Megosztás a következőn keresztül:


A linuxos Végponthoz készült Microsoft Defender hiányzó eseményeivel vagy riasztásaival kapcsolatos problémák elhárítása

Érintett szolgáltatás:

Ez a cikk néhány általános lépést tartalmaz a hiányzó események vagy riasztások elhárításához a Microsoft Defender portálon.

Miután Végponthoz készült Microsoft Defender megfelelően telepítette az eszközt, létrejön egy eszközoldal a portálon. Az összes rögzített eseményt áttekintheti az eszközoldal idővonal lapján vagy a speciális veszélyforrás-keresés oldalon. Ez a szakasz néhány vagy az összes várt esemény hiányával kapcsolatos hibákat hárítja el. Ha például az összes CreatedFile esemény hiányzik.

Hiányzó hálózati és bejelentkezési események

Végponthoz készült Microsoft Defender a linuxos keretrendszert audit használja a hálózati és bejelentkezési tevékenységek nyomon követéséhez.

  1. Győződjön meg arról, hogy a naplózási keretrendszer működik.

    service auditd status
    

    várt kimenet:

    ● auditd.service - Security Auditing Service
    Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled)
    Active: active (running) since Mon 2020-12-21 10:48:02 IST; 2 weeks 0 days ago
        Docs: man:auditd(8)
            https://github.com/linux-audit/audit-documentation
    Process: 16689 ExecStartPost=/sbin/augenrules --load (code=exited, status=1/FAILURE)
    Process: 16665 ExecStart=/sbin/auditd (code=exited, status=0/SUCCESS)
    Main PID: 16666 (auditd)
        Tasks: 25
    CGroup: /system.slice/auditd.service
            ├─16666 /sbin/auditd
            ├─16668 /sbin/audispd
            ├─16670 /usr/sbin/sedispatch
            └─16671 /opt/microsoft/mdatp/sbin/mdatp_audisp_plugin -d
    
  2. Ha auditd a rendszer leállítottként van megjelölve, indítsa el.

    service auditd start
    

Az SLES-rendszereken a SYSCALL naplózása auditd alapértelmezés szerint le van tiltva, és figyelembe lehet venni a hiányzó eseményeket.

  1. Annak ellenőrzéséhez, hogy a SYSCALL naplózása nincs-e letiltva, sorolja fel az aktuális naplózási szabályokat:

    sudo auditctl -l
    

    ha a következő sor található, távolítsa el vagy szerkessze, hogy Végponthoz készült Microsoft Defender nyomon követhesse az adott SYSCALL-eket.

    -a task, never
    

    A naplózási szabályok a következő helyen találhatók: /etc/audit/rules.d/audit.rules.

Hiányzó fájlesemények

A rendszer keretrendszerrel fanotify gyűjti a fájleseményeket. Ha néhány vagy az összes fájlesemény hiányzik, győződjön meg arról fanotify , hogy engedélyezve van az eszközön, és hogy a fájlrendszer támogatott.

Sorolja fel a számítógépen található fájlrendszereket a következőkkel:

df -Th

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.