פתרון בעיות של אירועים חסרים או התראות Microsoft Defender עבור נקודת קצה ב- Linux

חל על:

• בעיות בביצועי Microsoft Defender עבור נקודת קצה ב- Linux
• Microsoft Defender עבור תוכנית 1 של נקודת קצה
• Microsoft Defender עבור תוכנית 2 של נקודת קצה

מאמר זה מספק כמה שלבים כלליים להפחתת אירועים חסרים או התראות Microsoft Defender הפורטל.

לאחר Microsoft Defender עבור נקודת קצה ההתקנה התקינות במכשיר, יפיק דף מכשיר בפורטל. באפשרותך לסקור את כל האירועים המוקלטים בכרטיסיה ציר זמן בדף המכשיר, או בדף ציד מתקדם. סעיף זה פותר בעיות במקרה של חלק מהאירועים הצפויים או כולם חסרים. לדוגמה, אם כל האירועים CreatedFile חסרים.

אירועי רשת והתחברות חסרים

Microsoft Defender עבור נקודת קצה מ- audit Linux כדי לעקוב אחר פעילות רשת והתחברות.

1. ודא שמסגרת הביקורת פועלת.

   service auditd status
   

   הפלט הצפוי:

   ● auditd.service - Security Auditing Service
   Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled)
   Active: active (running) since Mon 2020-12-21 10:48:02 IST; 2 weeks 0 days ago
       Docs: man:auditd(8)
           https://github.com/linux-audit/audit-documentation
   Process: 16689 ExecStartPost=/sbin/augenrules --load (code=exited, status=1/FAILURE)
   Process: 16665 ExecStart=/sbin/auditd (code=exited, status=0/SUCCESS)
   Main PID: 16666 (auditd)
       Tasks: 25
   CGroup: /system.slice/auditd.service
           ├─16666 /sbin/auditd
           ├─16668 /sbin/audispd
           ├─16670 /usr/sbin/sedispatch
           └─16671 /opt/microsoft/mdatp/sbin/mdatp_audisp_plugin -d
   

2. אם auditd האפשרות מסומנת כ'הופסקה', הפעל אותה.

   service auditd start
   

במערכות SLES , ייתכן שביקורת auditd SYSCALL ב- אינה זמינה כברירת מחדל וייתכן שיש אירועים חסרים.

1. כדי לוודא שביקורת SYSCALL אינה זמינה, רשימת כללי הביקורת הנוכחיים:

   sudo auditctl -l
   

   אם השורה הבאה קיימת, הסר אותה או ערוך אותה כדי לאפשר ל- Microsoft Defender עבור נקודת קצה לעקוב אחר SYSCALLs ספציפיים.

   -a task, never
   

   כללי ביקורת ממוקמים ב- /etc/audit/rules.d/audit.rules.

אירועי קובץ חסרים

אירועי קבצים נאספים באמצעות fanotify מסגרת. במקרה שחלק מאירועי הקובץ או כולם חסרים fanotify , ודא שהמכשיר זמין ושמערכת הקבצים נתמכת.

רשימת מערכות הקבצים במחשב עם:

df -Th

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.