Compartilhar via


Resolver problemas de eventos ou alertas em falta para Microsoft Defender para Ponto de Extremidade no Linux

Este artigo fornece alguns passos gerais para mitigar eventos ou alertas em falta no portal do Microsoft Defender.

Assim que Microsoft Defender para Ponto de Extremidade tiver sido instalada corretamente num dispositivo, será gerada uma página do dispositivo no portal. Pode rever todos os eventos registados no separador linha do tempo na página do dispositivo ou na página de investigação avançada. Esta secção resolução de problemas com o caso de alguns ou todos os eventos esperados estarem em falta. Por exemplo, se todos os eventos CreatedFile estiverem em falta.

Eventos de rede e início de sessão em falta

Microsoft Defender para Ponto de Extremidade a arquitetura utilizada audit do Linux para monitorizar a atividade de rede e início de sessão.

  1. Certifique-se de que a arquitetura de auditoria está a funcionar.

    service auditd status
    

    resultado esperado:

    ● auditd.service - Security Auditing Service
    Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled)
    Active: active (running) since Mon 2020-12-21 10:48:02 IST; 2 weeks 0 days ago
        Docs: man:auditd(8)
            https://github.com/linux-audit/audit-documentation
    Process: 16689 ExecStartPost=/sbin/augenrules --load (code=exited, status=1/FAILURE)
    Process: 16665 ExecStart=/sbin/auditd (code=exited, status=0/SUCCESS)
    Main PID: 16666 (auditd)
        Tasks: 25
    CGroup: /system.slice/auditd.service
            ├─16666 /sbin/auditd
            ├─16668 /sbin/audispd
            ├─16670 /usr/sbin/sedispatch
            └─16671 /opt/microsoft/mdatp/sbin/mdatp_audisp_plugin -d
    
  2. Se auditd estiver marcado como parado, inicie-o.

    service auditd start
    

Nos sistemas SLES, a auditoria SYSCALL no auditd pode estar desativada por predefinição e pode ser contabilizada por eventos em falta.

  1. Para validar que a auditoria SYSCALL não está desativada, liste as regras de auditoria atuais:

    sudo auditctl -l
    

    Se a linha seguinte estiver presente, remova-a ou edite-a para permitir que Microsoft Defender para Ponto de Extremidade controle SYSCALLs específicos.

    -a task, never
    

    as regras de auditoria estão localizadas em /etc/audit/rules.d/audit.rules.

Eventos de ficheiro em falta

Os eventos de ficheiros são recolhidos com fanotify a arquitetura. Caso alguns ou todos os eventos de ficheiros estejam em falta, certifique-se fanotify de que está ativado no dispositivo e de que o sistema de ficheiros é suportado.

Liste os sistemas de ficheiros no computador com:

df -Th

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.