Feilsøke problemer med manglende hendelser eller varsler for Microsoft Defender for endepunkt på Linux

Gjelder for:

• Microsoft Defender for endepunkt på Linux
• Microsoft Defender for endepunkt plan 1
• Microsoft Defender for endepunkt plan 2

Denne artikkelen inneholder noen generelle trinn for å redusere manglende hendelser eller varsler i Microsoft Defender-portalen.

Når Microsoft Defender for endepunkt er installert riktig på en enhet, genereres en enhetsside i portalen. Du kan se gjennom alle innspilte hendelser i tidslinjefanen på enhetssiden eller på siden for avansert jakt. Denne delen feilsøker tilfeller der noen eller alle forventede hendelser mangler. Hvis for eksempel alle CreatedFile-hendelser mangler.

Manglende nettverks- og påloggingshendelser

Microsoft Defender for endepunkt benyttet audit rammeverk fra linux for å spore nettverks- og påloggingsaktivitet.

1. Kontroller at revisjonsrammeverket fungerer.

   service auditd status
   

   forventet utdata:

   ● auditd.service - Security Auditing Service
   Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled)
   Active: active (running) since Mon 2020-12-21 10:48:02 IST; 2 weeks 0 days ago
       Docs: man:auditd(8)
           https://github.com/linux-audit/audit-documentation
   Process: 16689 ExecStartPost=/sbin/augenrules --load (code=exited, status=1/FAILURE)
   Process: 16665 ExecStart=/sbin/auditd (code=exited, status=0/SUCCESS)
   Main PID: 16666 (auditd)
       Tasks: 25
   CGroup: /system.slice/auditd.service
           ├─16666 /sbin/auditd
           ├─16668 /sbin/audispd
           ├─16670 /usr/sbin/sedispatch
           └─16671 /opt/microsoft/mdatp/sbin/mdatp_audisp_plugin -d
   

2. Hvis auditd det er merket som stoppet, starter du det.

   service auditd start
   

På SLES-systemer kan SYSCALL-overvåking i auditd være deaktivert som standard og kan gjøres rede for manglende hendelser.

1. Hvis du vil validere at SYSCALL-overvåking ikke er deaktivert, må du føre opp gjeldende overvåkingsregler:

   sudo auditctl -l
   

   hvis følgende linje finnes, fjerner du den eller redigerer den for å aktivere Microsoft Defender for endepunkt til å spore bestemte SYSCALLs.

   -a task, never
   

   overvåkingsregler er plassert på /etc/audit/rules.d/audit.rules.

Manglende filhendelser

Filhendelser samles inn med fanotify rammeverk. Hvis noen eller alle filhendelser mangler, må du kontrollere at fanotify det er aktivert på enheten og at filsystemet støttes.

Før opp filsystemene på maskinen med:

df -Th

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.