Jaa

Linux-Microsoft Defender for Endpoint puuttuvien tapahtumien tai ilmoitusten ongelmien vianmääritys

  • Artikkeli

Koskee seuraavia:

Tässä artikkelissa on yleisiä ohjeita puuttuvien tapahtumien tai ilmoitusten lieventämiseksi Microsoft Defender portaalissa.

Kun Microsoft Defender for Endpoint on asennettu oikein laitteeseen, portaaliin luodaan laitesivu. Voit tarkastella kaikkia tallennettuja tapahtumia laitteen sivun aikajanavälilehdellä tai kehittyneellä metsästyssivulla. Tämä osio suorittaa vianmäärityksen, jos jotkin tai kaikki odotetut tapahtumat puuttuvat. Jos esimerkiksi kaikki CreatedFile-tapahtumat puuttuvat.

Puuttuvat verkko- ja kirjautumistapahtumat

Microsoft Defender for Endpoint linux-kehystä audit verkon ja kirjautumistoiminnan seuraamiseen.

  1. Varmista, että valvontakehys toimii.

    service auditd status

    odotettu tuloste:

    ● auditd.service - Security Auditing Service
Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled)
Active: active (running) since Mon 2020-12-21 10:48:02 IST; 2 weeks 0 days ago
    Docs: man:auditd(8)
        https://github.com/linux-audit/audit-documentation
Process: 16689 ExecStartPost=/sbin/augenrules --load (code=exited, status=1/FAILURE)
Process: 16665 ExecStart=/sbin/auditd (code=exited, status=0/SUCCESS)
Main PID: 16666 (auditd)
    Tasks: 25
CGroup: /system.slice/auditd.service
        ├─16666 /sbin/auditd
        ├─16668 /sbin/audispd
        ├─16670 /usr/sbin/sedispatch
        └─16671 /opt/microsoft/mdatp/sbin/mdatp_audisp_plugin -d

  2. Jos auditd on merkitty pysäytettyksi, käynnistä se.

    service auditd start

SLES-järjestelmissä SYSCALL-valvonta auditd saatetaan oletusarvoisesti poistaa käytöstä, ja se voidaan ottaa huomioon puuttuvien tapahtumien vuoksi.

  1. Jos haluat varmistaa, että SYSCALL-valvonta ei ole poissa käytöstä, luettele nykyiset valvontasäännöt:

    sudo auditctl -l

    jos seuraava rivi on olemassa, poista se tai muokkaa sitä, jotta Microsoft Defender for Endpoint voit seurata tiettyjä SYSCALL-tiedostoja.

    -a task, never

    valvontasäännöt sijaitsevat osoitteessa /etc/audit/rules.d/audit.rules.

Puuttuvat tiedostotapahtumat

Tiedostotapahtumat kerätään kehyksen avulla fanotify . Jos joitakin tai kaikkia tiedostotapahtumia puuttuu, varmista, että fanotify laitteessa on käytössä ja että tiedostojärjestelmää tuetaan.

Luettele tietokoneen tiedostojärjestelmät seuraavasti:

df -Th

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.