Rozwiązywanie problemów z brakującymi zdarzeniami lub alertami dla programu Microsoft Defender dla punktu końcowego w systemie Linux

Dotyczy:

Ten artykuł zawiera ogólne instrukcje dotyczące ograniczania brakujących zdarzeń lub alertów w Microsoft 365 Defender portalie informacyjnym.

Po prawidłowym zainstalowaniu programu Microsoft Defender for Endpoint na urządzeniu w portalu zostanie wygenerowana strona urządzenia. Możesz przejrzeć wszystkie zarejestrowane zdarzenia na karcie osi czasu na stronie urządzenia lub na stronie zaawansowanego wyszukiwania. Ta sekcja pozwala rozwiązać problem braku niektórych lub wszystkich oczekiwanych zdarzeń. Jeśli na przykład brakuje wszystkich zdarzeń CreatedFile .

Brakujące zdarzenia logowania i sieci

Program Microsoft Defender for Endpoint używał audit struktury z systemu Linux do śledzenia aktywności sieciowej i logowania.

  1. Upewnij się, że działają struktury inspekcji.

    service auditd status
    

    oczekiwany wynik:

    ● auditd.service - Security Auditing Service
    Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled)
    Active: active (running) since Mon 2020-12-21 10:48:02 IST; 2 weeks 0 days ago
        Docs: man:auditd(8)
            https://github.com/linux-audit/audit-documentation
    Process: 16689 ExecStartPost=/sbin/augenrules --load (code=exited, status=1/FAILURE)
    Process: 16665 ExecStart=/sbin/auditd (code=exited, status=0/SUCCESS)
    Main PID: 16666 (auditd)
        Tasks: 25
    CGroup: /system.slice/auditd.service
            ├─16666 /sbin/auditd
            ├─16668 /sbin/audispd
            ├─16670 /usr/sbin/sedispatch
            └─16671 /opt/microsoft/mdatp/sbin/mdatp_audisp_plugin -d
    
  2. Jeśli auditd przycisk jest oznaczany jako zatrzymany, uruchom go.

    service auditd start
    

W systemach SLES inspekcja syscall w może auditd być domyślnie wyłączona i może zostać uwzględnić brakujące zdarzenia.

  1. Aby sprawdzić, czy inspekcja syscall nie jest wyłączona, należy wyświetlić bieżące reguły inspekcji:

    sudo auditctl -l
    

    jeśli występuje poniższy wiersz, usuń go lub edytuj, aby umożliwić programowi Microsoft Defender for Endpoint śledzenie określonych adresów SYSCALLs.

    -a task, never
    

    reguły inspekcji znajdują się w ./etc/audit/rules.d/audit.rules

Brakujące zdarzenia pliku

Zdarzenia dotyczące plików są zbierane przy użyciu struktury fanotify . Jeśli brakuje niektórych lub wszystkich zdarzeń pliku, upewnij się, fanotify że na urządzeniu jest włączona i że system plików jest obsługiwany.

System plików na komputerze można wyświetlić w:

df -Th