Exécuter l’analyse du client sur macOS ou Linux
S’applique à :
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison Plan 2
XMDEClientAnalyzer est utilisé pour diagnostiquer Microsoft Defender pour point de terminaison problèmes d’intégrité ou de fiabilité sur les appareils intégrés exécutant Linux ou macOS.
Il existe deux façons d’exécuter l’outil analyseur client :
- Utilisation d’une version binaire (aucune dépendance Python externe)
- Utilisation d’une solution basée sur Python
Exécution de la version binaire de l’analyseur client
Téléchargez l’outil binaire XMDE Client Analyzer sur la machine macOS ou Linux que vous devez examiner.
Si vous utilisez un terminal, téléchargez l’outil en entrant la commande suivante :wget --quiet -O XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary
Vérifiez le téléchargement.
- Linux
echo '2A9BF0A6183831BE43C7BCB7917A40D772D226301B4CDA8EE4F258D00B6E4E97 XMDEClientAnalyzerBinary.zip' | sha256sum -c
- macOS
echo '2A9BF0A6183831BE43C7BCB7917A40D772D226301B4CDA8EE4F258D00B6E4E97 XMDEClientAnalyzerBinary.zip' | shasum -a 256 -c
Extrayez le contenu de XMDEClientAnalyzerBinary.zip sur l’ordinateur.
Si vous utilisez un terminal, extrayez les fichiers en entrant la commande suivante :
unzip -q XMDEClientAnalyzerBinary.zip -d XMDEClientAnalyzerBinary
Accédez au répertoire de l’outil en entrant la commande suivante :
cd XMDEClientAnalyzerBinary
Deux nouveaux fichiers zip sont générés :
- SupportToolLinuxBinary.zip : pour tous les appareils Linux
- SupportToolMacOSBinary.zip : Pour les appareils Mac
Décompressez l’un des 2 fichiers zip ci-dessus en fonction de l’ordinateur que vous devez examiner.
Lorsque vous utilisez un terminal, décompressez le fichier en entrant l’une des commandes suivantes en fonction du type de système d’exploitation :
Linux
unzip -q SupportToolLinuxBinary.zip
Mac
unzip -q SupportToolMacOSBinary.zip
Exécutez l’outil en tant que racine pour générer le package de diagnostic :
sudo ./MDESupportTool -d
Exécution de l’analyseur client basé sur Python
Remarque
- L’analyseur dépend de quelques packages PIP supplémentaires (
decorator
, ,sh
distro
,lxml
etpsutil
) qui sont installés dans le système d’exploitation lorsqu’ils sont à la racine pour produire la sortie du résultat. S’il n’est pas installé, l’analyseur tente de l’extraire du dépôt officiel pour les packages Python. - En outre, l’outil nécessite actuellement l’installation de Python version 3 ou ultérieure sur votre appareil.
- Si votre appareil se trouve derrière un proxy, vous pouvez simplement passer le serveur proxy en tant que variable d’environnement au
mde_support_tool.sh
script. Par exemple :https_proxy=https://myproxy.contoso.com:8080 ./mde_support_tool.sh"
.
Avertissement
L’exécution de l’analyseur client basé sur Python nécessite l’installation de packages PIP, ce qui peut entraîner des problèmes dans votre environnement. Pour éviter les problèmes, il est recommandé d’installer les packages dans un environnement PIP utilisateur.
Téléchargez l’outil XMDE Client Analyzer sur la machine macOS ou Linux que vous devez examiner.
Si vous utilisez un terminal, téléchargez l’outil en exécutant la commande suivante :
wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer
Vérifier le téléchargement
- Linux
echo '84C9718FF3D29DA0EEE650FB2FC0625549A05CD1228AC253DBB92C8B1D9F1D11 XMDEClientAnalyzer.zip' | sha256sum -c
- macOS
echo '84C9718FF3D29DA0EEE650FB2FC0625549A05CD1228AC253DBB92C8B1D9F1D11 XMDEClientAnalyzer.zip' | shasum -a 256 -c
Extrayez le contenu de XMDEClientAnalyzer.zip sur l’ordinateur. Si vous utilisez un terminal, extrayez les fichiers à l’aide de la commande suivante :
unzip -q XMDEClientAnalyzer.zip -d XMDEClientAnalyzer
Remplacez le répertoire par l’emplacement extrait.
cd XMDEClientAnalyzer
Accordez l’autorisation exécutable à l’outil :
chmod a+x mde_support_tool.sh
Exécutez en tant qu’utilisateur non racine pour installer les dépendances requises :
./mde_support_tool.sh
Pour collecter le package de diagnostic réel et générer le fichier d’archive des résultats, réexécutez en tant que racine :
sudo ./mde_support_tool.sh -d
Options de ligne de commande
Lignes de commande principales
Utilisez la commande suivante pour obtenir le diagnostic de la machine.
-h, --help show this help message and exit
--output OUTPUT, -o OUTPUT
Output path to export report
--outdir OUTDIR Directory where diagnostics file will be generated
--no-zip, -nz If set a directory will be created instead of an archive file
--force, -f Will overwrite if output directory exists
--diagnostic, -d Collect extensive machine diagnostic information
--bypass-disclaimer Do not display disclaimer banner
--interactive, -i Interactive diagnostic
--delay DELAY, -dd DELAY
Set MDATP log level. If you use interactive or delay mode, the log level will set to debug automatically, and reset after 48h.
