Del via

Feilsøke problemer med manglende hendelser eller varsler for Microsoft Defender for endepunkt på Linux

  • Gjelder for: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Denne artikkelen inneholder noen generelle trinn for å redusere manglende hendelser eller varsler i Microsoft Defender-portalen.

Når Microsoft Defender for endepunkt er installert riktig på en enhet, genereres en enhetsside i portalen. Du kan se gjennom alle innspilte hendelser i tidslinjefanen på enhetssiden eller på siden for avansert jakt. Denne delen feilsøker tilfeller der noen eller alle forventede hendelser mangler. Hvis for eksempel alle CreatedFile-hendelser mangler.

Manglende nettverks- og påloggingshendelser

Microsoft Defender for endepunkt benyttet audit rammeverk fra linux for å spore nettverks- og påloggingsaktivitet.

  1. Kontroller at revisjonsrammeverket fungerer.

    service auditd status

    forventet utdata:

    ● auditd.service - Security Auditing Service
Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled)
Active: active (running) since Mon 2020-12-21 10:48:02 IST; 2 weeks 0 days ago
    Docs: man:auditd(8)
        https://github.com/linux-audit/audit-documentation
Process: 16689 ExecStartPost=/sbin/augenrules --load (code=exited, status=1/FAILURE)
Process: 16665 ExecStart=/sbin/auditd (code=exited, status=0/SUCCESS)
Main PID: 16666 (auditd)
    Tasks: 25
CGroup: /system.slice/auditd.service
        ├─16666 /sbin/auditd
        ├─16668 /sbin/audispd
        ├─16670 /usr/sbin/sedispatch
        └─16671 /opt/microsoft/mdatp/sbin/mdatp_audisp_plugin -d

  2. Hvis auditd det er merket som stoppet, starter du det.

    service auditd start

På SLES-systemer kan SYSCALL-overvåking i auditd være deaktivert som standard og kan gjøres rede for manglende hendelser.

  1. Hvis du vil validere at SYSCALL-overvåking ikke er deaktivert, må du føre opp gjeldende overvåkingsregler:

    sudo auditctl -l

    hvis følgende linje finnes, fjerner du den eller redigerer den for å aktivere Microsoft Defender for endepunkt til å spore bestemte SYSCALLs.

    -a task, never

    overvåkingsregler er plassert på /etc/audit/rules.d/audit.rules.

Manglende filhendelser

Filhendelser samles inn med fanotify rammeverk. Hvis noen eller alle filhendelser mangler, må du kontrollere at fanotify det er aktivert på enheten og at filsystemet støttes.

Før opp filsystemene på maskinen med:

df -Th

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.

  • Last updated on