Linux에서 엔드포인트용 Microsoft Defender 대한 누락된 이벤트 또는 경고 문제 해결

  • 아티클

적용 대상:

이 문서에서는 Microsoft Defender 포털에서 누락된 이벤트 또는 경고를 완화하는 몇 가지 일반적인 단계를 제공합니다.

엔드포인트용 Microsoft Defender 디바이스에 제대로 설치되면 포털에서 디바이스 페이지가 생성됩니다. 디바이스 페이지의 타임라인 탭 또는 고급 헌팅 페이지에서 기록된 모든 이벤트를 검토할 수 있습니다. 이 섹션에서는 일부 또는 모든 예상 이벤트가 누락된 경우를 해결합니다. instance 경우 모든 CreatedFile 이벤트가 누락된 경우 입니다.

네트워크 및 로그인 이벤트 누락

엔드포인트용 Microsoft Defender linux의 프레임워크를 활용하여 audit 네트워크 및 로그인 활동을 추적합니다.

  1. 감사 프레임워크가 작동하는지 확인합니다.

    service auditd status

    예상 출력:

    ● auditd.service - Security Auditing Service
Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled)
Active: active (running) since Mon 2020-12-21 10:48:02 IST; 2 weeks 0 days ago
    Docs: man:auditd(8)
        https://github.com/linux-audit/audit-documentation
Process: 16689 ExecStartPost=/sbin/augenrules --load (code=exited, status=1/FAILURE)
Process: 16665 ExecStart=/sbin/auditd (code=exited, status=0/SUCCESS)
Main PID: 16666 (auditd)
    Tasks: 25
CGroup: /system.slice/auditd.service
        ├─16666 /sbin/auditd
        ├─16668 /sbin/audispd
        ├─16670 /usr/sbin/sedispatch
        └─16671 /opt/microsoft/mdatp/sbin/mdatp_audisp_plugin -d

  2. 가 중지됨으로 표시되면 auditd 시작합니다.

    service auditd start

SLES 시스템에서 의 SYSCALL 감사 auditd 는 기본적으로 사용하지 않도록 설정될 수 있으며 누락된 이벤트를 고려할 수 있습니다.

  1. SYSCALL 감사를 사용할 수 없는지 확인하려면 현재 감사 규칙을 나열합니다.

    sudo auditctl -l

    다음 줄이 있으면 제거하거나 편집하여 엔드포인트용 Microsoft Defender 특정 SYSCALL을 추적할 수 있도록 합니다.

    -a task, never

    감사 규칙은 에 /etc/audit/rules.d/audit.rules있습니다.

누락된 파일 이벤트

파일 이벤트는 프레임워크를 사용하여 fanotify 수집됩니다. 일부 또는 모든 파일 이벤트가 누락된 경우 디바이스에서 가 사용하도록 설정되어 있고 파일 시스템이 지원되는지 확인 fanotify 합니다.

다음을 사용하여 컴퓨터의 파일 시스템을 나열합니다.

df -Th

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.