Risolvere i problemi di avvisi o eventi mancanti per Microsoft Defender per endpoint in Linux

Questo articolo fornisce alcuni passaggi generali per attenuare gli eventi o gli avvisi mancanti nel portale di Microsoft Defender.

Dopo aver installato correttamente Microsoft Defender per endpoint in un dispositivo, verrà generata una pagina del dispositivo nel portale. È possibile esaminare tutti gli eventi registrati nella scheda sequenza temporale nella pagina del dispositivo o nella pagina di ricerca avanzata. Questa sezione risolve il caso di alcuni o tutti gli eventi previsti mancanti. Ad esempio, se mancano tutti gli eventi CreatedFile .

Eventi di rete e di accesso mancanti

Microsoft Defender per endpoint framework usato audit da Linux per tenere traccia dell'attività di rete e di accesso.

1. Assicurarsi che il framework di controllo funzioni.

   service auditd status
   

   output previsto:

   ● auditd.service - Security Auditing Service
   Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled)
   Active: active (running) since Mon 2020-12-21 10:48:02 IST; 2 weeks 0 days ago
       Docs: man:auditd(8)
           https://github.com/linux-audit/audit-documentation
   Process: 16689 ExecStartPost=/sbin/augenrules --load (code=exited, status=1/FAILURE)
   Process: 16665 ExecStart=/sbin/auditd (code=exited, status=0/SUCCESS)
   Main PID: 16666 (auditd)
       Tasks: 25
   CGroup: /system.slice/auditd.service
           ├─16666 /sbin/auditd
           ├─16668 /sbin/audispd
           ├─16670 /usr/sbin/sedispatch
           └─16671 /opt/microsoft/mdatp/sbin/mdatp_audisp_plugin -d
   

2. Se auditd è contrassegnato come arrestato, avviarlo.

   service auditd start
   

Nei sistemi SLES , il controllo SYSCALL in auditd potrebbe essere disabilitato per impostazione predefinita e può essere considerato per gli eventi mancanti.

1. Per verificare che il controllo SYSCALL non sia disabilitato, elencare le regole di controllo correnti:

   sudo auditctl -l
   

   se è presente la riga seguente, rimuoverla o modificarla per consentire a Microsoft Defender per endpoint di tenere traccia di syscalls specifici.

   -a task, never
   

   Le regole di controllo si trovano in /etc/audit/rules.d/audit.rules.

Eventi file mancanti

Gli eventi file vengono raccolti con il fanotify framework. Nel caso in cui alcuni o tutti gli eventi file siano mancanti, assicurarsi che fanotify sia abilitato nel dispositivo e che il file system sia supportato.

Elencare i file system nel computer con:

df -Th

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.