排查 Linux 上Microsoft Defender for Endpoint缺少事件或警报问题

本文提供了一些常规步骤来缓解Microsoft Defender门户中缺少的事件或警报。

在设备上正确安装Microsoft Defender for Endpoint后，门户中将生成设备页。 可以在设备页的“时间线”选项卡或高级搜寻页中查看所有记录的事件。 本部分排查缺少某些或所有预期事件的情况。 例如，如果缺少所有 CreatedFile 事件。

缺少网络和登录事件

Microsoft Defender for Endpoint Linux 中的audit框架来跟踪网络和登录活动。

1. 确保审核框架正常工作。

   service auditd status
   

   预期输出：

   ● auditd.service - Security Auditing Service
   Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled)
   Active: active (running) since Mon 2020-12-21 10:48:02 IST; 2 weeks 0 days ago
       Docs: man:auditd(8)
           https://github.com/linux-audit/audit-documentation
   Process: 16689 ExecStartPost=/sbin/augenrules --load (code=exited, status=1/FAILURE)
   Process: 16665 ExecStart=/sbin/auditd (code=exited, status=0/SUCCESS)
   Main PID: 16666 (auditd)
       Tasks: 25
   CGroup: /system.slice/auditd.service
           ├─16666 /sbin/auditd
           ├─16668 /sbin/audispd
           ├─16670 /usr/sbin/sedispatch
           └─16671 /opt/microsoft/mdatp/sbin/mdatp_audisp_plugin -d
   

2. 如果 auditd 标记为已停止，请启动它。

   service auditd start
   

在 SLES 系统上，中的 auditd SYSCALL 审核可能默认处于禁用状态，并且可以考虑缺失事件。

1. 若要验证是否未禁用 SYSCALL 审核，请列出当前审核规则：

   sudo auditctl -l
   

   如果存在以下行，请将其删除或编辑，以便Microsoft Defender for Endpoint跟踪特定的 SYSCALLs。

   -a task, never
   

   审核规则位于 /etc/audit/rules.d/audit.rules。

缺少文件事件

使用框架收集 fanotify 文件事件。 如果缺少某些或所有文件事件，请确保 fanotify 已在设备上启用，并且 文件系统受支持。

使用下列项列出计算机上的文件系统：

df -Th

提示

想要了解更多信息？ Engage技术社区中的Microsoft安全社区：Microsoft Defender for Endpoint技术社区。