Feilsøke problemer med manglende hendelser eller varsler for Microsoft Defender for endepunkt på Linux

Gjelder for:

Denne artikkelen inneholder noen generelle trinn for å redusere manglende hendelser eller varsler i Microsoft 365 Defender-portalen.

Når Microsoft Defender for endepunkt er installert riktig på en enhet, genereres en enhetsside i portalen. Du kan se gjennom alle innspilte hendelser i tidslinjefanen på enhetssiden eller på siden for avansert jakt. Denne delen feilsøker tilfeller der noen eller alle forventede hendelser mangler. Hvis for eksempel alle CreatedFile-hendelser mangler.

Manglende nettverks- og påloggingshendelser

Microsoft Defender for endepunkt benyttet audit rammeverk fra linux for å spore nettverks- og påloggingsaktivitet.

  1. Kontroller at revisjonsrammeverket fungerer.

    service auditd status
    

    forventet utdata:

    ● auditd.service - Security Auditing Service
    Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled)
    Active: active (running) since Mon 2020-12-21 10:48:02 IST; 2 weeks 0 days ago
        Docs: man:auditd(8)
            https://github.com/linux-audit/audit-documentation
    Process: 16689 ExecStartPost=/sbin/augenrules --load (code=exited, status=1/FAILURE)
    Process: 16665 ExecStart=/sbin/auditd (code=exited, status=0/SUCCESS)
    Main PID: 16666 (auditd)
        Tasks: 25
    CGroup: /system.slice/auditd.service
            ├─16666 /sbin/auditd
            ├─16668 /sbin/audispd
            ├─16670 /usr/sbin/sedispatch
            └─16671 /opt/microsoft/mdatp/sbin/mdatp_audisp_plugin -d
    
  2. Hvis auditd det er merket som stoppet, starter du det.

    service auditd start
    

På SLES-systemer kan SYSCALL-overvåking i auditd være deaktivert som standard og kan gjøres rede for manglende hendelser.

  1. Hvis du vil validere at SYSCALL-overvåking ikke er deaktivert, må du føre opp gjeldende overvåkingsregler:

    sudo auditctl -l
    

    hvis følgende linje finnes, fjerner du den eller redigerer den for å aktivere Microsoft Defender for endepunkt til å spore bestemte SYSCALLs.

    -a task, never
    

    overvåkingsregler er plassert på /etc/audit/rules.d/audit.rules.

Manglende filhendelser

Filhendelser samles inn med fanotify rammeverk. Hvis noen eller alle filhendelser mangler, må du kontrollere at fanotify det er aktivert på enheten og at filsystemet støttes.

Før opp filsystemene på maskinen med:

df -Th