Resolver problemas de eventos ou alertas em falta para Microsoft Defender para Ponto de Extremidade no Linux
Este artigo fornece alguns passos gerais para mitigar eventos ou alertas em falta no portal do Microsoft Defender.
Assim que Microsoft Defender para Ponto de Extremidade tiver sido instalada corretamente num dispositivo, será gerada uma página do dispositivo no portal. Pode rever todos os eventos registados no separador linha do tempo na página do dispositivo ou na página de investigação avançada. Esta secção resolução de problemas com o caso de alguns ou todos os eventos esperados estarem em falta. Por exemplo, se todos os eventos CreatedFile estiverem em falta.
Eventos de rede e início de sessão em falta
Microsoft Defender para Ponto de Extremidade a arquitetura utilizada audit
do Linux para monitorizar a atividade de rede e início de sessão.
Certifique-se de que a arquitetura de auditoria está a funcionar.
service auditd status
resultado esperado:
● auditd.service - Security Auditing Service Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled) Active: active (running) since Mon 2020-12-21 10:48:02 IST; 2 weeks 0 days ago Docs: man:auditd(8) https://github.com/linux-audit/audit-documentation Process: 16689 ExecStartPost=/sbin/augenrules --load (code=exited, status=1/FAILURE) Process: 16665 ExecStart=/sbin/auditd (code=exited, status=0/SUCCESS) Main PID: 16666 (auditd) Tasks: 25 CGroup: /system.slice/auditd.service ├─16666 /sbin/auditd ├─16668 /sbin/audispd ├─16670 /usr/sbin/sedispatch └─16671 /opt/microsoft/mdatp/sbin/mdatp_audisp_plugin -d
Se
auditd
estiver marcado como parado, inicie-o.service auditd start
Nos sistemas SLES, a auditoria SYSCALL no auditd
pode estar desativada por predefinição e pode ser contabilizada por eventos em falta.
Para validar que a auditoria SYSCALL não está desativada, liste as regras de auditoria atuais:
sudo auditctl -l
Se a linha seguinte estiver presente, remova-a ou edite-a para permitir que Microsoft Defender para Ponto de Extremidade controle SYSCALLs específicos.
-a task, never
as regras de auditoria estão localizadas em
/etc/audit/rules.d/audit.rules
.
Eventos de ficheiro em falta
Os eventos de ficheiros são recolhidos com fanotify
a arquitetura. Caso alguns ou todos os eventos de ficheiros estejam em falta, certifique-se fanotify
de que está ativado no dispositivo e de que o sistema de ficheiros é suportado.
Liste os sistemas de ficheiros no computador com:
df -Th
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.