisinin ikili sürümünü çalıştırma

  1. Araştırdığınız Linux makinesine XMDE İstemci Çözümleyicisi İkili aracını indirin. Terminal kullanıyorsanız, aşağıdaki komutu girerek aracı indirin:

    wget --quiet -O XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary

  2. İndirmeyi doğrulayın.

    echo 'B5EBD9AB36F2DB92C341ABEBB20A50551D08D769CB061EAFCC1A931EFACE305D XMDEClientAnalyzerBinary.zip' | sha256sum -c

  3. Içindekileri XMDEClientAnalyzerBinary.zip makinede ayıklayın.

    unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary

  4. Dizini değiştirin:

    cd XMDEClientAnalyzerBinary

  5. İki yeni zip dosyası oluşturulur:

    • SupportToolLinuxBinary.zip: Tüm Linux cihazları için
    • SupportToolMacOSBinary.zip: Mac cihazlar için

  6. Dosyanın sıkıştırmasını açın SupportToolLinuxBinary.zip .

    unzip -q SupportToolLinuxBinary.zip

  7. Tanılama paketi oluşturmak için aracı kök olarak çalıştırın:

    sudo ./MDESupportTool -d

Python tabanlı istemci çözümleyicisini çalıştırma

Not

  • Çözümleyici, sonuç çıkışını oluşturmak için kökteyken işletim sistemine yüklenen birkaç ek PIP paketine (decorator, distrosh, , lxmlve psutil) bağlıdır. Yüklü değilse çözümleyici bunu Python paketleri için resmi depodan getirmeye çalışır.
  • Buna ek olarak, araç şu anda cihazınızda Python sürüm 3 veya üzerinin yüklü olmasını gerektirir.
  • Cihazınız bir ara sunucunun arkasındaysa, proxy sunucusunu betikte mde_support_tool.sh ortam değişkeni olarak geçirebilirsiniz. Örneğin: https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh".

Uyarı

Python tabanlı istemci çözümleyicisini çalıştırmak, ortamınızda bazı sorunlara neden olabilecek PIP paketlerinin yüklenmesini gerektirir. Sorunların oluşmasını önlemek için paketleri bir kullanıcı PIP ortamına yüklemenizi öneririz.

  1. Araştırmanız gereken Linux makinesinde XMDE İstemci Çözümleyicisi aracını indirin. Terminal kullanıyorsanız, aşağıdaki komutu girerek aracı indirin:

    wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer

  2. İndirmeyi doğrulayın.

    echo '07E6A7B89E28A78309D5B6F1E25E4CDFBA9CA141450E422D76441C03AD3477E7 XMDEClientAnalyzer.zip' | sha256sum -c

  3. Içindekileri XMDEClientAnalyzer.zip makinede ayıklayın.

    unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzer

  4. Dizini değiştirin.

    cd XMDEClientAnalyzer

  5. Ara çubuğuna yürütülebilir izin verin.

    chmod a+x mde_support_tool.sh

  6. Gerekli bağımlılıkları yüklemek için kök olmayan bir kullanıcı olarak çalıştırın.

    ./mde_support_tool.sh

  7. Tanılama paketini toplamak ve sonuç arşiv dosyasını oluşturmak için kök olarak yeniden çalıştırın.

    sudo ./mde_support_tool.sh -d

Komut satırı seçenekleri

İstemci çözümleyicisi tarafından sağlanan komut satırı seçenekleri aşağıda verilmiş


usage: MDESupportTool [-h] [--output OUTPUT] [--outdir OUTDIR] [--no-zip]
                      [--force] [--diagnostic] [--skip-mdatp]
                      [--bypass-disclaimer] [--interactive] [--delay DELAY]
                      [--mdatp-log {trace,info,warning,error,debug,verbose}]
                      [--max-log-size MAX_LOG_SIZE]
                      {certinfocollection,performance,installation,exclude,ratelimit,skipfaultyrules,trace,observespikes,connectivitytest}
                      ...

