Sdílet prostřednictvím


Řešení potíží s chybějícími událostmi nebo upozorněními pro Microsoft Defender for Endpoint v Linuxu

Tento článek obsahuje několik obecných kroků ke zmírnění chybějících událostí nebo upozornění na portálu Microsoft Defender.

Po správné instalaci Microsoft Defender for Endpoint na zařízení se na portálu vygeneruje stránka zařízení. Všechny zaznamenané události můžete zkontrolovat na kartě časová osa na stránce zařízení nebo na stránce rozšířeného proaktivního vyhledávání. Tato část řeší případy, kdy chybí některé nebo všechny očekávané události. Pokud například chybí všechny události CreatedFile .

Chybějící události sítě a přihlášení

Microsoft Defender for Endpoint ke sledování síťových a přihlašovacích aktivit využívá architekturu audit z Linuxu.

  1. Ujistěte se, že architektura auditu funguje.

    service auditd status
    

    očekávaný výstup:

    ● auditd.service - Security Auditing Service
    Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled)
    Active: active (running) since Mon 2020-12-21 10:48:02 IST; 2 weeks 0 days ago
        Docs: man:auditd(8)
            https://github.com/linux-audit/audit-documentation
    Process: 16689 ExecStartPost=/sbin/augenrules --load (code=exited, status=1/FAILURE)
    Process: 16665 ExecStart=/sbin/auditd (code=exited, status=0/SUCCESS)
    Main PID: 16666 (auditd)
        Tasks: 25
    CGroup: /system.slice/auditd.service
            ├─16666 /sbin/auditd
            ├─16668 /sbin/audispd
            ├─16670 /usr/sbin/sedispatch
            └─16671 /opt/microsoft/mdatp/sbin/mdatp_audisp_plugin -d
    
  2. Pokud auditd je označená jako zastavená, spusťte ji.

    service auditd start
    

V systémech SLES může být auditování SYSCALL ve auditd výchozím nastavení zakázané a může se počítat s chybějícími událostmi.

  1. Pokud chcete ověřit, že auditování syscall není zakázané, vypište aktuální pravidla auditu:

    sudo auditctl -l
    

    Pokud je k dispozici následující řádek, odeberte ho nebo ho upravte, aby bylo možné Microsoft Defender for Endpoint sledovat konkrétní syscally.

    -a task, never
    

    pravidla auditu se nacházejí na adrese /etc/audit/rules.d/audit.rules.

Chybějící události souboru

Události souborů se shromažďují pomocí fanotify rozhraní. Pokud chybí některé nebo všechny události souborů, ujistěte se fanotify , že je na zařízení povolená a že je systém souborů podporovaný.

Vypište systémy souborů na počítači pomocí:

df -Th

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.