A linuxos Végponthoz készült Microsoft Defender hiányzó eseményeivel vagy riasztásaival kapcsolatos problémák elhárítása

Érintett szolgáltatás:

• Végponthoz készült Microsoft Defender Linuxon
• Végponthoz készült Microsoft Defender 1. csomag
• Végponthoz készült Microsoft Defender 2. csomag

Ez a cikk néhány általános lépést tartalmaz a hiányzó események vagy riasztások elhárításához a Microsoft Defender portálon.

Miután Végponthoz készült Microsoft Defender megfelelően telepítette az eszközt, létrejön egy eszközoldal a portálon. Az összes rögzített eseményt áttekintheti az eszközoldal idővonal lapján vagy a speciális veszélyforrás-keresés oldalon. Ez a szakasz néhány vagy az összes várt esemény hiányával kapcsolatos hibákat hárítja el. Ha például az összes CreatedFile esemény hiányzik.

Hiányzó hálózati és bejelentkezési események

Végponthoz készült Microsoft Defender a linuxos keretrendszert audit használja a hálózati és bejelentkezési tevékenységek nyomon követéséhez.

1. Győződjön meg arról, hogy a naplózási keretrendszer működik.

   service auditd status
   

   várt kimenet:

   ● auditd.service - Security Auditing Service
   Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled)
   Active: active (running) since Mon 2020-12-21 10:48:02 IST; 2 weeks 0 days ago
       Docs: man:auditd(8)
           https://github.com/linux-audit/audit-documentation
   Process: 16689 ExecStartPost=/sbin/augenrules --load (code=exited, status=1/FAILURE)
   Process: 16665 ExecStart=/sbin/auditd (code=exited, status=0/SUCCESS)
   Main PID: 16666 (auditd)
       Tasks: 25
   CGroup: /system.slice/auditd.service
           ├─16666 /sbin/auditd
           ├─16668 /sbin/audispd
           ├─16670 /usr/sbin/sedispatch
           └─16671 /opt/microsoft/mdatp/sbin/mdatp_audisp_plugin -d
   

2. Ha auditd a rendszer leállítottként van megjelölve, indítsa el.

   service auditd start
   

Az SLES-rendszereken a SYSCALL naplózása auditd alapértelmezés szerint le van tiltva, és figyelembe lehet venni a hiányzó eseményeket.

1. Annak ellenőrzéséhez, hogy a SYSCALL naplózása nincs-e letiltva, sorolja fel az aktuális naplózási szabályokat:

   sudo auditctl -l
   

   ha a következő sor található, távolítsa el vagy szerkessze, hogy Végponthoz készült Microsoft Defender nyomon követhesse az adott SYSCALL-eket.

   -a task, never
   

   A naplózási szabályok a következő helyen találhatók: /etc/audit/rules.d/audit.rules.

Hiányzó fájlesemények

A rendszer keretrendszerrel fanotify gyűjti a fájleseményeket. Ha néhány vagy az összes fájlesemény hiányzik, győződjön meg arról fanotify , hogy engedélyezve van az eszközön, és hogy a fájlrendszer támogatott.

Sorolja fel a számítógépen található fájlrendszereket a következőkkel:

df -Th

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.