Resolver problemas de eventos ou alertas em falta para Microsoft Defender para Endpoint no Linux

Este artigo fornece alguns passos gerais para mitigar eventos ou alertas em falta no portal do Microsoft Defender.

Assim que Microsoft Defender para Endpoint tiver sido instalada corretamente num dispositivo, será gerada uma página do dispositivo no portal. Pode rever todos os eventos registados no separador da linha cronológica na página do dispositivo ou na página de investigação avançada. Esta secção resolução de problemas com o caso de alguns ou todos os eventos esperados estarem em falta. Por exemplo, se todos os eventos CreatedFile estiverem em falta.

Eventos de rede e início de sessão em falta

Microsoft Defender para Endpoint a arquitetura utilizada audit do Linux para monitorizar a atividade de rede e início de sessão.

1. Certifique-se de que a arquitetura de auditoria está a funcionar.

   service auditd status
   

   resultado esperado:

   ● auditd.service - Security Auditing Service
   Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled)
   Active: active (running) since Mon 2020-12-21 10:48:02 IST; 2 weeks 0 days ago
       Docs: man:auditd(8)
           https://github.com/linux-audit/audit-documentation
   Process: 16689 ExecStartPost=/sbin/augenrules --load (code=exited, status=1/FAILURE)
   Process: 16665 ExecStart=/sbin/auditd (code=exited, status=0/SUCCESS)
   Main PID: 16666 (auditd)
       Tasks: 25
   CGroup: /system.slice/auditd.service
           ├─16666 /sbin/auditd
           ├─16668 /sbin/audispd
           ├─16670 /usr/sbin/sedispatch
           └─16671 /opt/microsoft/mdatp/sbin/mdatp_audisp_plugin -d
   

2. Se auditd estiver marcado como parado, inicie-o.

   service auditd start
   

Nos sistemas SLES, a auditoria SYSCALL no auditd pode estar desativada por predefinição e pode ser contabilizada por eventos em falta.

1. Para validar que a auditoria SYSCALL não está desativada, liste as regras de auditoria atuais:

   sudo auditctl -l
   

   se a linha seguinte estiver presente, remova-a ou edite-a para permitir que Microsoft Defender para Endpoint controle SYSCALLs específicos.

   -a task, never
   

   as regras de auditoria estão localizadas em /etc/audit/rules.d/audit.rules.

Eventos de ficheiro em falta

Os eventos de ficheiros são recolhidos com fanotify a arquitetura. Caso alguns ou todos os eventos de ficheiros estejam em falta, certifique-se fanotify de que está ativado no dispositivo e de que o sistema de ficheiros é suportado.

Liste os sistemas de ficheiros no computador com:

df -Th

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.