Recolher registos de suporte no Microsoft Defender para Endpoint com a resposta em direto
Aplica-se a:
Quer experimentar o Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.
Ao contactar o suporte, poderá ser-lhe pedido para fornecer o pacote de saída da ferramenta Microsoft Defender para Endpoint Client Analyzer.
Este artigo fornece instruções sobre como executar a ferramenta através da Resposta Em Direto no Windows e em computadores Linux.
Windows
Transfira e obtenha os scripts necessários disponíveis no subdiretório Ferramentas do Microsoft Defender para Endpoint Client Analyzer.
Por exemplo, para obter os registos básicos do sensor e do estado de funcionamento do dispositivo, obtenha
..\Tools\MDELiveAnalyzer.ps1.- Se precisar de registos adicionais relacionados com Microsoft Defender Antivírus, utilize
..\Tools\MDELiveAnalyzerAV.ps1. - Se precisar de registos relacionados com a Prevenção de Perda de Dados do Ponto Final da Microsoft , utilize
..\Tools\MDELiveAnalyzerDLP.ps1. - Se precisar de registos relacionados com a Plataforma de Filtros do Windows e de rede, utilize
..\Tools\MDELiveAnalyzerNet.ps1. - Se precisar de registos do Monitor de Processos , utilize
..\Tools\MDELiveAnalyzerAppCompat.ps1.
- Se precisar de registos adicionais relacionados com Microsoft Defender Antivírus, utilize
Inicie uma sessão de Resposta em Direto no computador que precisa de investigar.
Selecione Carregar ficheiro para a biblioteca.
Selecione Escolher ficheiro.
Selecione o ficheiro transferido com o nome
MDELiveAnalyzer.ps1e, em seguida, selecione Confirmar.
Repita este passo para o
MDEClientAnalyzerPreview.zipficheiro.Ainda na sessão LiveResponse, utilize os seguintes comandos para executar o analisador e recolher o ficheiro resultante.
Putfile MDEClientAnalyzerPreview.zip Run MDELiveAnalyzer.ps1 GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDECA\MDEClientAnalyzerResult.zip"
Informações adicionais
A versão de pré-visualização mais recente do MDEClientAnalyzer pode ser transferida aqui: https://aka.ms/MDEClientAnalyzerPreview.
Se não conseguir permitir que o computador atinja o URL acima, carregue
MDEClientAnalyzerPreview.zipo ficheiro para a biblioteca antes de executar o script do LiveAnalyzer:PutFile MDEClientAnalyzerPreview.zip -overwrite Run MDELiveAnalyzer.ps1 GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDECA\MDEClientAnalyzerResult.zip"Para obter mais informações sobre como recolher dados localmente num computador, caso o computador não esteja a comunicar com Microsoft Defender para Endpoint serviços cloud ou não apareça no portal Microsoft Defender para Endpoint conforme esperado, veja Verificar a conectividade do cliente ao Microsoft Defender para Endpoint URLs do serviço.
Conforme descrito em Exemplos de comandos de resposta em direto, poderá querer utilizar o
&símbolo no final do comando para recolher registos como uma ação em segundo plano:Run MDELiveAnalyzer.ps1&
Linux
A ferramenta XMDE Client Analyzer pode ser transferida como um pacote binário ou Python que pode ser extraído e executado em computadores Linux. Ambas as versões do Analisador de Cliente XMDE podem ser executadas durante uma sessão de Resposta em Direto.
Pré-requisitos
Para a instalação, o
unzippacote é necessário.Para a execução, o
aclpacote é necessário.
Importante
A Janela utiliza os carateres invisíveis Símbolo de Retorno e Avanço de Linha para representar o fim de uma linha e o início de uma nova linha num ficheiro, mas os sistemas Linux utilizam apenas o caráter invisível Feed de Linhas no final das linhas de ficheiro. Ao utilizar os seguintes scripts, se for feito no Windows, esta diferença pode resultar em erros e falhas dos scripts a executar. Uma solução potencial para isto é utilizar o Subsistema Windows para Linux e o dos2unix pacote para reformatar o script para que se alinhe com o formato Unix e Linux padrão.
Instalar o Analisador de Cliente XMDE
Ambas as versões do Analisador de Cliente XMDE, binário e Python, um pacote autónomo que tem de ser transferido e extraído antes da execução, e pode encontrar o conjunto completo de passos para este processo:
Devido aos comandos limitados disponíveis em Live Response, os passos detalhados têm de ser executados num script de bash e, ao dividir a parte de instalação e execução destes comandos, é possível executar o script de instalação uma vez, enquanto executa o script de execução várias vezes.
Importante
Os scripts de exemplo partem do princípio de que o computador tem acesso direto à Internet e pode obter o Analisador de Cliente XMDE da Microsoft. Se o computador não tiver acesso direto à Internet, os scripts de instalação terão de ser atualizados para obter o Analisador de Cliente XMDE a partir de uma localização à qual os computadores podem aceder com êxito.
