Delen via

Problemen met ontbrekende gebeurtenissen of waarschuwingen voor Microsoft Defender voor Eindpunt in Linux oplossen

  • Artikel

Van toepassing op:

Dit artikel bevat enkele algemene stappen om ontbrekende gebeurtenissen of waarschuwingen in de Microsoft Defender portal te beperken.

Zodra Microsoft Defender voor Eindpunt correct op een apparaat is geïnstalleerd, wordt er een apparaatpagina gegenereerd in de portal. U kunt alle opgenomen gebeurtenissen bekijken op het tabblad Tijdlijn op de apparaatpagina of op de geavanceerde opsporingspagina. In deze sectie worden problemen met het geval van sommige of alle verwachte gebeurtenissen opgelost. Bijvoorbeeld als alle CreatedFile-gebeurtenissen ontbreken.

Ontbrekende netwerk- en aanmeldingsevenementen

Microsoft Defender voor Eindpunt framework van Linux gebruikt audit om netwerk- en aanmeldingsactiviteiten bij te houden.

  1. Zorg ervoor dat het auditframework werkt.

    service auditd status

    verwachte uitvoer:

    ● auditd.service - Security Auditing Service
Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled)
Active: active (running) since Mon 2020-12-21 10:48:02 IST; 2 weeks 0 days ago
    Docs: man:auditd(8)
        https://github.com/linux-audit/audit-documentation
Process: 16689 ExecStartPost=/sbin/augenrules --load (code=exited, status=1/FAILURE)
Process: 16665 ExecStart=/sbin/auditd (code=exited, status=0/SUCCESS)
Main PID: 16666 (auditd)
    Tasks: 25
CGroup: /system.slice/auditd.service
        ├─16666 /sbin/auditd
        ├─16668 /sbin/audispd
        ├─16670 /usr/sbin/sedispatch
        └─16671 /opt/microsoft/mdatp/sbin/mdatp_audisp_plugin -d

  2. Als auditd is gemarkeerd als gestopt, start u deze.

    service auditd start

Op SLES-systemen is SYSCALL-controle in auditd mogelijk standaard uitgeschakeld en kan dit worden verwerkt voor ontbrekende gebeurtenissen.

  1. Als u wilt controleren of SYSCALL-controle niet is uitgeschakeld, geeft u de huidige controleregels weer:

    sudo auditctl -l

    als de volgende regel aanwezig is, verwijdert u deze of bewerkt u deze zodat Microsoft Defender voor Eindpunt specifieke SYSCALLs kunt bijhouden.

    -a task, never

    controleregels bevinden zich op /etc/audit/rules.d/audit.rules.

Ontbrekende bestandsevenementen

Bestandsevenementen worden verzameld met fanotify framework. Als sommige of alle bestandsevenementen ontbreken, controleert u of fanotify deze is ingeschakeld op het apparaat en of het bestandssysteem wordt ondersteund.

Geef de bestandssystemen op de computer weer met:

df -Th

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.