مشاركة عبر

استكشاف مشكلات الأحداث أو التنبيهات المفقودة Microsoft Defender لنقطة النهاية على Linux وإصلاحها

  • ينطبق على: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

توفر هذه المقالة بعض الخطوات العامة للتخفيف من الأحداث أو التنبيهات المفقودة في مدخل Microsoft Defender.

بمجرد تثبيت Microsoft Defender لنقطة النهاية بشكل صحيح على جهاز، سيتم إنشاء صفحة جهاز في المدخل. يمكنك مراجعة جميع الأحداث المسجلة في علامة تبويب المخطط الزمني في صفحة الجهاز، أو في صفحة التتبع المتقدمة. يستكشف هذا القسم حالة بعض الأحداث المتوقعة أو جميعها مفقودة. على سبيل المثال، إذا كانت جميع أحداث CreatedFile مفقودة.

أحداث الشبكة وتسجيل الدخول المفقودة

Microsoft Defender لنقطة النهاية إطار العمل المستخدم audit من linux لتتبع نشاط الشبكة وتسجيل الدخول.

  1. تأكد من عمل إطار عمل التدقيق.

    service auditd status

    الإخراج المتوقع:

    ● auditd.service - Security Auditing Service
Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled)
Active: active (running) since Mon 2020-12-21 10:48:02 IST; 2 weeks 0 days ago
    Docs: man:auditd(8)
        https://github.com/linux-audit/audit-documentation
Process: 16689 ExecStartPost=/sbin/augenrules --load (code=exited, status=1/FAILURE)
Process: 16665 ExecStart=/sbin/auditd (code=exited, status=0/SUCCESS)
Main PID: 16666 (auditd)
    Tasks: 25
CGroup: /system.slice/auditd.service
        ├─16666 /sbin/auditd
        ├─16668 /sbin/audispd
        ├─16670 /usr/sbin/sedispatch
        └─16671 /opt/microsoft/mdatp/sbin/mdatp_audisp_plugin -d

  2. إذا auditd تم وضع علامة على أنه متوقف، فابدأ تشغيله.

    service auditd start

في أنظمة SLES ، قد يتم تعطيل تدقيق SYSCALL في auditd بشكل افتراضي ويمكن حساب الأحداث المفقودة.

  1. للتحقق من أن تدقيق SYSCALL غير معطل، قم بإدراج قواعد التدقيق الحالية:

    sudo auditctl -l

    إذا كان السطر التالي موجودا، فقم بإزالته أو تحريره لتمكين Microsoft Defender لنقطة النهاية من تعقب SYSCALLs معينة.

    -a task, never

    توجد قواعد التدقيق في /etc/audit/rules.d/audit.rules.

أحداث الملفات المفقودة

يتم تجميع أحداث الملفات مع fanotify إطار العمل. في حالة فقدان بعض أحداث الملفات أو كلها، تأكد من fanotify تمكينها على الجهاز ومن دعم نظام الملفات.

سرد أنظمة الملفات على الجهاز باستخدام:

df -Th
  • Last updated on