Script de Instalação do Analisador de Cliente Binário
O script seguinte executa os primeiros seis passos da versão Binária do Analisador de Cliente em Execução. Quando terminar, o binário do Analisador de Cliente XMDE está disponível no /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer diretório.
Crie um ficheiro
InstallXMDEClientAnalyzer.shbash e cole o seguinte conteúdo no mesmo.#! /usr/bin/bash echo "Starting Client Analyzer Script. Running As:" whoami echo "Getting XMDEClientAnalyzerBinary" wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://go.microsoft.com/fwlink/?linkid=2297517 echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c echo "Unzipping XMDEClientAnalyzerBinary.zip" unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary echo "Unzipping SupportToolLinuxBinary.zip" unzip -q /tmp/XMDEClientAnalyzerBinary/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
Script de Instalação do Analisador de Cliente Python
O script seguinte executa os primeiros seis passos da versão Executar o Python do Client Analyzer. Quando terminar, os scripts python do Analisador de Clientes XMDE estão disponíveis no /tmp/XMDEClientAnalyzer diretório .
Crie um ficheiro
InstallXMDEClientAnalyzer.shbash e cole o seguinte conteúdo no mesmo.#! /usr/bin/bash echo "Starting Client Analyzer Install Script. Running As:" whoami echo "Getting XMDEClientAnalyzer.zip" wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c echo "Unzipping XMDEClientAnalyzer.zip" unzip -q XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer echo "Setting execute permissions on mde_support_tool.sh script" cd /tmp/XMDEClientAnalyzer chmod a+x mde_support_tool.sh echo "Performing final support tool setup" ./mde_support_tool.sh
Executar os Scripts de Instalação do Analisador de Cliente
Inicie uma sessão de Resposta em Direto no computador que precisa de investigar.
Selecione Carregar ficheiro para a biblioteca.
Selecione Escolher ficheiro.
Selecione o ficheiro transferido com o nome
InstallXMDEClientAnalyzer.she, em seguida, selecione Confirmar.Ainda na sessão LiveResponse, utilize os seguintes comandos para instalar o analisador:
run InstallXMDEClientAnalyzer.sh
Executar o Analisador de Cliente XMDE
A Resposta Em Direto não suporta a execução direta do Analisador de Cliente XMDE ou Python, pelo que é necessário um script de execução.
Importante
Os scripts seguintes partem do princípio de que o Analisador de Cliente XMDE foi instalado com as mesmas localizações dos scripts mencionados anteriormente. Se a sua organização tiver optado por instalar os scripts numa localização diferente, os scripts seguintes têm de ser atualizados para se alinharem com a localização de instalação escolhida pela sua organização.
Script de Execução do Analisador de Cliente Binário
O Analisador de Cliente Binário aceita parâmetros de linha de comandos para realizar testes de análise diferentes. Para fornecer capacidades semelhantes durante a Resposta em Direto, o script de execução tira partido da $@ variável bash para transmitir todos os parâmetros de entrada fornecidos ao script para o Analisador de Cliente XMDE.
Crie um ficheiro
MDESupportTool.shbash e cole o seguinte conteúdo no mesmo.#! /usr/bin/bash echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer" cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer echo "Running MDESupportTool" ./MDESupportTool $@
Script de Execução do Analisador de Cliente Python
O Analisador de Cliente Python aceita parâmetros de linha de comandos para realizar testes de análise diferentes. Para fornecer capacidades semelhantes durante a Resposta em Direto, o script de execução tira partido da $@ variável bash para transmitir todos os parâmetros de entrada fornecidos ao script para o Analisador de Cliente XMDE.
Crie um ficheiro
MDESupportTool.shbash e cole o seguinte conteúdo no mesmo.#! /usr/bin/bash echo "cd /tmp/XMDEClientAnalyzer" cd /tmp/XMDEClientAnalyzer echo "Running mde_support_tool" ./mde_support_tool.sh $@
Executar o Script do Analisador de Cliente
Nota
Se tiver uma sessão de Resposta em Direto ativa, pode ignorar o Passo 1.
Inicie uma sessão de Resposta em Direto no computador que precisa de investigar.
Selecione Carregar ficheiro para a biblioteca.
Selecione Escolher ficheiro.
Selecione o ficheiro transferido com o nome
MDESupportTool.she, em seguida, selecione Confirmar.Ainda na sessão Resposta em Direto, utilize os seguintes comandos para executar o analisador e recolher o ficheiro resultante.
run MDESupportTool.sh -parameters "--bypass-disclaimer -d" GetFile "/tmp/your_archive_file_name_here.zip"
Consulte também
- Descrição geral do Client Analyzer
- Transferir e executar o Client Analyzer
- Executar o Client Analyzer no Windows
- Executar o Client Analyzer no macOS ou Linux
- Recolha de dados para resolução de problemas avançados no Windows
- Compreender o relatório HTML do Analyzer
Sugestão
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.