Résoudre les problèmes d'événements ou d'alertes manquants pour Microsoft Defender pour endpoint sur LinuxTroubleshoot missing events or alerts issues for Microsoft Defender for Endpoint on Linux

S’applique à :Applies to:

Cet article fournit quelques étapes générales pour atténuer les événements ou alertes manquants dans le portail du centre de sécurité.This article provides some general steps to mitigate missing events or alerts in the security center portal.

Une fois que Microsoft Defender pour le point de terminaison a été correctement installé sur un appareil, une page d'appareil est générée dans le portail.Once Microsoft Defender for Endpoint has been installed properly on a device, a device page will be generated in the portal. Vous pouvez passer en revue tous les événements enregistrés dans l'onglet Chronologie de la page de l'appareil ou dans la page de recherche avancée.You can review all recorded events in the timeline tab in the device page, or in advanced hunting page. Cette section permet de résoudre les problèmes de certains événements attendus ou de tous.This section troubleshoots the case of some or all expected events are missing. Par exemple, si tous les événements CreatedFile sont manquants.For instance, if all CreatedFile events are missing.

Événements réseau et de connexion manquantsMissing network and login events

Microsoft Defender pour le point de terminaison a utilisé audit l'infrastructure linux pour suivre l'activité réseau et de connexion.Microsoft Defender for Endpoint utilized audit framework from linux to track network and login activity.

  1. Assurez-vous que l'infrastructure d'audit fonctionne.Make sure audit framework is working.

    service auditd status
    

    sortie attendue :expected output:

    ● auditd.service - Security Auditing Service
    Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled)
    Active: active (running) since Mon 2020-12-21 10:48:02 IST; 2 weeks 0 days ago
        Docs: man:auditd(8)
            https://github.com/linux-audit/audit-documentation
    Process: 16689 ExecStartPost=/sbin/augenrules --load (code=exited, status=1/FAILURE)
    Process: 16665 ExecStart=/sbin/auditd (code=exited, status=0/SUCCESS)
    Main PID: 16666 (auditd)
        Tasks: 25
    CGroup: /system.slice/auditd.service
            ├─16666 /sbin/auditd
            ├─16668 /sbin/audispd
            ├─16670 /usr/sbin/sedispatch
            └─16671 /opt/microsoft/mdatp/sbin/mdatp_audisp_plugin -d
    
  2. Si auditd elle est marquée comme arrêtée, démarrez-la.If auditd is marked as stopped, start it.

    service auditd start
    

Sur les systèmes SLES, l'audit SYSCALL peut être désactivé par défaut et peut être tenu compte des auditd événements manquants.On SLES systems, SYSCALL auditing in auditd might be disabled by default and can be accounted for missing events.

  1. Pour vérifier que l'audit SYSCALL n'est pas désactivé, listez les règles d'audit actuelles :To validate that SYSCALL auditing is not disabled, list the current audit rules:

    sudo auditctl -l
    

    si la ligne suivante est présente, supprimez-la ou modifiez-la pour permettre à Microsoft Defender for Endpoint de suivre des SYSCALL spécifiques.if the following line is present, remove it or edit it to enable Microsoft Defender for Endpoint to track specific SYSCALLs.

    -a task, never
    

    les règles d'audit se trouvent à /etc/audit/rules.d/audit.rules l'emplacement .audit rules are located at /etc/audit/rules.d/audit.rules.

Événements de fichier manquantsMissing file events

Les événements de fichier sont collectés avec fanotify l'infrastructure.File events are collected with fanotify framework. Si certains événements de fichier ou tous sont manquants, assurez-vous qu'il est activé sur l'appareil et que le système fanotify de fichiers est pris en charge.In case some or all file events are missing, make sure fanotify is enabled on the device and that the file system is supported.

List the filesystems on the machine with:List the filesystems on the machine with:

df -Th