Linux에서 끝점용 Microsoft Defender에 대한 누락된 이벤트 또는 경고 문제 해결Troubleshoot missing events or alerts issues for Microsoft Defender for Endpoint on Linux

적용 대상:Applies to:

이 문서에서는 보안 센터 포털에서 누락된 이벤트 또는 알림을 완화하는 몇 가지 일반적인 단계를 제공합니다.This article provides some general steps to mitigate missing events or alerts in the security center portal.

끝점용 Microsoft Defender가 장치에 올바르게 설치되면 포털에 장치 페이지가 생성됩니다.Once Microsoft Defender for Endpoint has been installed properly on a device, a device page will be generated in the portal. 디바이스 페이지의 시간 표시 막대 탭 또는 고급 헌팅 페이지에서 기록된 모든 이벤트를 검토할 수 있습니다.You can review all recorded events in the timeline tab in the device page, or in advanced hunting page. 이 섹션에서는 일부 또는 모든 예상 이벤트가 누락된 경우를 해결합니다.This section troubleshoots the case of some or all expected events are missing. 예를 들어 모든 CreatedFile 이벤트가 누락된 경우입니다.For instance, if all CreatedFile events are missing.

네트워크 및 로그인 이벤트 누락Missing network and login events

끝점용 Microsoft Defender는 linux의 프레임워크를 활용하여 네트워크 및 로그인 audit 활동을 추적합니다.Microsoft Defender for Endpoint utilized audit framework from linux to track network and login activity.

  1. 감사 프레임워크가 작동하고 있는지 확인Make sure audit framework is working.

    service auditd status
    

    예상 출력:expected output:

    ● auditd.service - Security Auditing Service
    Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled)
    Active: active (running) since Mon 2020-12-21 10:48:02 IST; 2 weeks 0 days ago
        Docs: man:auditd(8)
            https://github.com/linux-audit/audit-documentation
    Process: 16689 ExecStartPost=/sbin/augenrules --load (code=exited, status=1/FAILURE)
    Process: 16665 ExecStart=/sbin/auditd (code=exited, status=0/SUCCESS)
    Main PID: 16666 (auditd)
        Tasks: 25
    CGroup: /system.slice/auditd.service
            ├─16666 /sbin/auditd
            ├─16668 /sbin/audispd
            ├─16670 /usr/sbin/sedispatch
            └─16671 /opt/microsoft/mdatp/sbin/mdatp_audisp_plugin -d
    
  2. auditd중지됨으로 표시된 경우 시작합니다.If auditd is marked as stopped, start it.

    service auditd start
    

SLES 시스템에서 SYSCALL 감사는 기본적으로 사용하지 않도록 설정되어 있으며 누락된 이벤트를 auditd 고려할 수 있습니다.On SLES systems, SYSCALL auditing in auditd might be disabled by default and can be accounted for missing events.

  1. SYSCALL 감사가 사용하지 않도록 설정되어 있지 않은지 확인을 위해 현재 감사 규칙을 나열합니다.To validate that SYSCALL auditing is not disabled, list the current audit rules:

    sudo auditctl -l
    

    다음 줄이 있는 경우 해당 줄을 제거하거나 편집하여 끝점용 Microsoft Defender가 특정 SYSCAL을 추적할 수 있도록 합니다.if the following line is present, remove it or edit it to enable Microsoft Defender for Endpoint to track specific SYSCALLs.

    -a task, never
    

    감사 규칙은 에 /etc/audit/rules.d/audit.rules 있습니다.audit rules are located at /etc/audit/rules.d/audit.rules.

파일 이벤트 누락Missing file events

파일 이벤트는 프레임워크를 통해 fanotify 수집됩니다.File events are collected with fanotify framework. 일부 또는 모든 파일 이벤트가 누락되는 경우 장치에서 사용하도록 설정되어 있으며 파일 시스템이 fanotify 지원되는지 확인합니다.In case some or all file events are missing, make sure fanotify is enabled on the device and that the file system is supported.

컴퓨터의 파일 시스템 목록을 다음으로 나열합니다.List the filesystems on the machine with:

df -Th