Partilhar via

Resolver problemas de eventos ou alertas em falta para Microsoft Defender para Endpoint no Linux

  • Artigo

Aplica-se a:

Este artigo fornece alguns passos gerais para mitigar eventos ou alertas em falta no portal do Microsoft Defender.

Assim que Microsoft Defender para Endpoint tiver sido instalada corretamente num dispositivo, será gerada uma página do dispositivo no portal. Pode rever todos os eventos registados no separador da linha cronológica na página do dispositivo ou na página de investigação avançada. Esta secção resolução de problemas com o caso de alguns ou todos os eventos esperados estarem em falta. Por exemplo, se todos os eventos CreatedFile estiverem em falta.

Eventos de rede e início de sessão em falta

Microsoft Defender para Endpoint a arquitetura utilizada audit do Linux para monitorizar a atividade de rede e início de sessão.

  1. Certifique-se de que a arquitetura de auditoria está a funcionar.

    service auditd status

    resultado esperado:

    ● auditd.service - Security Auditing Service
Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled)
Active: active (running) since Mon 2020-12-21 10:48:02 IST; 2 weeks 0 days ago
    Docs: man:auditd(8)
        https://github.com/linux-audit/audit-documentation
Process: 16689 ExecStartPost=/sbin/augenrules --load (code=exited, status=1/FAILURE)
Process: 16665 ExecStart=/sbin/auditd (code=exited, status=0/SUCCESS)
Main PID: 16666 (auditd)
    Tasks: 25
CGroup: /system.slice/auditd.service
        ├─16666 /sbin/auditd
        ├─16668 /sbin/audispd
        ├─16670 /usr/sbin/sedispatch
        └─16671 /opt/microsoft/mdatp/sbin/mdatp_audisp_plugin -d

  2. Se auditd estiver marcado como parado, inicie-o.

    service auditd start

Nos sistemas SLES, a auditoria SYSCALL no auditd pode estar desativada por predefinição e pode ser contabilizada por eventos em falta.

  1. Para validar que a auditoria SYSCALL não está desativada, liste as regras de auditoria atuais:

    sudo auditctl -l

    se a linha seguinte estiver presente, remova-a ou edite-a para permitir que Microsoft Defender para Endpoint controle SYSCALLs específicos.

    -a task, never

    as regras de auditoria estão localizadas em /etc/audit/rules.d/audit.rules.

Eventos de ficheiro em falta

Os eventos de ficheiros são recolhidos com fanotify a arquitetura. Caso alguns ou todos os eventos de ficheiros estejam em falta, certifique-se fanotify de que está ativado no dispositivo e de que o sistema de ficheiros é suportado.

Liste os sistemas de ficheiros no computador com:

df -Th

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.