פתרון בעיות של אירועים חסרים או התראות Microsoft Defender עבור נקודת קצה ב- Linux
חל על:
- בעיות בביצועי Microsoft Defender עבור נקודת קצה ב- Linux
- Microsoft Defender עבור תוכנית 1 של נקודת קצה
- Microsoft Defender עבור תוכנית 2 של נקודת קצה
מאמר זה מספק כמה שלבים כלליים להפחתת אירועים חסרים או התראות Microsoft Defender הפורטל.
לאחר Microsoft Defender עבור נקודת קצה ההתקנה התקינות במכשיר, יפיק דף מכשיר בפורטל. באפשרותך לסקור את כל האירועים המוקלטים בכרטיסיה ציר זמן בדף המכשיר, או בדף ציד מתקדם. סעיף זה פותר בעיות במקרה של חלק מהאירועים הצפויים או כולם חסרים. לדוגמה, אם כל האירועים CreatedFile חסרים.
אירועי רשת והתחברות חסרים
Microsoft Defender עבור נקודת קצה מ- audit
Linux כדי לעקוב אחר פעילות רשת והתחברות.
ודא שמסגרת הביקורת פועלת.
service auditd status
הפלט הצפוי:
● auditd.service - Security Auditing Service Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled) Active: active (running) since Mon 2020-12-21 10:48:02 IST; 2 weeks 0 days ago Docs: man:auditd(8) https://github.com/linux-audit/audit-documentation Process: 16689 ExecStartPost=/sbin/augenrules --load (code=exited, status=1/FAILURE) Process: 16665 ExecStart=/sbin/auditd (code=exited, status=0/SUCCESS) Main PID: 16666 (auditd) Tasks: 25 CGroup: /system.slice/auditd.service ├─16666 /sbin/auditd ├─16668 /sbin/audispd ├─16670 /usr/sbin/sedispatch └─16671 /opt/microsoft/mdatp/sbin/mdatp_audisp_plugin -d
אם
auditd
האפשרות מסומנת כ'הופסקה', הפעל אותה.service auditd start
במערכות SLES , ייתכן שביקורת auditd
SYSCALL ב- אינה זמינה כברירת מחדל וייתכן שיש אירועים חסרים.
כדי לוודא שביקורת SYSCALL אינה זמינה, רשימת כללי הביקורת הנוכחיים:
sudo auditctl -l
אם השורה הבאה קיימת, הסר אותה או ערוך אותה כדי לאפשר ל- Microsoft Defender עבור נקודת קצה לעקוב אחר SYSCALLs ספציפיים.
-a task, never
כללי ביקורת ממוקמים ב-
/etc/audit/rules.d/audit.rules
.
אירועי קובץ חסרים
אירועי קבצים נאספים באמצעות fanotify
מסגרת. במקרה שחלק מאירועי הקובץ או כולם חסרים fanotify
, ודא שהמכשיר זמין ושמערכת הקבצים נתמכת.
רשימת מערכות הקבצים במחשב עם:
df -Th
עצה
האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.