ライブ応答を使用して Microsoft Defender for Endpoint でサポート ログを収集する

適用対象:

• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

サポートに問い合わせるときに、Microsoft Defender for Endpoint Client Analyzer ツールの出力パッケージの提供を求められる場合があります。

この記事では、Windows および Linux マシンで Live Response を使用してツールを実行する方法について説明します。

Windows

1. Microsoft Defender for Endpoint Client Analyzer の Tools サブディレクトリ内から必要なスクリプトをダウンロードしてフェッチします。

   たとえば、基本的なセンサーとデバイスの正常性ログを取得するには、 をフェッチ ..\Tools\MDELiveAnalyzer.ps1します。

   Microsoft Defender ウイルス対策のサポート ログ (MpSupportFiles.cab) も必要な場合は、 をフェッチ ..\Tools\MDELiveAnalyzerAV.ps1します。

2. 調査する必要があるマシンで ライブ応答セッション を開始します。

3. [ ファイルをライブラリにアップロード] を選択します。

   

4. [ ファイルの選択] を選択します。

   

5. という名前 MDELiveAnalyzer.ps1のダウンロードしたファイルを選択し、[ 確認] を選択します。

   

6. LiveResponse セッションでは引き続き、次のコマンドを使用してアナライザーを実行し、結果のファイルを収集します。

   Run MDELiveAnalyzer.ps1
   GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDEClientAnalyzerResult.zip"
   

   

追加情報

• MDEClientAnalyzer の最新のプレビュー バージョンは、 https://aka.ms/Betamdeanalyzer次の場所からダウンロードできます。

• LiveAnalyzer スクリプトは、宛先マシンのトラブルシューティング パッケージを からダウンロードします https://mdatpclientanalyzer.blob.core.windows.net。

• マシンが上記の URL に到達することを許可できない場合は、LiveAnalyzer スクリプトを実行する前にファイルをライブラリにアップロード MDEClientAnalyzerPreview.zip します。

  PutFile MDEClientAnalyzerPreview.zip -overwrite
  Run MDELiveAnalyzer.ps1
  GetFile "C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\MDEClientAnalyzerResult.zip"
  

• マシンが Microsoft Defender for Endpoint クラウド サービスと通信していない場合や、Microsoft Defender for Endpoint ポータルに想定どおりに表示されない場合に備えて、コンピューターでデータをローカルに収集する方法の詳細については、「 Microsoft Defender for Endpoint サービス URL へのクライアント接続の確認」を参照してください。

• 「ライブ応答コマンドの例」で説明されているように、コマンドの最後にあるシンボルを&使用して、バックグラウンド アクションとしてログを収集できます。

  Run MDELiveAnalyzer.ps1&
  

Linux

XMDE クライアント アナライザー ツールは、Linux マシンで抽出および実行できる バイナリ または Python パッケージとしてダウンロードできます。 XMDE クライアント アナライザーの両方のバージョンは、ライブ応答セッション中に実行できます。

前提条件

• インストールにはパッケージ unzip が必要です。

• 実行するには、 acl パッケージが必要です。

XMDE クライアント アナライザーのインストール

XMDE クライアント アナライザー、バイナリ、Python の両方のバージョン、実行前にダウンロードして抽出する必要がある自己完結型パッケージ、およびこのプロセスの完全な手順のセットを確認できます。

• クライアント アナライザーのバイナリ バージョンの実行

• クライアント アナライザーの Python バージョンの実行

Live Response で使用できるコマンドが限られているため、詳細な手順は bash スクリプトで実行する必要があります。これらのコマンドのインストールと実行部分を分割することで、実行スクリプトを複数回実行しながら、インストール スクリプトを 1 回実行できます。

Binary Client Analyzer のインストール スクリプト

次のスクリプトでは、 クライアント アナライザーのバイナリ バージョンの実行に関する最初の 6 つの手順を実行します。 完了すると、XMDE クライアント アナライザー バイナリをディレクトリから /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer 使用できます。

1. bash ファイル InstallXMDEClientAnalyzer.sh を作成し、次の内容を貼り付けます。

   #! /usr/bin/bash
   
   echo "Starting Client Analyzer Script. Running As:"
   whoami
   
   echo "Getting XMDEClientAnalyzerBinary"
   wget --quiet -O /tmp/XMDEClientAnalyzerBinary.zip https://aka.ms/XMDEClientAnalyzerBinary
   echo '9D0552DBBD1693D2E2ED55F36147019CFECFDC009E76BAC4186CF03CD691B469 /tmp/XMDEClientAnalyzerBinary.zip' | sha256sum -c
   
   echo "Unzipping XMDEClientAnalyzerBinary.zip"
   unzip -q /tmp/XMDEClientAnalyzerBinary.zip -d /tmp/XMDEClientAnalyzerBinary
   
   echo "Unzipping SupportToolLinuxBinary.zip"
   unzip -q /tmp/XMDEClientAnalyzerBinary/SupportToolLinuxBinary.zip -d /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
   
   echo "MDESupportTool installed at /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
   
