Linux에서 엔드포인트용 Microsoft Defender 대한 누락된 이벤트 또는 경고 문제 해결
이 문서에서는 Microsoft Defender 포털에서 누락된 이벤트 또는 경고를 완화하는 몇 가지 일반적인 단계를 제공합니다.
엔드포인트용 Microsoft Defender 디바이스에 제대로 설치되면 포털에서 디바이스 페이지가 생성됩니다. 디바이스 페이지의 타임라인 탭 또는 고급 헌팅 페이지에서 기록된 모든 이벤트를 검토할 수 있습니다. 이 섹션에서는 일부 또는 모든 예상 이벤트가 누락된 경우를 해결합니다. instance 경우 모든 CreatedFile 이벤트가 누락된 경우 입니다.
네트워크 및 로그인 이벤트 누락
엔드포인트용 Microsoft Defender linux의 프레임워크를 활용하여 audit
네트워크 및 로그인 활동을 추적합니다.
감사 프레임워크가 작동하는지 확인합니다.
service auditd status
예상 출력:
● auditd.service - Security Auditing Service Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled) Active: active (running) since Mon 2020-12-21 10:48:02 IST; 2 weeks 0 days ago Docs: man:auditd(8) https://github.com/linux-audit/audit-documentation Process: 16689 ExecStartPost=/sbin/augenrules --load (code=exited, status=1/FAILURE) Process: 16665 ExecStart=/sbin/auditd (code=exited, status=0/SUCCESS) Main PID: 16666 (auditd) Tasks: 25 CGroup: /system.slice/auditd.service ├─16666 /sbin/auditd ├─16668 /sbin/audispd ├─16670 /usr/sbin/sedispatch └─16671 /opt/microsoft/mdatp/sbin/mdatp_audisp_plugin -d
가 중지됨으로 표시되면
auditd
시작합니다.service auditd start
SLES 시스템에서 의 SYSCALL 감사 auditd
는 기본적으로 사용하지 않도록 설정될 수 있으며 누락된 이벤트를 고려할 수 있습니다.
SYSCALL 감사를 사용할 수 없는지 확인하려면 현재 감사 규칙을 나열합니다.
sudo auditctl -l
다음 줄이 있으면 제거하거나 편집하여 엔드포인트용 Microsoft Defender 특정 SYSCALL을 추적할 수 있도록 합니다.
-a task, never
감사 규칙은 에
/etc/audit/rules.d/audit.rules
있습니다.
누락된 파일 이벤트
파일 이벤트는 프레임워크를 사용하여 fanotify
수집됩니다. 일부 또는 모든 파일 이벤트가 누락된 경우 디바이스에서 가 사용하도록 설정되어 있고 파일 시스템이 지원되는지 확인 fanotify
합니다.
다음을 사용하여 컴퓨터의 파일 시스템을 나열합니다.
df -Th
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.