Устранение проблем с отсутствующими событиями или оповещениями для Microsoft Defender для конечной точки в Linux

В этой статье приведены общие действия по устранению отсутствующих событий или оповещений на портале Microsoft Defender.

После правильной установки Microsoft Defender для конечной точки на устройстве на портале будет создана страница устройства. Все записанные события можно просмотреть на вкладке временная шкала на странице устройства или на странице расширенной охоты. В этом разделе описывается устранение неполадок, связанных с отсутствием некоторых или всех ожидаемых событий. Например, если отсутствуют все события CreatedFile .

Отсутствуют события сети и входа

Microsoft Defender для конечной точки использует платформу audit из Linux для отслеживания сетевых действий и действий входа.

1. Убедитесь, что платформа аудита работает.

   service auditd status
   

   ожидаемые выходные данные:

   ● auditd.service - Security Auditing Service
   Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled)
   Active: active (running) since Mon 2020-12-21 10:48:02 IST; 2 weeks 0 days ago
       Docs: man:auditd(8)
           https://github.com/linux-audit/audit-documentation
   Process: 16689 ExecStartPost=/sbin/augenrules --load (code=exited, status=1/FAILURE)
   Process: 16665 ExecStart=/sbin/auditd (code=exited, status=0/SUCCESS)
   Main PID: 16666 (auditd)
       Tasks: 25
   CGroup: /system.slice/auditd.service
           ├─16666 /sbin/auditd
           ├─16668 /sbin/audispd
           ├─16670 /usr/sbin/sedispatch
           └─16671 /opt/microsoft/mdatp/sbin/mdatp_audisp_plugin -d
   

2. Если auditd параметр помечен как остановленный, запустите его.

   service auditd start
   

В системах SLES аудит SYSCALL в auditd может быть отключен по умолчанию и может быть учтен за отсутствующие события.

1. Чтобы убедиться, что аудит SYSCALL не отключен, выведите список текущих правил аудита:

   sudo auditctl -l
   

   Если указана следующая строка, удалите ее или измените, чтобы включить Microsoft Defender для конечной точки для отслеживания определенных SYSCALLs.

   -a task, never
   

   Правила аудита находятся по адресу /etc/audit/rules.d/audit.rules.

Отсутствующие события файлов

События файлов собираются с помощью fanotify платформы. Если отсутствуют некоторые или все события файлов, убедитесь fanotify , что на устройстве включено и поддерживается файловая система.

Перечисление файловых систем на компьютере с помощью следующих элементов:

df -Th

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.