Collecter les journaux de support dans Microsoft Defender pour point de terminaison à l’aide de la réponse en direct
S’applique à :
Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.
Lorsque vous contactez le support technique, vous pouvez être invité à fournir le package de sortie de l’outil Analyseur client Microsoft Defender pour point de terminaison.
Cet article fournit des instructions sur l’exécution de l’outil via Live Response sur Windows et sur des machines Linux.
Windows
Téléchargez et récupérez les scripts requis disponibles à partir du sous-répertoire Outils de l’analyseur client Microsoft Defender pour point de terminaison.
Par exemple, pour obtenir les journaux d’intégrité du capteur et de l’appareil de base, récupérez
..\Tools\MDELiveAnalyzer.ps1.- Si vous avez besoin de journaux supplémentaires liés à Microsoft Defender Antivirus, utilisez
..\Tools\MDELiveAnalyzerAV.ps1. - Si vous avez besoin de journaux liés à la protection contre la perte de données de point de terminaison Microsoft , utilisez
..\Tools\MDELiveAnalyzerDLP.ps1. - Si vous avez besoin de journaux liés au réseau et à la plateforme de filtrage Windows , utilisez
..\Tools\MDELiveAnalyzerNet.ps1. - Si vous avez besoin des journaux Process Monitor , utilisez
..\Tools\MDELiveAnalyzerAppCompat.ps1.
- Si vous avez besoin de journaux supplémentaires liés à Microsoft Defender Antivirus, utilisez
Lancez une session de réponse dynamique sur l’ordinateur que vous devez examiner.
Sélectionnez Charger le fichier dans la bibliothèque.
Sélectionnez Choisir un fichier.
Sélectionnez le fichier téléchargé nommé
MDELiveAnalyzer.ps1, puis sélectionnez Confirmer.
Répétez cette étape pour le
MDEClientAnalyzerPreview.zipfichier.Toujours dans la session LiveResponse, utilisez les commandes suivantes pour exécuter l’analyseur et collecter le fichier résultant.
Putfile MDEClientAnalyzerPreview.zip Run MDELiveAnalyzer.ps1 GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDECA\MDEClientAnalyzerResult.zip"
Informations supplémentaires
La dernière préversion de MDEClientAnalyzer peut être téléchargée ici : https://aka.ms/MDEClientAnalyzerPreview.
Si vous ne pouvez pas autoriser l’ordinateur à atteindre l’URL ci-dessus, chargez
MDEClientAnalyzerPreview.ziple fichier dans la bibliothèque avant d’exécuter le script LiveAnalyzer :PutFile MDEClientAnalyzerPreview.zip -overwrite Run MDELiveAnalyzer.ps1 GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDECA\MDEClientAnalyzerResult.zip"Pour plus d’informations sur la collecte de données localement sur une machine si celle-ci ne communique pas avec Microsoft Defender pour point de terminaison services cloud ou n’apparaît pas dans Microsoft Defender pour point de terminaison portail comme prévu, consultez Vérifier la connectivité du client à URL de service Microsoft Defender pour point de terminaison.
Comme décrit dans Exemples de commandes de réponse dynamique, vous pouvez utiliser le
&symbole à la fin de la commande pour collecter les journaux en tant qu’action en arrière-plan :Run MDELiveAnalyzer.ps1&
Linux
L’outil XMDE Client Analyzer peut être téléchargé sous la forme d’un package binaire ou Python qui peut être extrait et exécuté sur des machines Linux. Les deux versions de l’analyseur client XMDE peuvent être exécutées pendant une session de réponse dynamique.
Configuration requise
Pour l’installation, le
unzippackage est requis.Pour l’exécution, le
aclpackage est requis.
Importante
Window utilise les caractères invisibles Retour chariot et Saut de ligne pour représenter la fin d’une ligne et le début d’une nouvelle ligne dans un fichier, mais les systèmes Linux utilisent uniquement le caractère invisible Saut de ligne à la fin de ses lignes de fichier. Lorsque vous utilisez les scripts suivants, si vous utilisez Windows, cette différence peut entraîner des erreurs et des échecs des scripts à exécuter. Une solution potentielle consiste à utiliser le Sous-système Windows pour Linux et le dos2unix package pour reformater le script afin qu’il s’aligne sur la norme de format Unix et Linux.
Installation de l’analyseur client XMDE
Les deux versions de XMDE Client Analyzer, binary et Python, un package autonome qui doit être téléchargé et extrait avant l’exécution, et l’ensemble complet des étapes de ce processus sont disponibles :
En raison des commandes limitées disponibles dans Live Response, les étapes détaillées doivent être exécutées dans un script bash. En divisant la partie installation et exécution de ces commandes, il est possible d’exécuter le script d’installation une seule fois, tout en exécutant le script d’exécution plusieurs fois.
Importante
Les exemples de scripts supposent que la machine dispose d’un accès Internet direct et peut récupérer l’analyseur client XMDE auprès de Microsoft. Si l’ordinateur n’a pas d’accès Direct à Internet, les scripts d’installation doivent être mis à jour pour extraire l’analyseur client XMDE à partir d’un emplacement auquel les machines peuvent accéder correctement.