MDE Diagnostics Tool

positional arguments:
  {certinfocollection,performance,installation,exclude,ratelimit,skipfaultyrules,trace,observespikes,connectivitytest}
    certinfocollection  Collect cert information: Subject name and Hashes
    performance         Collect extensive machine performance tracing for
                        analysis of a performance scenario that can be
                        reproduced on demand
    installation        Collect different installation/onboarding reports
    exclude             Exclude specific processes from audit-d monitoring.
    ratelimit           Set the rate limit for auditd events. Rate limit will
                        update the limits for auditd events for all the
                        applications using auditd, which could impact
                        applications other than MDE.
    skipfaultyrules     Continue loading rules in spite of an error. This
                        summarizes the results of loading the rules. The exit
                        code will not be success if any rule fails to load.
    trace               Use OS tracing facilities to record Defender
                        performance traces.
    observespikes       Collect the process logs in case of spike or mdatp
                        crash
    connectivitytest    Perform connectivity test for MDE

optional arguments:
  -h, --help            show this help message and exit
  --output OUTPUT, -o OUTPUT
                        Output path to export report
  --outdir OUTDIR       Directory where diagnostics file will be generated.
  --no-zip, -nz         If set a directory will be created instead of an
                        archive file.
  --force, -f           Will overwrite if output directory exists.
  --diagnostic, -d      Collect extensive machine diagnostic information.
  --skip-mdatp          Skip any mdatp command. Use this when the mdatp
                        command is unresponsive.
  --bypass-disclaimer   Do not display disclaimer banner.
  --interactive, -i     Interactive diagnostic,
  --delay DELAY, -dd DELAY
                        Delay diagnostic by how many minutes (0~2880), use
                        this to wait for more debug logs before it collects.
  --mdatp-log {trace,info,warning,error,debug,verbose}
                        Set MDATP log level. If you use interactive or delay
                        mode, the log level will set to debug automatically,
                        and reset after 48h.
  --max-log-size MAX_LOG_SIZE
                        Maximum log file size in MB before rotating(Will
                        restart mdatp).

Tanılama modu

Tanılama modu bellek, disk ve MDATP günlükleri gibi kapsamlı makine bilgileri kümesini toplamak için kullanılır. Bu dosya kümesi, Uç Nokta için Defender ile ilgili herhangi bir sorunun hatalarını ayıklamak için gereken birincil bilgi kümesini sağlar.

Desteklenen seçenekler şunlardır:


optional arguments:
  -h, --help            show this help message and exit
  --output OUTPUT, -o OUTPUT
                        Output path to export report
  --outdir OUTDIR       Directory where diagnostics file will be generated.
  --no-zip, -nz         If set a directory will be created instead of an
                        archive file.
  --force, -f           Will overwrite if output directory exists.
  --diagnostic, -d      Collect extensive machine diagnostic information.
  --skip-mdatp          Skip any mdatp command. Use this when the mdatp
                        command is unresponsive.
  --bypass-disclaimer   Do not display disclaimer banner.
  --interactive, -i     Interactive diagnostic,
  --delay DELAY, -dd DELAY
                        Delay diagnostic by how many minutes (0~2880), use
                        this to wait for more debug logs before it collects.
  --mdatp-log {trace,info,warning,error,debug,verbose}
                        Set MDATP log level. If you use interactive or delay
                        mode, the log level will set to debug automatically,
                        and reset after 48h.
  --max-log-size MAX_LOG_SIZE
                        Maximum log file size in MB before rotating(Will
                        restart mdatp).

Kullanım örneği: sudo ./MDESupportTool -d

Not

Günlük düzeyi otomatik küme özelliği yalnızca aracı sürüm 101.24052.0002 veya üzerinde kullanılabilir.

Bu mod kullanılırken oluşturulan dosyalar aşağıdaki tabloda özetlenir:

