Share via


Felsöka problem med saknade händelser eller aviseringar för Microsoft Defender för Endpoint i Linux

Gäller för:

Den här artikeln innehåller några allmänna steg för att undvika händelser eller aviseringar som saknas i Microsoft Defender-portalen.

När Microsoft Defender för Endpoint har installerats korrekt på en enhet genereras en enhetssida i portalen. Du kan granska alla inspelade händelser på tidslinjefliken på enhetssidan eller på sidan avancerad jakt. Det här avsnittet felsöker fallet med vissa eller alla förväntade händelser som saknas. Om till exempel alla CreatedFile-händelser saknas.

Nätverks- och inloggningshändelser saknas

Microsoft Defender för Endpoint utnyttjat audit ramverk från Linux för att spåra nätverks- och inloggningsaktivitet.

  1. Kontrollera att granskningsramverket fungerar.

    service auditd status
    

    förväntade utdata:

    ● auditd.service - Security Auditing Service
    Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled)
    Active: active (running) since Mon 2020-12-21 10:48:02 IST; 2 weeks 0 days ago
        Docs: man:auditd(8)
            https://github.com/linux-audit/audit-documentation
    Process: 16689 ExecStartPost=/sbin/augenrules --load (code=exited, status=1/FAILURE)
    Process: 16665 ExecStart=/sbin/auditd (code=exited, status=0/SUCCESS)
    Main PID: 16666 (auditd)
        Tasks: 25
    CGroup: /system.slice/auditd.service
            ├─16666 /sbin/auditd
            ├─16668 /sbin/audispd
            ├─16670 /usr/sbin/sedispatch
            └─16671 /opt/microsoft/mdatp/sbin/mdatp_audisp_plugin -d
    
  2. Om auditd markeras som stoppad startar du den.

    service auditd start
    

På SLES-system kan SYSCALL-granskning i auditd inaktiveras som standard och kan redovisas för händelser som saknas.

  1. Om du vill verifiera att SYSCALL-granskning inte är inaktiverat anger du de aktuella granskningsreglerna:

    sudo auditctl -l
    

    Om följande rad finns tar du bort den eller redigerar den så att Microsoft Defender för Endpoint kan spåra specifika SYSCALLs.

    -a task, never
    

    granskningsregler finns på /etc/audit/rules.d/audit.rules.

Filhändelser som saknas

Filhändelser samlas in med fanotify ramverket. Om vissa eller alla filhändelser saknas kontrollerar du att fanotify är aktiverat på enheten och att filsystemet stöds.

Visa en lista över filsystemen på datorn med:

df -Th

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.