Aracılığıyla paylaş

Linux'ta Uç Nokta için Microsoft Defender için eksik olayları veya uyarı sorunlarını giderme

  • Şunlara uygulanır: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Bu makalede, Microsoft Defender portalında eksik olayları veya uyarıları azaltmak için bazı genel adımlar sağlanır.

Uç Nokta için Microsoft Defender bir cihaza düzgün bir şekilde yüklendikten sonra portalda bir cihaz sayfası oluşturulur. Kaydedilen tüm olayları cihaz sayfasındaki zaman çizelgesi sekmesinde veya gelişmiş tehdit avcılığı sayfasında gözden geçirebilirsiniz. Bu bölümde beklenen olayların bazılarının veya tümünün eksik olması durumunda sorun giderilir. Örneğin, tüm CreatedFile olayları eksikse.

Ağ ve oturum açma olayları eksik

Uç Nokta için Microsoft Defender ağ ve oturum açma etkinliğini izlemek için Linux'tan çerçeve kullanılmıştıraudit.

  1. Denetim çerçevesinin çalıştığından emin olun.

    service auditd status

    beklenen çıkış:

    ● auditd.service - Security Auditing Service
Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled)
Active: active (running) since Mon 2020-12-21 10:48:02 IST; 2 weeks 0 days ago
    Docs: man:auditd(8)
        https://github.com/linux-audit/audit-documentation
Process: 16689 ExecStartPost=/sbin/augenrules --load (code=exited, status=1/FAILURE)
Process: 16665 ExecStart=/sbin/auditd (code=exited, status=0/SUCCESS)
Main PID: 16666 (auditd)
    Tasks: 25
CGroup: /system.slice/auditd.service
        ├─16666 /sbin/auditd
        ├─16668 /sbin/audispd
        ├─16670 /usr/sbin/sedispatch
        └─16671 /opt/microsoft/mdatp/sbin/mdatp_audisp_plugin -d

  2. Durduruldu olarak işaretlenmişse auditd başlatın.

    service auditd start

SLES sistemlerinde, içinde auditd SYSCALL denetimi varsayılan olarak devre dışı bırakılmış olabilir ve eksik olaylar için hesaba eklenebilir.

  1. SYSCALL denetiminin devre dışı bırakılmadığını doğrulamak için geçerli denetim kurallarını listeleyin:

    sudo auditctl -l

    Aşağıdaki satır varsa, Uç Nokta için Microsoft Defender belirli SYSCALL'leri izlemesini sağlamak için satırı kaldırın veya düzenleyin.

    -a task, never

    denetim kuralları konumunda /etc/audit/rules.d/audit.rulesbulunur.

Eksik dosya olayları

Dosya olayları çerçeve ile fanotify toplanır. Bazı veya tüm dosya olaylarının eksik olması durumunda cihazda etkinleştirildiğinden ve dosya sisteminin desteklendiğinden emin olunfanotify.

Makinedeki dosya sistemlerini şu şekilde listeleyin:

df -Th
  • Last updated on