Dosya Açıklamalar
mde_diagnostic.zip Uç Nokta için Defender günlükleri ve yapılandırmaları
health.txt Uç Nokta için Defender'ın sistem durumu
(Yalnızca Uç Nokta için Defender yüklendiğinde sunulur)
health_details_features.txt Diğer Uç Nokta için Defender özelliklerinin sistem durumu
(Yalnızca Uç Nokta için Defender yüklendiğinde sunulur)
permissions.txt Uç Nokta için Defender'ın sahip olduğu/kullandığı klasörlerle ilgili izin sorunları
(Yalnızca Uç Nokta için Defender yüklendiğinde sunulur)
crashes Uç Nokta için Defender tarafından oluşturulan kilitlenme dökümleri
process_information.txt Araç çalıştırıldığında makinede çalışan işlem
proc_directory_info.txt Uç Nokta için Defender işlemlerinin sanal belleğinin eşlemesi
(Yalnızca Uç Nokta için Defender yüklendiğinde sunulur)
auditd_info.txt Denetlenen sistem durumu, kurallar, günlükler
auditd_log_analysis.txt Denetlenen tarafından işlenen olayların özeti
auditd_logs.zip Denetlenen günlük dosyaları
ebpf_kernel_config.txt Şu anda yüklü Linux Çekirdeği yapılandırması
ebpf_enabled_func.txt İzleme için şu anda etkin olan tüm çekirdek işlevlerinin listesi
ebpf_syscalls.zip Sistem çağrısı izleme hakkında bilgi
ebpf_raw_syscalls.zip Ham sistem çağrıları ile ilgili olayları izleme
ebpf_maps_info.txt eBPF haritalarının kimlik ve boyut bilgileri
syslog.zip /var/log/syslog altındaki dosyalar
messages.zip /var/log/messages altındaki dosyalar
conflicting_processes_information.txt Uç Nokta Çakışan İşlemler için Defender
exclusions.txt Virüsten Koruma dışlamalarının listesi
definitions.txt Virüsten koruma tanımı bilgileri
mde_directories.txt Uç Nokta için Defender dizinlerindeki dosyaların listesi
disk_usage.txt Disk kullanımı ayrıntıları
mde_user.txt Uç Nokta için Defender Kullanıcı Bilgileri
mde_definitions_mount.txt Uç Nokta Tanımları Bağlama Noktası için Defender
service_status.txt Uç Nokta Için Defender Hizmet Durumu
service_file.txt Uç Nokta Hizmet Dosyası için Defender
hardware_info.txt Donanım Bilgileri
mount.txt Bağlama noktası bilgileri
uname.txt Çekirdek bilgileri
memory.txt Sistem belleği bilgileri
meminfo.txt Sistemin bellek kullanımı hakkında ayrıntılı bilgi
cpuinfo.txt CPU Bilgileri
lsns_info.txt Linux ad alanı bilgileri
lsof.txt Uç Nokta için Defender Açık Dosya Tanımlayıcıları Bilgileri
(bu tablodan sonraki nota bakın)
sestatus.txt Uç Nokta için Defender Açık Dosya Tanımlayıcıları Bilgileri
lsmod.txt Linux çekirdeğindeki modüllerin durumu
dmesg.txt Çekirdek halkası arabelleğinden iletiler
kernel_lockdown.txt çekirdek kilitleme Bilgileri
rtp_statistics.txt Uç Nokta için Defender Gerçek Zamanlı Koruma (RTP) istatistikleri
(Yalnızca Uç Nokta için Defender yüklendiğinde sunulur)
libc_info.txt libc kitaplığı bilgileri
uptime_info.txt Son yeniden başlatmadan bu yana geçen süre
last_info.txt Son oturum açan kullanıcıların listesi
locale_info.txt Geçerli yerel ayarı göster
tmp_files_owned_by_mdatp.txt Gruba ait /tmp dosyaları: mdatp
(Yalnızca Uç Nokta için Defender yüklendiğinde sunulur)
mdatp_config.txt Tüm Uç Nokta için Defender yapılandırmaları
(Yalnızca Uç Nokta için Defender yüklendiğinde sunulur)
mpenginedb.db
mpenginedb.db-wal
mpenginedb.db-shm		 Virüsten koruma tanımları dosyası
(Yalnızca Uç Nokta için Defender yüklendiğinde sunulur)
iptables_rules.txt Linux iptables kuralları
network_info.txt Ağ bilgileri
sysctl_info.txt çekirdek ayarları bilgileri
hostname_diagnostics.txt Ana bilgisayar adı tanılama bilgileri
mde_event_statistics.txt Uç Nokta için Defender Olay istatistikleri
(Yalnızca Uç Nokta için Defender yüklendiğinde sunulur)
mde_ebpf_statistics.txt Uç Nokta için Defender eBPF istatistikleri
(Yalnızca Uç Nokta için Defender yüklendiğinde sunulur)
kernel_logs.zip Çekirdek günlükleri
mdc_log.zip Bulut günlükleri için Microsoft Defender
netext_config.txt
threat_list.txt Uç Nokta için Defender tarafından algılanan tehditlerin listesi
(Yalnızca Uç Nokta için Defender yüklendiğinde sunulur)
top_output.txt Araç çalıştırıldığında makinede çalışan işlem
top_summary.txt Çalışan işlemin bellek ve CPU kullanım analizi

İstemci Çözümleyicisi için isteğe bağlı bağımsız değişkenler

İstemci Çözümleyicisi, ek veri toplama için aşağıdaki isteğe bağlı bağımsız değişkenleri sağlar:

Performans bilgilerini toplama

İsteğe bağlı olarak yeniden oluşturulabilen bir performans senaryosunun analizi için Uç Nokta için Defender işlemlerinin kapsamlı makine performansı izlemesini toplayın.

