Spuštění klientského analyzátoru v macOS a Linuxu

  • Článek

Platí pro:

XMDEClientAnalyzer se používá k diagnostice Microsoft Defender for Endpoint problémů se stavem nebo spolehlivostí na nasazených zařízeních s Linuxem nebo macOS.

Nástroj analyzátoru klienta můžete spustit dvěma způsoby:

  1. Použití binární verze (bez závislostí Na Pythonu)
  2. Použití řešení založeného na Pythonu

Spuštění binární verze analyzátoru klienta

  1. Na počítač s macOS nebo Linuxem, který potřebujete prozkoumat, si stáhněte nástroj XMDE Client Analyzer Binary .
    Pokud používáte terminál, stáhněte si nástroj zadáním následujícího příkazu:

    wget --quiet -O XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary

  2. Ověřte stažení.

    Poznámka

    Aktuální hodnota hash SHA256 XMDEClientAnalyzerBinary.zip stažená z tohoto odkazu je: 9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469

    • Linux
    echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 XMDEClientAnalyzerBinary.zip' | sha256sum -c
    • macOS
    echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469  XMDEClientAnalyzerBinary.zip' | shasum -a 256 -c

  3. Extrahujte obsah XMDEClientAnalyzerBinary.zip na počítači.

    Pokud používáte terminál, extrahujte soubory zadáním následujícího příkazu:

    unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary

  4. Zadáním následujícího příkazu přejděte do adresáře nástroje:

    cd XMDEClientAnalyzerBinary

  5. Vytvoří se tři nové soubory ZIP:

    • SupportToolLinuxBinary.zip : Pro všechna zařízení s Linuxem
    • SupportToolMacOSBinary.zip : Pro zařízení Mac

  6. Rozbalte jeden z výše uvedených 2 souborů ZIP na základě počítače, který potřebujete prozkoumat.
    Pokud používáte terminál, rozbalte soubor zadáním jednoho z následujících příkazů založených na typu operačního systému:

    • Linux

      unzip -q SupportToolLinuxBinary.zip

    • Mac

      unzip -q SupportToolMacOSBinary.zip

  7. Spuštěním nástroje jako kořenového adresáře vygenerujte diagnostický balíček:

    sudo ./MDESupportTool -d

Spuštění analyzátoru klienta založeného na Pythonu

Poznámka

  • Analyzátor závisí na několika dalších balíčcích PIP (sh, distro, lxml, pandas), které jsou nainstalovány v operačním systému, když jsou v kořenovém adresáři, aby se vytvořil výstup výsledku. Pokud není nainstalovaný, analyzátor se ho pokusí načíst z oficiálního úložiště pro balíčky Pythonu.

    Upozornění

    Spuštění analyzátoru klienta založeného na Pythonu vyžaduje instalaci balíčků PIP, což může způsobit některé problémy ve vašem prostředí. Aby nedocházelo k problémům, doporučujeme nainstalovat balíčky do uživatelského prostředí PIP.

  • Kromě toho nástroj v současné době vyžaduje, aby byl nainstalovaný Python verze 3 nebo novější.

  • Pokud je vaše zařízení za proxy serverem, můžete jednoduše předat proxy server jako proměnnou prostředí mde_support_tool.sh skriptu. Příklad: . https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh"

  1. Stáhněte si nástroj XMDE Client Analyzer na počítač s macOS nebo Linuxem, který potřebujete prozkoumat.

    Pokud používáte terminál, stáhněte si nástroj spuštěním následujícího příkazu:

    wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer

  2. Ověření stahování

    • Linux
    echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c
    • macOS
    echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66  XMDEClientAnalyzer.zip' | shasum -a 256 -c

  3. Extrahujte obsah XMDEClientAnalyzer.zip na počítači.
    Pokud používáte terminál, extrahujte soubory pomocí následujícího příkazu:

    unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzer

  4. Změňte adresář na extrahované umístění.

    cd XMDEClientAnalyzer

  5. Udělte spustitelnému souboru nástroje oprávnění:

    chmod a+x mde_support_tool.sh

  6. Spusťte příkaz jako uživatel bez rootu a nainstalujte požadované závislosti:

    ./mde_support_tool.sh

  7. Pokud chcete shromáždit skutečný diagnostický balíček a vygenerovat soubor archivu výsledků, spusťte znovu příkaz jako root:

    sudo ./mde_support_tool.sh -d

Možnosti příkazového řádku

Primární příkazové řádky

Pomocí následujícího příkazu získáte diagnostiku počítače.

-h, --help            show this help message and exit
--output OUTPUT, -o OUTPUT
                      Output path to export report
--outdir OUTDIR       Directory where diagnostics file will be generated
--no-zip, -nz         If set a directory will be created instead of an archive file
--force, -f           Will overwrite if output directory exists
--diagnostic, -d      Collect extensive machine diagnostic information
--bypass-disclaimer   Do not display disclaimer banner
--mdatp-log {info,debug,verbose,error,trace,warning}
                      Set MDATP log level
--max-log-size MAX_LOG_SIZE
                      Maximum log file size in MB before rotating(Will restart mdatp)

Příklad použití: sudo ./MDESupportTool -d

Poziční argumenty

Shromažďování informací o výkonu

Shromážděte rozsáhlé trasování výkonu počítače pro analýzu scénáře výkonu, který lze reprodukovat na vyžádání.

