次の方法で共有

Linux 上のMicrosoft Defender for Endpointに関するイベントまたはアラートの不足に関する問題のトラブルシューティング

  • [アーティクル]

適用対象:

この記事では、Microsoft Defender ポータルで見つからないイベントやアラートを軽減するための一般的な手順について説明します。

Microsoft Defender for Endpointがデバイスに正しくインストールされると、ポータルにデバイス ページが生成されます。 記録されたすべてのイベントは、デバイス ページの [タイムライン] タブまたは高度なハンティング ページで確認できます。 このセクションでは、一部またはすべての予期されるイベントが見つからない場合のトラブルシューティングを行います。 たとえば、 CreatedFile イベントがすべて見つからない場合です。

ネットワーク イベントとログイン イベントが見つからない

Microsoft Defender for Endpointネットワークとログイン アクティビティを追跡するために linux からフレームワークを利用auditします。

  1. 監査フレームワークが機能していることを確認します。

    service auditd status

    予期される出力:

    ● auditd.service - Security Auditing Service
Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled)
Active: active (running) since Mon 2020-12-21 10:48:02 IST; 2 weeks 0 days ago
    Docs: man:auditd(8)
        https://github.com/linux-audit/audit-documentation
Process: 16689 ExecStartPost=/sbin/augenrules --load (code=exited, status=1/FAILURE)
Process: 16665 ExecStart=/sbin/auditd (code=exited, status=0/SUCCESS)
Main PID: 16666 (auditd)
    Tasks: 25
CGroup: /system.slice/auditd.service
        ├─16666 /sbin/auditd
        ├─16668 /sbin/audispd
        ├─16670 /usr/sbin/sedispatch
        └─16671 /opt/microsoft/mdatp/sbin/mdatp_audisp_plugin -d

  2. が停止済みとしてマークされている場合 auditd は、開始します。

    service auditd start

SLES システムでは 、 の auditd SYSCALL 監査が既定で無効になっている可能性があり、欠落しているイベントを考慮できます。

  1. SYSCALL 監査が無効ではないことを検証するには、現在の監査規則を一覧表示します。

    sudo auditctl -l

    次の行が存在する場合は、削除するか、または編集して、Microsoft Defender for Endpointが特定の SYSCAL を追跡できるようにします。

    -a task, never

    監査規則は にあります /etc/audit/rules.d/audit.rules

ファイル イベントがありません

ファイル イベントはフレームワークで fanotify 収集されます。 一部またはすべてのファイル イベントが見つからない場合は、デバイスで有効になっており、ファイル システムがサポートされていることを確認してくださいfanotify

マシン上のファイルシステムを次の方法で一覧表示します。

df -Th

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。