Collecter les journaux de support dans Microsoft Defender pour point de terminaison à l’aide de la réponse en direct

S’applique à :

• Microsoft Defender pour point de terminaison Plan 2
• Microsoft Defender XDR

Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Lorsque vous contactez le support technique, vous pouvez être invité à fournir le package de sortie de l’outil Microsoft Defender pour endpoint Client Analyzer.

Cet article fournit des instructions sur l’exécution de l’outil via Live Response sur Windows et sur des machines Linux.

Windows

1. Téléchargez et récupérez les scripts requis disponibles dans le sous-répertoire Outils de l’analyseur client Microsoft Defender pour point de terminaison.

   Par exemple, pour obtenir les journaux d’intégrité du capteur et de l’appareil de base, récupérez ..\Tools\MDELiveAnalyzer.ps1.

   Si vous avez également besoin des journaux de support de l’Antivirus Microsoft Defender (MpSupportFiles.cab), récupérez ..\Tools\MDELiveAnalyzerAV.ps1.

2. Lancez une session de réponse dynamique sur l’ordinateur que vous devez examiner.

3. Sélectionnez Charger le fichier dans la bibliothèque.

   

4. Sélectionnez Choisir un fichier.

   

5. Sélectionnez le fichier téléchargé nommé MDELiveAnalyzer.ps1, puis sélectionnez Confirmer.

   

6. Toujours dans la session LiveResponse, utilisez les commandes suivantes pour exécuter l’analyseur et collecter le fichier résultant.

   Run MDELiveAnalyzer.ps1
   GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDEClientAnalyzerResult.zip"
   

   

Informations supplémentaires

• La dernière préversion de MDEClientAnalyzer peut être téléchargée ici : https://aka.ms/Betamdeanalyzer.

• Le script LiveAnalyzer télécharge le package de résolution des problèmes sur l’ordinateur de destination à partir de : https://mdatpclientanalyzer.blob.core.windows.net.

• Si vous ne pouvez pas autoriser l’ordinateur à atteindre l’URL ci-dessus, chargez MDEClientAnalyzerPreview.zip le fichier dans la bibliothèque avant d’exécuter le script LiveAnalyzer :

  PutFile MDEClientAnalyzerPreview.zip -overwrite
  Run MDELiveAnalyzer.ps1
  GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDEClientAnalyzerResult.zip"
  

• Pour plus d’informations sur la collecte de données localement sur une machine si celle-ci ne communique pas avec les services cloud Microsoft Defender pour point de terminaison ou n’apparaît pas dans le portail Microsoft Defender pour point de terminaison comme prévu, consultez Vérifier la connectivité du client aux URL du service Microsoft Defender pour point de terminaison.

• Comme décrit dans Exemples de commandes de réponse dynamique, vous pouvez utiliser le & symbole à la fin de la commande pour collecter les journaux en tant qu’action en arrière-plan :

  Run MDELiveAnalyzer.ps1&
  

Linux

L’outil XMDE Client Analyzer peut être téléchargé sous la forme d’un package binaire ou Python qui peut être extrait et exécuté sur des machines Linux. Les deux versions de l’analyseur client XMDE peuvent être exécutées pendant une session de réponse dynamique.

Configuration requise

• Pour l’installation, le unzip package est requis.

• Pour l’exécution, le acl package est requis.

Importante

Window utilise les caractères invisibles Retour chariot et Saut de ligne pour représenter la fin d’une ligne et le début d’une nouvelle ligne dans un fichier, mais les systèmes Linux utilisent uniquement le caractère invisible Saut de ligne à la fin de ses lignes de fichier. Lorsque vous utilisez les scripts suivants, si vous utilisez Windows, cette différence peut entraîner des erreurs et des échecs des scripts à exécuter. Une solution potentielle consiste à utiliser le sous-système Windows pour Linux et le dos2unix package pour reformater le script afin qu’il s’aligne sur le format standard Unix et Linux.

Installation de l’analyseur client XMDE

Les deux versions de XMDE Client Analyzer, binary et Python, un package autonome qui doit être téléchargé et extrait avant l’exécution, et l’ensemble complet des étapes de ce processus sont disponibles :

• Exécution de la version binaire de l’analyseur client

• Exécution de la version Python de l’analyseur client

En raison des commandes limitées disponibles dans Live Response, les étapes détaillées doivent être exécutées dans un script bash. En divisant la partie installation et exécution de ces commandes, il est possible d’exécuter le script d’installation une seule fois, tout en exécutant le script d’exécution plusieurs fois.

Importante

Les exemples de scripts supposent que la machine dispose d’un accès Internet direct et peut récupérer l’analyseur client XMDE auprès de Microsoft. Si l’ordinateur n’a pas d’accès Direct à Internet, les scripts d’installation doivent être mis à jour pour extraire l’analyseur client XMDE à partir d’un emplacement auquel les machines peuvent accéder correctement.

Script d’installation de l’analyseur de client binaire

Le script suivant effectue les six premières étapes de l’exécution de la version binaire de l’analyseur client. Lorsque vous avez terminé, le binaire XMDE Client Analyzer est disponible à partir du /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer répertoire .

