Řešení potíží s chybějícími událostmi nebo upozorněními pro Microsoft Defender for Endpoint v Linuxu
Tento článek obsahuje několik obecných kroků ke zmírnění chybějících událostí nebo upozornění na portálu Microsoft Defender.
Po správné instalaci Microsoft Defender for Endpoint na zařízení se na portálu vygeneruje stránka zařízení. Všechny zaznamenané události můžete zkontrolovat na kartě časová osa na stránce zařízení nebo na stránce rozšířeného proaktivního vyhledávání. Tato část řeší případy, kdy chybí některé nebo všechny očekávané události. Pokud například chybí všechny události CreatedFile .
Chybějící události sítě a přihlášení
Microsoft Defender for Endpoint ke sledování síťových a přihlašovacích aktivit využívá architekturu audit
z Linuxu.
Ujistěte se, že architektura auditu funguje.
service auditd status
očekávaný výstup:
● auditd.service - Security Auditing Service Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled) Active: active (running) since Mon 2020-12-21 10:48:02 IST; 2 weeks 0 days ago Docs: man:auditd(8) https://github.com/linux-audit/audit-documentation Process: 16689 ExecStartPost=/sbin/augenrules --load (code=exited, status=1/FAILURE) Process: 16665 ExecStart=/sbin/auditd (code=exited, status=0/SUCCESS) Main PID: 16666 (auditd) Tasks: 25 CGroup: /system.slice/auditd.service ├─16666 /sbin/auditd ├─16668 /sbin/audispd ├─16670 /usr/sbin/sedispatch └─16671 /opt/microsoft/mdatp/sbin/mdatp_audisp_plugin -d
Pokud
auditd
je označená jako zastavená, spusťte ji.service auditd start
V systémech SLES může být auditování SYSCALL ve auditd
výchozím nastavení zakázané a může se počítat s chybějícími událostmi.
Pokud chcete ověřit, že auditování syscall není zakázané, vypište aktuální pravidla auditu:
sudo auditctl -l
Pokud je k dispozici následující řádek, odeberte ho nebo ho upravte, aby bylo možné Microsoft Defender for Endpoint sledovat konkrétní syscally.
-a task, never
pravidla auditu se nacházejí na adrese
/etc/audit/rules.d/audit.rules
.
Chybějící události souboru
Události souborů se shromažďují pomocí fanotify
rozhraní. Pokud chybí některé nebo všechny události souborů, ujistěte se fanotify
, že je na zařízení povolená a že je systém souborů podporovaný.
Vypište systémy souborů na počítači pomocí:
df -Th
Tip
Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.