Ausführen der Clientanalyse unter macOS und Linux

Gilt für:

• Microsoft Defender für Endpunkt Plan 1
• Microsoft Defender für Endpunkt Plan 2

Der XMDEClientAnalyzer wird verwendet, um Microsoft Defender for Endpoint Integritäts- oder Zuverlässigkeitsprobleme auf integrierten Geräten zu diagnostizieren, auf denen Linux oder macOS ausgeführt wird.

Es gibt zwei Möglichkeiten, das Clientanalysetool auszuführen:

1. Verwenden einer Binärversion (keine Python-Abhängigkeit)
2. Verwenden einer Python-basierten Lösung

Ausführen der binärversion des Clientanalysetools

1. Laden Sie das XMDE-Client analyzer Binary-Tool auf den macOS- oder Linux-Computer herunter, den Sie untersuchen müssen.
   Wenn Sie ein Terminal verwenden, laden Sie das Tool herunter, indem Sie den folgenden Befehl eingeben:

   wget --quiet -O XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary
   

2. Überprüfen Sie den Download.

   Hinweis

   Der aktuelle SHA256-Hash von "XMDEClientAnalyzerBinary.zip", der von diesem Link heruntergeladen wird, lautet: "9D0552DBBD1693D2E2ED55F36147019CFECFECFDC009E76BAC4186CF03CD691B469"

   • Linux

   echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 XMDEClientAnalyzerBinary.zip' | sha256sum -c
   

   • macOS

   echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469  XMDEClientAnalyzerBinary.zip' | shasum -a 256 -c
   

3. Extrahieren Sie den Inhalt von XMDEClientAnalyzerBinary.zip auf dem Computer.

   Wenn Sie ein Terminal verwenden, extrahieren Sie die Dateien, indem Sie den folgenden Befehl eingeben:

   unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary
   

4. Wechseln Sie zum Verzeichnis des Tools, indem Sie den folgenden Befehl eingeben:

   cd XMDEClientAnalyzerBinary
   

5. Es werden drei neue ZIP-Dateien erstellt:

   • SupportToolLinuxBinary.zip : Für alle Linux-Geräte
   • SupportToolMacOSBinary.zip : Für Mac-Geräte

6. Entzippen Sie eine der beiden oben genannten ZIP-Dateien basierend auf dem Computer, den Sie untersuchen müssen.
   Wenn Sie ein Terminal verwenden, entzippen Sie die Datei, indem Sie je nach Betriebssystemtyp einen der folgenden Befehle eingeben:

   • Linux

     unzip -q SupportToolLinuxBinary.zip
     

   • Mac

     unzip -q SupportToolMacOSBinary.zip
     

7. Führen Sie das Tool als Stamm aus , um ein Diagnosepaket zu generieren:

   sudo ./MDESupportTool -d
   

Ausführen der Python-basierten Clientanalyse

Hinweis

• Das Analysetool hängt von einigen zusätzlichen PIP-Paketen (sh, distribution, lxml, pandas) ab, die im Betriebssystem installiert sind, wenn sie sich im Stamm befinden, um die Ergebnisausgabe zu erzeugen. Wenn es nicht installiert ist, versucht das Analysetool, es aus dem offiziellen Repository für Python-Pakete abzurufen.

  Warnung

  Die Ausführung des Python-basierten Clientanalysetools erfordert die Installation von PIP-Paketen, was zu Problemen in Ihrer Umgebung führen kann. Um Probleme zu vermeiden, wird empfohlen, die Pakete in einer PIP-Benutzerumgebung zu installieren.

• Darüber hinaus muss für das Tool derzeit Python-Version 3 oder höher installiert sein.

