Foretag fejlfinding af manglende hændelser eller beskeder om problemer med Microsoft Defender for Endpoint på Linux

Gælder for:

Denne artikel indeholder nogle generelle trin til at afhjælpe manglende hændelser eller beskeder på Microsoft 365 Defender-portalen.

Når Microsoft Defender for Endpoint er installeret korrekt på en enhed, oprettes der en enhedsside på portalen. Du kan gennemse alle registrerede begivenheder på tidslinjefanen på enhedssiden eller på siden avanceret jagt. I dette afsnit foretages fejlfinding af nogle af eller alle forventede hændelser, der mangler. Hvis alle CreatedFile-hændelser f.eks. mangler.

Manglende netværks- og logonhændelser

Microsoft Defender for Endpoint udnyttede audit rammer fra Linux til at spore netværks- og logonaktivitet.

  1. Sørg for, at overvågningsstrukturen fungerer.

    service auditd status
    

    forventet output:

    ● auditd.service - Security Auditing Service
    Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled)
    Active: active (running) since Mon 2020-12-21 10:48:02 IST; 2 weeks 0 days ago
        Docs: man:auditd(8)
            https://github.com/linux-audit/audit-documentation
    Process: 16689 ExecStartPost=/sbin/augenrules --load (code=exited, status=1/FAILURE)
    Process: 16665 ExecStart=/sbin/auditd (code=exited, status=0/SUCCESS)
    Main PID: 16666 (auditd)
        Tasks: 25
    CGroup: /system.slice/auditd.service
            ├─16666 /sbin/auditd
            ├─16668 /sbin/audispd
            ├─16670 /usr/sbin/sedispatch
            └─16671 /opt/microsoft/mdatp/sbin/mdatp_audisp_plugin -d
    
  2. Hvis auditd er markeret som stoppet, skal du starte den.

    service auditd start
    

I SLES-systemer er SYSCALL-overvågning muligvis auditd deaktiveret som standard og kan tage højde for manglende hændelser.

  1. Hvis du vil kontrollere, at SYSCALL-overvågning ikke er deaktiveret, skal du angive de aktuelle overvågningsregler:

    sudo auditctl -l
    

    Hvis følgende linje findes, skal du fjerne den eller redigere den for at gøre det muligt for Microsoft Defender for Endpoint at spore bestemte SYSCALLs.

    -a task, never
    

    revisionsregler er placeret på /etc/audit/rules.d/audit.rules.

Manglende filhændelser

Filhændelser indsamles med fanotify framework. Hvis nogle eller alle filhændelser mangler, skal du kontrollere, at fanotify er aktiveret på enheden, og at filsystemet understøttes.

Vis filsystemerne på computeren med:

df -Th