   

Python クライアント アナライザー のインストール スクリプト

次のスクリプトでは、 Python バージョンの Client Analyzer の実行に関する最初の 6 つの手順を実行します。 完了すると、XMDE Client Analyzer Python スクリプトをディレクトリから /tmp/XMDEClientAnalyzer 使用できます。

1. bash ファイル InstallXMDEClientAnalyzer.sh を作成し、次の内容を貼り付けます。

   #! /usr/bin/bash
   
   echo "Starting Client Analyzer Install Script. Running As:"
   whoami
   
   echo "Getting XMDEClientAnalyzer.zip"
   wget --quiet -O XMDEClientAnalyzer.zip https://aka.ms/XMDEClientAnalyzer 
   echo '36C2B13AE657456119F3DC2A898FD9D354499A33F65015670CE2CD8A937F3C66 XMDEClientAnalyzer.zip' | sha256sum -c  
   
   echo "Unzipping XMDEClientAnalyzer.zip"
   unzip -q XMDEClientAnalyzer.zip -d /tmp/XMDEClientAnalyzer  
   
   echo "Setting execute permissions on mde_support_tool.sh script"
   cd /tmp/XMDEClientAnalyzer 
   chmod a+x mde_support_tool.sh  
   
   echo "Performing final support tool setup"
   ./mde_support_tool.sh
   
   

クライアント アナライザーのインストール スクリプトの実行

1. 調査する必要があるマシンで ライブ応答セッション を開始します。

2. [ ファイルをライブラリにアップロード] を選択します。

3. [ ファイルの選択] を選択します。

4. という名前 InstallXMDEClientAnalyzer.shのダウンロードしたファイルを選択し、[ 確認] を選択します。

5. LiveResponse セッションでは引き続き、次のコマンドを使用してアナライザーをインストールします。

   run InstallXMDEClientAnalyzer.sh
   

XMDE クライアント アナライザーの実行

Live Response では XMDE クライアント アナライザーまたは Python の直接実行はサポートされていないため、実行スクリプトが必要です。

バイナリ クライアント アナライザーの実行スクリプト

バイナリ クライアント アナライザーは、コマンド ライン パラメーターを受け入れて、さまざまな分析テストを実行します。 ライブ応答中に同様の機能を提供するために、実行スクリプトは bash 変数を $@ 利用して、スクリプトに提供されるすべての入力パラメーターを XMDE クライアント アナライザーに渡します。

1. bash ファイル MDESupportTool.sh を作成し、次の内容を貼り付けます。

   #! /usr/bin/bash
   
   echo "cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer"
   cd /tmp/XMDEClientAnalyzerBinary/ClientAnalyzer
   
   echo "Running MDESupportTool"
   ./MDESupportTool $@
   
   

Python クライアント アナライザーの実行スクリプト

Python クライアント アナライザーは、コマンド ライン パラメーターを受け入れて、さまざまな分析テストを実行します。 ライブ応答中に同様の機能を提供するために、実行スクリプトは bash 変数を $@ 利用して、スクリプトに提供されるすべての入力パラメーターを XMDE クライアント アナライザーに渡します。

1. bash ファイル MDESupportTool.sh を作成し、次の内容を貼り付けます。

   #! /usr/bin/bash  
   
   echo "cd /tmp/XMDEClientAnalyzer"
   cd /tmp/XMDEClientAnalyzer 
   
   echo "Running mde_support_tool"
   ./mde_support_tool.sh $@
   
   

クライアント アナライザー スクリプトの実行

1. 調査する必要があるマシンで ライブ応答セッション を開始します。

2. [ ファイルをライブラリにアップロード] を選択します。

3. [ ファイルの選択] を選択します。

4. という名前 MDESupportTool.shのダウンロードしたファイルを選択し、[ 確認] を選択します。

5. ライブ応答セッションでは、次のコマンドを使用してアナライザーを実行し、結果のファイルを収集します。

   run MDESupportTool.sh -parameters "--bypass-disclaimer -d"
   GetFile "/tmp/your_archive_file_name_here.zip"
   

関連項目

• クライアント アナライザーの概要
• クライアント アナライザーのダウンロードと実行
• Windows でのクライアント アナライザーの実行
• macOS または Linux でのクライアント アナライザーの実行
• Windows で高度なトラブルシューティングを行うためのデータ収集
• アナライザー HTML レポートの理解