Rozwiązywanie problemów z Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux RHEL6

Dotyczy:

Ważna

Niektóre informacje zawarte w tym artykule odnoszą się do wersji wstępnej produktu, który może zostać znacznie zmodyfikowany do czasu wydania wersji komercyjnej. Firma Microsoft nie udziela żadnych gwarancji, wyrażonych ani dorozumianych, w odniesieniu do informacji podanych tutaj.

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Ten artykuł zawiera wskazówki dotyczące rozwiązywania problemów z Microsoft Defender dla systemu Linux w systemie Red Hat Linux 6 (RHEL 6) lub nowszym.

Po zainstalowaniu pakietu (mdatp_XXX.XX.XX.XX.x86_64.rpm) wykonaj podane akcje, aby sprawdzić, czy instalacja zakończyła się pomyślnie.

Sprawdzanie kondycji usługi

Użyj następującego polecenia, aby sprawdzić kondycję usługi:

mdatp health 

Sprawdź, czy usługa jest uruchomiona

Użyj następującego polecenia, aby sprawdzić, czy usługa jest uruchomiona:

service mdatp status 

Oczekiwane dane wyjściowe: mdatp start/running, process 4517

Weryfikowanie wersji dystrybucji i jądra

Wersje dystrybucji i jądra powinny znajdować się na obsługiwanej liście.

Użyj następującego polecenia, aby uzyskać wersję dystrybucji:

cat /etc/redhat-release (or /etc/system-release) 

Użyj następującego polecenia, aby uzyskać wersję jądra:

uname -r

Sprawdzanie, czy proces mdatp audisp jest uruchomiony

Oczekiwane dane wyjściowe są takie, że proces jest uruchomiony.

Użyj następującego polecenia, aby sprawdzić:

pidof mdatp_audisp_plugin 

Sprawdzanie modułów TALPA

Powinno być załadowanych dziewięć modułów.

Użyj następującego polecenia, aby sprawdzić:

lsmod | grep talpa

Oczekiwane dane wyjściowe: włączone

talpa_pedconnector       878  0 

talpa_pedevice          5189  2 talpa_pedconnector 

talpa_vfshook          32300  1 

talpa_vcdevice          4947  1 

talpa_syscall           9127  0 

talpa_core             90699  4 talpa_vfshook,talpa_vcdevice,talpa_syscall 

talpa_linux            29424  5 talpa_vfshook,talpa_vcdevice,talpa_syscall,talpa_core 

talpa_syscallhookprobe      882  0 

talpa_syscallhook      14987  2 talpa_vfshook,talpa_syscallhookprobe 
lsmod | grep talpa | wc -l 

Oczekiwane dane wyjściowe: 9

Sprawdzanie stanu TALPA

cat /proc/sys/talpa/interceptors/VFSHookInterceptor/status 

Debugowanie plików dziennika (oprócz pakietu "mdatp diagnostic create")

/var/log/audit/audit.log 

/var/log/messages 

semanage fcontext -l > selinux.log 

Wydajność i pamięć

top -p <wdavdaemon pid>      

pmap -x <wdavdaemon pid> 

Gdzie <wdavdaemon pid> można znaleźć za pomocą polecenia pidof wdavdaemon.

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.