Felsöka problem med saknade händelser eller aviseringar för Microsoft Defender för Endpoint i Linux

  • Artikel

Gäller för:

Den här artikeln innehåller några allmänna steg för att undvika händelser eller aviseringar som saknas i Microsoft Defender-portalen.

När Microsoft Defender för Endpoint har installerats korrekt på en enhet genereras en enhetssida i portalen. Du kan granska alla inspelade händelser på tidslinjefliken på enhetssidan eller på sidan avancerad jakt. Det här avsnittet felsöker fallet med vissa eller alla förväntade händelser som saknas. Om till exempel alla CreatedFile-händelser saknas.

Nätverks- och inloggningshändelser saknas

Microsoft Defender för Endpoint utnyttjat audit ramverk från Linux för att spåra nätverks- och inloggningsaktivitet.

  1. Kontrollera att granskningsramverket fungerar.

    service auditd status

    förväntade utdata:

    ● auditd.service - Security Auditing Service
Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled)
Active: active (running) since Mon 2020-12-21 10:48:02 IST; 2 weeks 0 days ago
    Docs: man:auditd(8)
        https://github.com/linux-audit/audit-documentation
Process: 16689 ExecStartPost=/sbin/augenrules --load (code=exited, status=1/FAILURE)
Process: 16665 ExecStart=/sbin/auditd (code=exited, status=0/SUCCESS)
Main PID: 16666 (auditd)
    Tasks: 25
CGroup: /system.slice/auditd.service
        ├─16666 /sbin/auditd
        ├─16668 /sbin/audispd
        ├─16670 /usr/sbin/sedispatch
        └─16671 /opt/microsoft/mdatp/sbin/mdatp_audisp_plugin -d

  2. Om auditd markeras som stoppad startar du den.

    service auditd start

På SLES-system kan SYSCALL-granskning i auditd inaktiveras som standard och kan redovisas för händelser som saknas.

  1. Om du vill verifiera att SYSCALL-granskning inte är inaktiverat anger du de aktuella granskningsreglerna:

    sudo auditctl -l

    Om följande rad finns tar du bort den eller redigerar den så att Microsoft Defender för Endpoint kan spåra specifika SYSCALLs.

    -a task, never

    granskningsregler finns på /etc/audit/rules.d/audit.rules.

Filhändelser som saknas

Filhändelser samlas in med fanotify ramverket. Om vissa eller alla filhändelser saknas kontrollerar du att fanotify är aktiverat på enheten och att filsystemet stöds.

Visa en lista över filsystemen på datorn med:

df -Th

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.