• Wenn sich Ihr Gerät hinter einem Proxy befindet, können Sie den Proxyserver einfach als Umgebungsvariable an das mde_support_tool.sh Skript übergeben. Zum Beispiel:. https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh"

1. Laden Sie das XMDE-Client analyzer-Tool auf den macOS- oder Linux-Computer herunter, den Sie untersuchen müssen.

   Wenn Sie ein Terminal verwenden, laden Sie das Tool herunter, indem Sie den folgenden Befehl ausführen:

   wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer
   

2. Überprüfen des Downloads

   • Linux

   echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c
   

   • macOS

   echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66  XMDEClientAnalyzer.zip' | shasum -a 256 -c
   

3. Extrahieren Sie den Inhalt von XMDEClientAnalyzer.zip auf dem Computer.
   Wenn Sie ein Terminal verwenden, extrahieren Sie die Dateien mit dem folgenden Befehl:

   unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzer
   

4. Wechseln Sie zum extrahierten Speicherort.

   cd XMDEClientAnalyzer
   

5. Erteilen Sie dem Tool die Berechtigung ausführbare Datei:

   chmod a+x mde_support_tool.sh
   

6. Führen Sie als Nicht-Root-Benutzer aus, um die erforderlichen Abhängigkeiten zu installieren:

   ./mde_support_tool.sh
   

7. Führen Sie erneut als Stamm aus, um das tatsächliche Diagnosepaket zu erfassen und die Ergebnisarchivdatei zu generieren:

   sudo ./mde_support_tool.sh -d
   

Befehlszeilenoptionen

Primäre Befehlszeilen

Verwenden Sie den folgenden Befehl, um die Computerdiagnose abzurufen.

-h, --help            show this help message and exit
--output OUTPUT, -o OUTPUT
                      Output path to export report
--outdir OUTDIR       Directory where diagnostics file will be generated
--no-zip, -nz         If set a directory will be created instead of an archive file
--force, -f           Will overwrite if output directory exists
--diagnostic, -d      Collect extensive machine diagnostic information
--bypass-disclaimer   Do not display disclaimer banner
--mdatp-log {info,debug,verbose,error,trace,warning}
                      Set MDATP log level
--max-log-size MAX_LOG_SIZE
                      Maximum log file size in MB before rotating(Will restart mdatp)

Verwendungsbeispiel: sudo ./MDESupportTool -d

Positionsargumente

Sammeln von Leistungsinformationen

Sammeln Sie eine umfangreiche Ablaufverfolgung der Computerleistung für die Analyse eines Leistungsszenarios, das bei Bedarf reproduziert werden kann.

-h, --help            show this help message and exit
--frequency FREQUENCY
                      profile at this frequency
--length LENGTH       length of time to collect (in seconds)

Verwendungsbeispiel: sudo ./MDESupportTool performance --frequency 2

Verwenden der Betriebssystemablaufverfolgung (nur für macOS)

Verwenden Sie Funktionen für die Betriebssystemablaufverfolgung, um Leistungsablaufverfolgungen von Defender für Endpunkt aufzuzeichnen.

Hinweis

Diese Funktionalität ist nur in der Python-Lösung vorhanden.

-h, --help       show this help message and exit
--length LENGTH  Length of time to record the trace (in seconds).
--mask MASK      Mask to select with event to trace. Defaults to all

Wenn dieser Befehl zum ersten Mal ausgeführt wird, wird eine Profilkonfiguration installiert.

Gehen Sie wie folgt vor, um die Profilinstallation zu genehmigen: Apple-Supporthandbuch.

Verwendungsbeispiel ./mde_support_tool.sh trace --length 5

Ausschlussmodus

Fügen Sie Ausschlüsse für die Überwachung von audit-d hinzu.

Hinweis

Diese Funktionalität ist nur für Linux vorhanden.

