Jaa


Linux-Microsoft Defender for Endpoint puuttuvien tapahtumien tai ilmoitusten ongelmien vianmääritys

Tässä artikkelissa on yleisiä ohjeita puuttuvien tapahtumien tai ilmoitusten lieventämiseksi Microsoft Defender portaalissa.

Kun Microsoft Defender for Endpoint on asennettu oikein laitteeseen, portaaliin luodaan laitesivu. Voit tarkastella kaikkia tallennettuja tapahtumia laitteen sivun aikajanavälilehdellä tai kehittyneellä metsästyssivulla. Tämä osio suorittaa vianmäärityksen, jos jotkin tai kaikki odotetut tapahtumat puuttuvat. Jos esimerkiksi kaikki CreatedFile-tapahtumat puuttuvat.

Puuttuvat verkko- ja kirjautumistapahtumat

Microsoft Defender for Endpoint linux-kehystä audit verkon ja kirjautumistoiminnan seuraamiseen.

  1. Varmista, että valvontakehys toimii.

    service auditd status
    

    odotettu tuloste:

    ● auditd.service - Security Auditing Service
    Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled)
    Active: active (running) since Mon 2020-12-21 10:48:02 IST; 2 weeks 0 days ago
        Docs: man:auditd(8)
            https://github.com/linux-audit/audit-documentation
    Process: 16689 ExecStartPost=/sbin/augenrules --load (code=exited, status=1/FAILURE)
    Process: 16665 ExecStart=/sbin/auditd (code=exited, status=0/SUCCESS)
    Main PID: 16666 (auditd)
        Tasks: 25
    CGroup: /system.slice/auditd.service
            ├─16666 /sbin/auditd
            ├─16668 /sbin/audispd
            ├─16670 /usr/sbin/sedispatch
            └─16671 /opt/microsoft/mdatp/sbin/mdatp_audisp_plugin -d
    
  2. Jos auditd on merkitty pysäytettyksi, käynnistä se.

    service auditd start
    

SLES-järjestelmissä SYSCALL-valvonta auditd saatetaan oletusarvoisesti poistaa käytöstä, ja se voidaan ottaa huomioon puuttuvien tapahtumien vuoksi.

  1. Jos haluat varmistaa, että SYSCALL-valvonta ei ole poissa käytöstä, luettele nykyiset valvontasäännöt:

    sudo auditctl -l
    

    jos seuraava rivi on olemassa, poista se tai muokkaa sitä, jotta Microsoft Defender for Endpoint voit seurata tiettyjä SYSCALL-tiedostoja.

    -a task, never
    

    valvontasäännöt sijaitsevat osoitteessa /etc/audit/rules.d/audit.rules.

Puuttuvat tiedostotapahtumat

Tiedostotapahtumat kerätään kehyksen avulla fanotify . Jos joitakin tai kaikkia tiedostotapahtumia puuttuu, varmista, että fanotify laitteessa on käytössä ja että tiedostojärjestelmää tuetaan.

Luettele tietokoneen tiedostojärjestelmät seuraavasti:

df -Th

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.