-h, --help            show this help message and exit
--frequency FREQUENCY
                      profile at this frequency
--length LENGTH       length of time to collect (in seconds)

Kullanım örneği: sudo ./MDESupportTool performance --frequency 500

Bu mod kullanılırken oluşturulan dosya aşağıdadır:

Dosya Açıklamalar
perf_benchmark.tar.gz Uç Nokta için Defender performans verilerini işler

Not

Tanılama moduna karşılık gelen dosyalar da oluşturulur.

tar biçiminde dosyalar <pid of a MDE process>.dataiçerir. Veri dosyası şu komutu kullanarak okunabilir:

perf report -i <pid>.data

Bağlantı testlerini çalıştırma

Bu mod, Uç Nokta için Defender'ın ihtiyaç duyduğu bulut kaynaklarına ulaşılıp ulaşılmadığını test eder.


  -h, --help            show this help message and exit
  -o ONBOARDING_SCRIPT, --onboarding-script ONBOARDING_SCRIPT
                        Path to onboarding script
  -g GEO, --geo GEO     Geo string to test <US|UK|EU|AU|CH|IN>

Kullanım örneği:

sudo ./MDESupportTool connectivitytest -o ~/MicrosoftDefenderATPOnboardingLinuxServer.py`

Ekrana yazdırılan çıkış, URL'lerin erişilebilir olup olmadığını gösterir.

Farklı yükleme/ekleme raporları toplama

Bu mod, dağıtım ve sistem gereksinimleri gibi yüklemeyle ilgili bilgileri toplar.


  -h, --help                show this help message and exit
  -d, --distro              Check for distro support
  -m, --min-requirement     Check for the system info against offical minimum requirements
  -e, --external-dep        Check for externel package dependency
  -c, --connectivity        Check for connectivity for services used by MDE
  -a, --all                 Run all checks
  -o ONBOARDING_SCRIPT, --onboarding-script ONBOARDING_SCRIPT
                            Path to onboarding script
  -g GEO, --geo GEO         Geo string to test <US|UK|EU|AU|CH|IN>

Kullanım örneği:

sudo ./MDESupportTool installation --all

Tek bir rapor installation_report.json oluşturulur. Dosyadaki anahtarlar aşağıdaki gibidir:

Tuş Açıklamalar
agent_version Uç Nokta için Defender sürümü yüklü
onboarding_status Ekleme ve çaldırma bilgileri
support_status MDE geçerli sistem yapılandırmalarıyla desteklenir
dağıtım Aracının yüklü olduğu dağıtım desteklenir veya desteklenmez
bağlantı testi Bağlantı testi katmanı
min_requirement CPU ve Bellek için en düşük gereksinimler karşılanıyor
external_depedency Dış bağımlılıklar karşılandı veya karşılanmıyor
mde_health MDE Aracısı'nın sistem durumu
folder_perm Gerekli klasör izinleri karşılanıyor veya karşılanmadı

Dışlama modu

Bu mod, izleme için audit-d dışlamalar ekler.


  -h, --help            show this help message and exit
  -e <executable>, --exe <executable>
                        exclude by executable name, i.e: bash
  -p <process id>, --pid <process id>
                        exclude by process id, i.e: 911
  -d <directory>, --dir <directory>
                        exclude by target path, i.e: /var/foo/bar
  -x <executable> <directory>, --exe_dir <executable> <directory>
                        exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
  -q <q_size>, --queue <q_size>
                        set dispatcher q_depth size
  -r, --remove          remove exclusion file
  -s, --stat            get statistics about common executables
  -l, --list            list auditd rules
  -o, --override        Override the existing auditd exclusion rules file for mdatp
  -c <syscall number>, --syscall <syscall number>
                        exclude all process of the given syscall

Kullanım örneği:

sudo ./MDESupportTool exclude -d /var/foo/bar`

Denetimli hız sınırlayıcısı

Bu seçenek, Tüm denetim olaylarında düşüşe neden olan AuditD için genel olarak hız sınırını ayarlar. Sınırlayıcı etkinleştirildiğinde, denetlenen olaylar 2500 olay/sn ile sınırlıdır. Bu seçenek, AuditD tarafında yüksek CPU kullanımı gördüğümüz durumlarda kullanılabilir.