  -h, --help            show this help message and exit
  -e <executable>, --exe <executable>
                        exclude by executable name, i.e: bash
  -p <process id>, --pid <process id>
                        exclude by process id, i.e: 911
  -d <directory>, --dir <directory>
                        exclude by target path, i.e: /var/foo/bar
  -x <executable> <directory>, --exe_dir <executable> <directory>
                        exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
  -q <q_size>, --queue <q_size>
                        set dispatcher q_depth size
  -r, --remove          remove exclusion file
  -s, --stat            get statistics about common executables
  -l, --list            list auditd rules
  -o, --override        Override the existing auditd exclusion rules file for mdatp
  -c <syscall number>, --syscall <syscall number>
                        exclude all process of the given syscall

Verwendungsbeispiel: sudo ./MDESupportTool exclude -d /var/foo/bar

AuditD-Ratenbegrenzung

Syntax, die verwendet werden kann, um die Anzahl der ereignisse zu begrenzen, die vom auditD-Plug-In gemeldet werden. Diese Option legt die Ratenbegrenzung global für AuditD fest, was zu einem Rückgang aller Überwachungsereignisse führt. Wenn der Grenzwert aktiviert ist, ist die Anzahl der überwachten Ereignisse auf 2500 Ereignisse/Sekunde beschränkt. Diese Option kann in Fällen verwendet werden, in denen eine hohe CPU-Auslastung aufseiten von AuditD angezeigt wird.

Hinweis

Diese Funktionalität ist nur für Linux vorhanden.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the rate limit with default values

Verwendungsbeispiel: sudo ./mde_support_tool.sh ratelimit -e true

Hinweis

Diese Funktionalität sollte sorgfältig verwendet werden, da die Anzahl der Ereignisse begrenzt wird, die vom überwachten Subsystem als Ganzes gemeldet werden. Dies könnte auch die Anzahl der Ereignisse für andere Abonnenten reduzieren.

AuditD Skip Faulty Rules

Mit dieser Option können Sie die fehlerhaften Regeln überspringen, die in der Überwachungsregeldatei beim Laden hinzugefügt wurden. Mit dieser Option kann das überwachte Subsystem weiterhin Regeln laden, auch wenn eine fehlerhafte Regel vorhanden ist. Diese Option fasst die Ergebnisse des Ladens der Regeln zusammen. Im Hintergrund führt diese Option auditctl mit der Option -c aus.

Hinweis

Diese Funktionalität ist nur unter Linux verfügbar.

-h, --help                                  show this help message and exit
-e <true/false>, --enable <true/false>      enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.

Verwendungsbeispiel: sudo ./mde_support_tool.sh skipfaultyrules -e true

Hinweis

Diese Funktion überspringt die fehlerhaften Regeln. Die fehlerhafte Regel muss dann weiter identifiziert und behoben werden.

Inhalt des Ergebnispakets unter macOS und Linux

• report.html

  Beschreibung: Die Standard HTML-Ausgabedatei, die die Ergebnisse und Anleitungen enthält, die das Analysetoolskript auf dem Computer ausführen kann.

• mde_diagnostic.zip

  Beschreibung: Dieselbe Diagnoseausgabe, die beim Ausführen von mdatp diagnostic create unter macOS oder Linux generiert wird.

• mde.xml

  Beschreibung: XML-Ausgabe, die während der Ausführung generiert wird und zum Erstellen der HTML-Berichtsdatei verwendet wird.

• Processes_information.txt

  Beschreibung: Enthält die Details der ausgeführten Microsoft Defender for Endpoint zugehörigen Prozesse auf dem System.

• Log.txt

  Beschreibung: Enthält die gleichen Protokollmeldungen, die während der Datensammlung auf dem Bildschirm geschrieben wurden.

• Health.txt

  Beschreibung: Die gleiche grundlegende Integritätsausgabe, die beim Ausführen des Befehls mdatp health angezeigt wird.

• Events.xml

  Beschreibung: Zusätzliche XML-Datei, die vom Analysetool beim Erstellen des HTML-Berichts verwendet wird.

• Audited_info.txt

  Beschreibung: Details zum überwachten Dienst und zugehörigen Komponenten für das Linux-Betriebssystem .

• perf_benchmark.tar.gz

  Beschreibung: Der Leistungstest meldet. Dies wird nur angezeigt, wenn Sie den Leistungsparameter verwenden.

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.