Script d’installation de l’analyseur de client binaire
Le script suivant effectue les six premières étapes de l’exécution de la version binaire de l’analyseur client. Lorsque vous avez terminé, le binaire XMDE Client Analyzer est disponible à partir du /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer répertoire .
Créez un fichier
InstallXMDEClientAnalyzer.shbash et collez-y le contenu suivant.#! /usr/bin/bash echo "Starting Client Analyzer Script. Running As:" whoami echo "Getting XMDEClientAnalyzerBinary" wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://go.microsoft.com/fwlink/?linkid=2297517 echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c echo "Unzipping XMDEClientAnalyzerBinary.zip" unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary echo "Unzipping SupportToolLinuxBinary.zip" unzip -q /tmp/XMDEClientAnalyzerBinary/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
Script d’installation de l’analyseur client Python
Le script suivant effectue les six premières étapes de l’exécution de la version Python de l’analyseur client. Lorsque vous avez terminé, les scripts Python de l’analyseur de client XMDE sont disponibles à partir du /tmp/XMDEClientAnalyzer répertoire .
Créez un fichier
InstallXMDEClientAnalyzer.shbash et collez-y le contenu suivant.#! /usr/bin/bash echo "Starting Client Analyzer Install Script. Running As:" whoami echo "Getting XMDEClientAnalyzer.zip" wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c echo "Unzipping XMDEClientAnalyzer.zip" unzip -q XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer echo "Setting execute permissions on mde_support_tool.sh script" cd /tmp/XMDEClientAnalyzer chmod a+x mde_support_tool.sh echo "Performing final support tool setup" ./mde_support_tool.sh
Exécution des scripts d’installation de l’analyseur client
Lancez une session de réponse dynamique sur l’ordinateur que vous devez examiner.
Sélectionnez Charger le fichier dans la bibliothèque.
Sélectionnez Choisir un fichier.
Sélectionnez le fichier téléchargé nommé
InstallXMDEClientAnalyzer.sh, puis sélectionnez Confirmer.Toujours dans la session LiveResponse, utilisez les commandes suivantes pour installer l’analyseur :
run InstallXMDEClientAnalyzer.sh
Exécution de l’analyseur client XMDE
Live Response ne prend pas en charge l’exécution directe de l’analyseur client XMDE ou de Python. Un script d’exécution est donc nécessaire.
Importante
Les scripts suivants supposent que l’analyseur client XMDE a été installé à l’aide des mêmes emplacements que les scripts mentionnés précédemment. Si votre organization a choisi d’installer les scripts dans un autre emplacement, les scripts suivants doivent être mis à jour pour s’aligner sur l’emplacement d’installation choisi par votre organization.
Script d’exécution de l’analyseur de client binaire
Binary Client Analyzer accepte les paramètres de ligne de commande pour effectuer différents tests d’analyse. Pour fournir des fonctionnalités similaires pendant la réponse en direct, le script d’exécution tire parti de la $@ variable bash pour passer tous les paramètres d’entrée fournis au script à l’analyseur client XMDE.
Créez un fichier
MDESupportTool.shbash et collez-y le contenu suivant.#! /usr/bin/bash echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer" cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer echo "Running MDESupportTool" ./MDESupportTool $@
Script d’exécution de l’analyseur client Python
L’analyseur client Python accepte les paramètres de ligne de commande pour effectuer différents tests d’analyse. Pour fournir des fonctionnalités similaires pendant la réponse en direct, le script d’exécution tire parti de la $@ variable bash pour passer tous les paramètres d’entrée fournis au script à l’analyseur client XMDE.
Créez un fichier
MDESupportTool.shbash et collez-y le contenu suivant.#! /usr/bin/bash echo "cd /tmp/XMDEClientAnalyzer" cd /tmp/XMDEClientAnalyzer echo "Running mde_support_tool" ./mde_support_tool.sh $@
Exécution du script de l’analyseur client
Remarque
Si vous avez une session Live Response active, vous pouvez ignorer l’étape 1.
Lancez une session de réponse dynamique sur l’ordinateur que vous devez examiner.
Sélectionnez Charger le fichier dans la bibliothèque.
Sélectionnez Choisir un fichier.
Sélectionnez le fichier téléchargé nommé
MDESupportTool.sh, puis sélectionnez Confirmer.Toujours dans la session Live Response, utilisez les commandes suivantes pour exécuter l’analyseur et collecter le fichier résultant.
run MDESupportTool.sh -parameters "--bypass-disclaimer -d" GetFile "/tmp/your_archive_file_name_here.zip"
Voir aussi
- Vue d’ensemble de l’analyseur client
- Télécharger et exécuter l’analyseur client
- Exécuter l’analyseur client sur Windows
- Exécuter l’analyseur client sur macOS ou Linux
- Collecte de données pour la résolution avancée des problèmes sur Windows
- Comprendre le de rapport HTML de l’analyseur
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.