-h, --help            show this help message and exit
--frequency FREQUENCY
                      profile at this frequency
--length LENGTH       length of time to collect (in seconds)

Příklad použití: sudo ./MDESupportTool performance --frequency 2

Použití trasování operačního systému (jenom pro macOS)

Pomocí zařízení trasování operačního systému můžete zaznamenávat trasování výkonu Defenderu for Endpoint.

Poznámka

Tato funkce existuje pouze v řešení Pythonu.

-h, --help       show this help message and exit
--length LENGTH  Length of time to record the trace (in seconds).
--mask MASK      Mask to select with event to trace. Defaults to all

Při prvním spuštění tohoto příkazu se nainstaluje konfigurace profilu.

Pokud chcete schválit instalaci profilu, postupujte takto: Průvodce podporou Apple.

Příklad použití ./mde_support_tool.sh trace --length 5

Režim vyloučení

Přidání vyloučení pro monitorování audit-d

Poznámka

Tato funkce existuje pouze pro Linux.

  -h, --help            show this help message and exit
  -e <executable>, --exe <executable>
                        exclude by executable name, i.e: bash
  -p <process id>, --pid <process id>
                        exclude by process id, i.e: 911
  -d <directory>, --dir <directory>
                        exclude by target path, i.e: /var/foo/bar
  -x <executable> <directory>, --exe_dir <executable> <directory>
                        exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
  -q <q_size>, --queue <q_size>
                        set dispatcher q_depth size
  -r, --remove          remove exclusion file
  -s, --stat            get statistics about common executables
  -l, --list            list auditd rules
  -o, --override        Override the existing auditd exclusion rules file for mdatp
  -c <syscall number>, --syscall <syscall number>
                        exclude all process of the given syscall

Příklad použití: sudo ./MDESupportTool exclude -d /var/foo/bar

Auditovaný omezovač rychlosti

Syntaxe, která se dá použít k omezení počtu událostí hlášených modulem plug-in auditD. Tato možnost nastaví limit četnosti pro AuditD globálně, což způsobí pokles všech událostí auditu. Pokud je omezovač povolený, počet auditovaných událostí je omezený na 2500 událostí za sekundu. Tuto možnost je možné použít v případech, kdy dochází k vysokému využití procesoru na straně AuditD.

Poznámka

Tato funkce existuje pouze pro Linux.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the rate limit with default values

Příklad použití: sudo ./mde_support_tool.sh ratelimit -e true

Poznámka

Tato funkce by se měla pečlivě používat, protože omezuje počet událostí hlášených auditovaným subsystémem jako celkem. To by mohlo snížit počet událostí i pro ostatní předplatitele.

Auditované přeskakování chybných pravidel

Tato možnost umožňuje přeskočit chybná pravidla přidaná do souboru auditovaných pravidel při jejich načítání. Tato možnost umožňuje auditovanému subsystému pokračovat v načítání pravidel, i když existuje chybné pravidlo. Tato možnost shrnuje výsledky načítání pravidel. Na pozadí tato možnost spustí auditctl s parametrem -c.

Poznámka

Tato funkce je dostupná jenom v Linuxu.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.

Příklad použití: sudo ./mde_support_tool.sh skipfaultyrules -e true

Poznámka

Tato funkce přeskočí chybná pravidla. Chybné pravidlo je pak potřeba dále identifikovat a opravit.

Výsledný obsah balíčku v macOS a Linuxu

  • report.html

    Popis: Hlavní výstupní soubor HTML, který obsahuje zjištění a pokyny, které může vytvořit skript analyzátoru spuštěný na počítači.

  • mde_diagnostic.zip

    Popis: Stejný diagnostický výstup, který se vygeneruje při spuštění příkazu mdatp diagnostic create v macOS nebo Linuxu.

  • mde.xml

    Popis: Výstup XML, který se generuje za běhu a slouží k sestavení souboru sestavy HTML.

  • Processes_information.txt

    Popis: Obsahuje podrobnosti o spuštěných Microsoft Defender for Endpoint souvisejících procesů v systému.

  • Log.txt

    Popis: Obsahuje stejné zprávy protokolu napsané na obrazovce během shromažďování dat.

  • Health.txt

    Popis: Stejný základní výstup stavu, který se zobrazí při spuštění příkazu mdatp health .

  • Events.xml

    Popis: Další soubor XML používaný analyzátorem při vytváření sestavy HTML.

  • Audited_info.txt

    Popis: Podrobnosti o auditované službě a souvisejících komponentách pro operační systém Linux .

  • perf_benchmark.tar.gz

    Popis: Sestavy testu výkonnosti. Zobrazí se jenom v případě, že používáte parametr výkonu.

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.