針對 Linux 上的適用於端點的 Microsoft Defender遺漏事件或警示問題進行疑難排解

適用於:

本文提供一些一般步驟,以減輕Microsoft 365 Defender入口網站中遺失的事件或警示。

裝置上正確安裝適用於端點的 Microsoft Defender之後,就會在入口網站中產生裝置頁面。 您可以在裝置頁面的 [時程表] 索引標籤中,或在進階搜捕頁面中檢閱所有記錄的事件。 本節會針對部分或所有預期事件遺失的案例進行疑難排解。 例如,如果遺漏所有 CreatedFile 事件。

遺漏網絡和登入事件

適用於端點的 Microsoft Defender使用 Linux 的 audit 架構來追蹤網路和登入活動。

  1. 請確定稽核架構正常運作。

    service auditd status
    

    預期的輸出:

    ● auditd.service - Security Auditing Service
    Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled)
    Active: active (running) since Mon 2020-12-21 10:48:02 IST; 2 weeks 0 days ago
        Docs: man:auditd(8)
            https://github.com/linux-audit/audit-documentation
    Process: 16689 ExecStartPost=/sbin/augenrules --load (code=exited, status=1/FAILURE)
    Process: 16665 ExecStart=/sbin/auditd (code=exited, status=0/SUCCESS)
    Main PID: 16666 (auditd)
        Tasks: 25
    CGroup: /system.slice/auditd.service
            ├─16666 /sbin/auditd
            ├─16668 /sbin/audispd
            ├─16670 /usr/sbin/sedispatch
            └─16671 /opt/microsoft/mdatp/sbin/mdatp_audisp_plugin -d
    
  2. 如果 auditd 標示為已停止,請啟動它。

    service auditd start
    

在 SLES 系統上,預設可能會停用 中的 auditd SYSCALL 稽核,並可將遺漏事件納入考慮。

  1. 若要驗證 SYSCALL 稽核未停用,請列出目前的稽核規則:

    sudo auditctl -l
    

    如果下列這一行存在,請將其移除或編輯,以啟用適用於端點的 Microsoft Defender以追蹤特定的 SYSCALL。

    -a task, never
    

    稽核規則位於 /etc/audit/rules.d/audit.rules

遺漏檔案事件

檔案事件會使用 fanotify 架構收集。 如果遺漏部分或所有檔案事件,請確定 fanotify 已在裝置上啟用,且 支援檔案系統。

使用下列專案列出電腦上的檔案系統:

df -Th