1. Créez un fichier InstallXMDEClientAnalyzer.sh bash et collez-y le contenu suivant.

   #! /usr/bin/bash
   
   echo "Starting Client Analyzer Script. Running As:"
   whoami
   
   echo "Getting XMDEClientAnalyzerBinary"
   wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary
   echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c
   
   echo "Unzipping XMDEClientAnalyzerBinary.zip"
   unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary
   
   echo "Unzipping SupportToolLinuxBinary.zip"
   unzip -q /tmp/XMDEClientAnalyzerBinary/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
   
   echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
   
   

Script d’installation de l’analyseur client Python

Le script suivant effectue les six premières étapes de l’exécution de la version Python de l’analyseur client. Lorsque vous avez terminé, les scripts Python de l’analyseur de client XMDE sont disponibles à partir du /tmp/XMDEClientAnalyzer répertoire .

1. Créez un fichier InstallXMDEClientAnalyzer.sh bash et collez-y le contenu suivant.

   #! /usr/bin/bash
   
   echo "Starting Client Analyzer Install Script. Running As:"
   whoami
   
   echo "Getting XMDEClientAnalyzer.zip"
   wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer 
   echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c  
   
   echo "Unzipping XMDEClientAnalyzer.zip"
   unzip -q XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer  
   
   echo "Setting execute permissions on mde_support_tool.sh script"
   cd /tmp/XMDEClientAnalyzer 
   chmod a+x mde_support_tool.sh  
   
   echo "Performing final support tool setup"
   ./mde_support_tool.sh
   
   

Exécution des scripts d’installation de l’analyseur client

1. Lancez une session de réponse dynamique sur l’ordinateur que vous devez examiner.

2. Sélectionnez Charger le fichier dans la bibliothèque.

3. Sélectionnez Choisir un fichier.

4. Sélectionnez le fichier téléchargé nommé InstallXMDEClientAnalyzer.sh, puis sélectionnez Confirmer.

5. Toujours dans la session LiveResponse, utilisez les commandes suivantes pour installer l’analyseur :

   run InstallXMDEClientAnalyzer.sh
   

Exécution de l’analyseur client XMDE

Live Response ne prend pas en charge l’exécution directe de l’analyseur client XMDE ou de Python. Un script d’exécution est donc nécessaire.

Importante

Les scripts suivants supposent que l’analyseur client XMDE a été installé à l’aide des mêmes emplacements que les scripts mentionnés précédemment. Si votre organisation a choisi d’installer les scripts dans un autre emplacement, les scripts suivants doivent être mis à jour pour s’aligner sur l’emplacement d’installation choisi par votre organisation.

Script d’exécution de l’analyseur de client binaire

Binary Client Analyzer accepte les paramètres de ligne de commande pour effectuer différents tests d’analyse. Pour fournir des fonctionnalités similaires pendant la réponse en direct, le script d’exécution tire parti de la $@ variable bash pour passer tous les paramètres d’entrée fournis au script à l’analyseur client XMDE.

1. Créez un fichier MDESupportTool.sh bash et collez-y le contenu suivant.

   #! /usr/bin/bash
   
   echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
   cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
   
   echo "Running MDESupportTool"
   ./MDESupportTool $@
   
   

Script d’exécution de l’analyseur client Python

L’analyseur client Python accepte les paramètres de ligne de commande pour effectuer différents tests d’analyse. Pour fournir des fonctionnalités similaires pendant la réponse en direct, le script d’exécution tire parti de la $@ variable bash pour passer tous les paramètres d’entrée fournis au script à l’analyseur client XMDE.

1. Créez un fichier MDESupportTool.sh bash et collez-y le contenu suivant.

   #! /usr/bin/bash  
   
   echo "cd /tmp/XMDEClientAnalyzer"
   cd /tmp/XMDEClientAnalyzer 
   
   echo "Running mde_support_tool"
   ./mde_support_tool.sh $@
   
   

Exécution du script de l’analyseur client

Remarque

Si vous avez une session Live Response active, vous pouvez ignorer l’étape 1.

1. Lancez une session de réponse dynamique sur l’ordinateur que vous devez examiner.

2. Sélectionnez Charger le fichier dans la bibliothèque.

3. Sélectionnez Choisir un fichier.

4. Sélectionnez le fichier téléchargé nommé MDESupportTool.sh, puis sélectionnez Confirmer.

5. Toujours dans la session Live Response, utilisez les commandes suivantes pour exécuter l’analyseur et collecter le fichier résultant.

   run MDESupportTool.sh -parameters "--bypass-disclaimer -d"
   GetFile "/tmp/your_archive_file_name_here.zip"
   

Voir aussi

• Vue d’ensemble de l’analyseur client
• Télécharger et exécuter l’analyseur client
• Exécuter l’analyseur client sur Windows
• Exécuter l’analyseur client sur macOS ou Linux
• Collecte de données pour la résolution avancée des problèmes sur Windows
• Comprendre le de rapport HTML de l’analyseur

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.