--mdatp-log {info,debug,verbose,error,trace,warning}
Set MDATP log level
--max-log-size MAX_LOG_SIZE
Maximum log file size in MB before rotating(Will restart mdatp)
Exemple d’utilisation : sudo ./MDESupportTool -d
REMARQUE : La fonctionnalité de réinitialisation automatique au niveau du journal est disponible uniquement dans la version 2405 ou ultérieure du client.
Arguments positionnels
Collecter des informations sur les performances
Collectez un suivi complet des performances de l’ordinateur pour l’analyse d’un scénario de performances qui peut être reproduit à la demande.
-h, --help show this help message and exit
--frequency FREQUENCY
profile at this frequency
--length LENGTH length of time to collect (in seconds)
Exemple d’utilisation : sudo ./MDESupportTool performance --frequency 2
Utiliser la trace du système d’exploitation (pour macOS uniquement)
Utilisez les fonctionnalités de suivi du système d’exploitation pour enregistrer les traces de performances de Defender pour point de terminaison.
Remarque
Cette fonctionnalité existe uniquement dans la solution Python.
-h, --help show this help message and exit
--length LENGTH Length of time to record the trace (in seconds).
--mask MASK Mask to select with event to trace. Defaults to all
Lors de la première exécution de cette commande, elle installe une configuration de profil.
Suivez cette procédure pour approuver l’installation du profil : Guide de support Apple.
Exemple d’utilisation ./mde_support_tool.sh trace --length 5
Mode d’exclusion
Ajoutez des exclusions pour la surveillance audit-d.
Remarque
Cette fonctionnalité existe uniquement pour Linux.
-h, --help show this help message and exit
-e <executable>, --exe <executable>
exclude by executable name, i.e: bash
-p <process id>, --pid <process id>
exclude by process id, i.e: 911
-d <directory>, --dir <directory>
exclude by target path, i.e: /var/foo/bar
-x <executable> <directory>, --exe_dir <executable> <directory>
exclude by executable path and target path, i.e: /bin/bash /var/foo/bar
-q <q_size>, --queue <q_size>
set dispatcher q_depth size
-r, --remove remove exclusion file
-s, --stat get statistics about common executables
-l, --list list auditd rules
-o, --override Override the existing auditd exclusion rules file for mdatp
-c <syscall number>, --syscall <syscall number>
exclude all process of the given syscall
Exemple d’utilisation : sudo ./MDESupportTool exclude -d /var/foo/bar
Limiteur de débit audité
Syntaxe qui peut être utilisée pour limiter le nombre d’événements signalés par le plug-in auditD. Cette option définit la limite de débit globale pour AuditD, ce qui entraîne une baisse de tous les événements d’audit. Lorsque le limiteur est activé, le nombre d’événements audités est limité à 2500 événements/s. Cette option peut être utilisée dans les cas où nous constatons une utilisation élevée du processeur côté AuditD.
Remarque
Cette fonctionnalité existe uniquement pour Linux.
-h, --help show this help message and exit
-e <true/false>, --enable <true/false> enable/disable the rate limit with default values
Exemple d’utilisation : sudo ./mde_support_tool.sh ratelimit -e true
Remarque
Cette fonctionnalité doit être utilisée avec soin pour limiter le nombre d’événements signalés par le sous-système audité dans son ensemble. Cela peut également réduire le nombre d’événements pour d’autres abonnés.
AuditD Skip Faulty Rules
Cette option vous permet d’ignorer les règles défectueuses ajoutées dans le fichier de règles auditées lors du chargement. Cette option permet au sous-système audité de continuer à charger des règles, même en cas de règle défectueuse. Cette option résume les résultats du chargement des règles. En arrière-plan, cette option exécute auditctl avec l’option -c.
Remarque
Cette fonctionnalité est disponible uniquement sur Linux.
-h, --help show this help message and exit
-e <true/false>, --enable <true/false> enable/disable the option to skip the faulty rules. In case no argumanet is passed, the option will be true by default.
Exemple d’utilisation : sudo ./mde_support_tool.sh skipfaultyrules -e true
Remarque
Cette fonctionnalité ignore les règles défectueuses. La règle défectueuse doit ensuite être identifiée et corrigée.
Contenu du package de résultats sur macOS et Linux
report.html
Description : le main fichier de sortie HTML qui contient les résultats et les instructions de l’exécution de l’outil analyseur client sur l’appareil. Ce fichier est généré uniquement lors de l’exécution de la version basée sur Python de l’outil analyseur client.
mde_diagnostic.zip
Description : même sortie de diagnostic générée lors de l’exécution de la création de diagnostic mdatp sur macOS ou Linux.
mde.xml
Description : sortie XML générée lors de l’exécution et utilisée pour générer le fichier de rapport html.
Processes_information.txt
Description : contient les détails des processus associés Microsoft Defender pour point de terminaison en cours d’exécution sur le système.
Log.txt
Description : contient les mêmes messages de journal écrits à l’écran pendant la collecte de données.
Health.txt
Description : Même sortie d’intégrité de base que celle affichée lors de l’exécution de la commande mdatp health .
Events.xml
Description : fichier XML supplémentaire utilisé par l’analyseur lors de la création du rapport HTML.
Audited_info.txt
Description : détails sur le service audité et les composants associés pour le système d’exploitation Linux .
perf_benchmark.tar.gz
Description : rapports de test de performances. Cela s’affiche uniquement si vous utilisez le paramètre de performance.
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.