-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the rate limit with default values

Kullanım örneği:

sudo ./mde_support_tool.sh ratelimit -e true

Not

Bu işlev, denetlenen alt sistemin bir bütün olarak rapor verdiği olay sayısını sınırladıkça dikkatli bir şekilde kullanılmalıdır. Bu, diğer abonelerin olay sayısını da azaltabilir.

AuditD hatalı kuralları atlar

Bu seçenek, denetim kuralları dosyasına eklenen hatalı kuralları yüklerken atlamanızı sağlar. Denetlenen alt sistemin hatalı bir kural olsa bile kuralları yüklemeye devam etmesini sağlar.


-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.

Kullanım örneği:

sudo ./mde_support_tool.sh skipfaultyrules -e true

Not

Bu işlev hatalı kuralları atlar. Hatalı kuralların daha fazla tanımlanması ve düzeltilmesi gerekir.

Destek günlüklerini toplamak için Uç Nokta için Defender'da canlı yanıt kullanma

XMDE İstemci Çözümleyicisi aracı, Linux makinelerinde ayıklanıp yürütülebilen bir ikili veya Python paketi olarak indirilebilir. XMDE İstemci Çözümleyicisi'nin her iki sürümü de canlı yanıt oturumu sırasında yürütülebilir.

  • Yükleme unzip için paket gereklidir.
  • Yürütme acl için paket gereklidir.

Önemli

Pencere, bir satırın sonunu ve bir dosyadaki yeni satırın başlangıcını göstermek için Satır Başı ve Satır Beslemesi görünmez karakterlerini kullanır, ancak Linux sistemleri yalnızca dosya satırlarının sonundaki Satır Beslemesi görünmez karakterini kullanır. Aşağıdaki betikleri kullandığınızda, Windows'da yapılırsa, bu fark betiklerin çalıştırılma hatalarına ve hatalarına neden olabilir. Bunun olası bir çözümü, betiği Unix ve dos2unix Linux biçim standardıyla uyumlu olacak şekilde yeniden biçimlendirmek için Linux için Windows Alt Sistemi ve paketi kullanmaktır.

XMDE İstemci Çözümleyicisi'ni yükleme

XMDE İstemci Çözümleyicisi'ni indirip ayıklayın. İkili veya Python sürümünü aşağıdaki gibi kullanabilirsiniz:

Canlı yanıtta kullanılabilen sınırlı komutlar nedeniyle, ayrıntılı adımların bir bash betiğinde yürütülmesi gerekir. Bu komutların yükleme ve yürütme bölümünü bölerek, yükleme betiğini bir kez çalıştırmak ve yürütme betiğini birden çok kez çalıştırmak mümkündür.

Önemli

Örnek betikler, makinenin doğrudan İnternet erişimi olduğunu ve XMDE İstemci Çözümleyicisi'ni Microsoft'tan alabildiğini varsayar. Makinenin doğrudan İnternet erişimi yoksa yükleme betikleri, makinelerin başarıyla erişebileceği bir konumdan XMDE İstemci Çözümleyicisi'ni alacak şekilde güncelleştirilmelidir.

İkili istemci çözümleyici yükleme betiği

Aşağıdaki betik , İstemci Çözümleyicisi'nin İkili sürümünü çalıştırma işleminin ilk altı adımını gerçekleştirir. Tamamlandığında, XMDE İstemci Çözümleyicisi ikili dosyası dizinden /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer kullanılabilir.

  1. Bir bash dosyası InstallXMDEClientAnalyzer.sh oluşturun ve aşağıdaki içeriği dosyaya yapıştırın.

    #! /usr/bin/bash 

echo "Starting Client Analyzer Script. Running As:"
whoami

echo "Getting XMDEClientAnalyzerBinary"
wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary
echo '4E96E75B16244BB25BDBF34CBB3EB596BC2E9CE368BC4E532E8AE12DF2A1E19D /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c

echo "Unzipping XMDEClientAnalyzerBinary.zip"
unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary

echo "Unzipping SupportToolLinuxBinary.zip"
unzip -q /tmp/XMDEClientAnalyzerBinary/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer

echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"

Python istemci çözümleyicisi yükleme betiği

Aşağıdaki betik , İstemci Çözümleyicisi'nin Python sürümünü çalıştırma işleminin ilk altı adımını gerçekleştirir. Tamamlandığında, dizinden /tmp/XMDEClientAnalyzer XMDE İstemci Çözümleyicisi Python betikleri kullanılabilir.

  1. Bir bash dosyası InstallXMDEClientAnalyzer.sh oluşturun ve aşağıdaki içeriği dosyaya yapıştırın.

    #! /usr/bin/bash

echo "Starting Client Analyzer Install Script. Running As:"
whoami

echo "Getting XMDEClientAnalyzer.zip"
wget --quiet -O /tmp/XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer 
echo '07E6A7B89E28A78309D5B6F1E25E4CDFBA9CA141450E422D76441C03AD3477E7 /tmp/XMDEClientAnalyzer.zip' | sha256sum -c  

echo "Unzipping XMDEClientAnalyzer.zip"
unzip -q /tmp/XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer  

echo "Setting execute permissions on mde_support_tool.sh script"
cd /tmp/XMDEClientAnalyzer 
chmod a+x mde_support_tool.sh  

echo "Performing final support tool setup"
./mde_support_tool.sh

İstemci çözümleyicisi yükleme betiklerini çalıştırma

  1. Araştırmak istediğiniz makinede Canlı Yanıt oturumu başlatın.

  2. Dosyayı kitaplığa yükle'yi seçin.

  3. Dosya seç'i seçin.

  4. adlı InstallXMDEClientAnalyzer.shindirilen dosyayı ve ardından Onayla'yı seçin.

  5. LiveResponse oturumundayken çözümleyiciyi yüklemek için aşağıdaki komutları kullanın:

    run InstallXMDEClientAnalyzer.sh

XMDE istemci çözümleyicisini çalıştırma

Canlı yanıt, XMDE İstemci Çözümleyicisi veya Python'ın doğrudan çalıştırılmasını desteklemez, bu nedenle bir yürütme betiği gereklidir.

Önemli

Aşağıdaki betikler, XMDE İstemci Çözümleyicisi'nin daha önce bahsedilen betiklerden aynı konumlar kullanılarak yüklendiğini varsayar. Kuruluşunuz betikleri farklı bir konuma yüklemeyi seçerse, betiklerin kuruluşunuzun seçtiğiniz yükleme konumuyla uyumlu olacak şekilde güncelleştirilmesi gerekir.

İkili istemci çözümleyicisini yürütmek için betik

İstemci çözümleyicisinin ikili sürümü, farklı çözümleme testleri gerçekleştirmek için komut satırı parametrelerini kabul eder. Canlı yanıt sırasında benzer özellikler sağlamak için, yürütme betiği betiğine sağlanan tüm giriş parametrelerini XMDE İstemci Çözümleyicisi'ne geçirmek için bash değişkenini kullanır $@ .

  1. Bir bash dosyası MDESupportTool.sh oluşturun ve aşağıdaki içeriği dosyaya yapıştırın.

    #! /usr/bin/bash

echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer

echo "Running MDESupportTool"
./MDESupportTool $@

Python istemci çözümleyicisini yürütmek için betik

İstemci çözümleyicisinin Python sürümü, farklı analiz testleri gerçekleştirmek için komut satırı parametrelerini kabul eder. Canlı yanıt sırasında benzer özellikler sağlamak için, yürütme betiği betiğine sağlanan tüm giriş parametrelerini XMDE İstemci Çözümleyicisi'ne geçirmek için bash değişkenini kullanır $@ .

  1. Bir bash dosyası MDESupportTool.sh oluşturun ve aşağıdaki içeriği dosyaya yapıştırın.

    #! /usr/bin/bash  

echo "cd /tmp/XMDEClientAnalyzer"
cd /tmp/XMDEClientAnalyzer 

echo "Running mde_support_tool"
./mde_support_tool.sh $@

İstemci çözümleyicisi betiğini çalıştırma

Not

Etkin bir canlı yanıt oturumlarınız varsa 1. Adımı atlayabilirsiniz.

  1. Araştırmak istediğiniz makinede Canlı Yanıt oturumu başlatın.

  2. Dosyayı kitaplığa yükle'yi seçin.

  3. Dosya seç'i seçin.

  4. adlı MDESupportTool.shindirilen dosyayı ve ardından Onayla'yı seçin.

  5. Canlı yanıt oturumundayken çözümleyiciyi çalıştırmak ve sonuçta elde edilen dosyayı toplamak için aşağıdaki komutları kullanın:

    run MDESupportTool.sh -parameters "--bypass-disclaimer -d"
GetFile "/tmp/your_archive_file_name_here.zip"

Ayrıca bkz.

Linux'ta Uç Nokta için Defender sorun giderme belgeleri

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.