Felsöka händelser eller aviseringar som saknas för Microsoft Defender för Slutpunkt i Linux

Gäller för:

Den här artikeln innehåller några allmänna steg för att minimera saknade händelser eller varningar i Microsoft 365 Defender portalen.

När Microsoft Defender för slutpunkt har installerats korrekt på en enhet genereras en enhetssida i portalen. Du kan granska alla inspelade händelser på tidslinjefliken på enhetens sida eller på en avancerad sida för sök. Det här avsnittet felsöker eventuella eller alla förväntade händelser saknas. Till exempel om alla CreatedFile-händelser saknas.

Nätverks- och inloggningshändelser saknas

Microsoft Defender för Endpoint används ramverk audit från linux för att spåra nätverks- och inloggningsaktivitet.

  1. Kontrollera att granskningsramverket fungerar.

    service auditd status
    

    förväntat utdata:

    ● auditd.service - Security Auditing Service
    Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled)
    Active: active (running) since Mon 2020-12-21 10:48:02 IST; 2 weeks 0 days ago
        Docs: man:auditd(8)
            https://github.com/linux-audit/audit-documentation
    Process: 16689 ExecStartPost=/sbin/augenrules --load (code=exited, status=1/FAILURE)
    Process: 16665 ExecStart=/sbin/auditd (code=exited, status=0/SUCCESS)
    Main PID: 16666 (auditd)
        Tasks: 25
    CGroup: /system.slice/auditd.service
            ├─16666 /sbin/auditd
            ├─16668 /sbin/audispd
            ├─16670 /usr/sbin/sedispatch
            └─16671 /opt/microsoft/mdatp/sbin/mdatp_audisp_plugin -d
    
  2. Starta auditd om den har markerats som stoppad.

    service auditd start
    

På SLES-system kan SYSCALL-granskning i auditd vara inaktiverad som standard och kan redovisas för saknade händelser.

  1. Verifiera att SYSCALL-granskning inte är inaktiverat genom att lista de aktuella granskningsreglerna:

    sudo auditctl -l
    

    Om följande rad finns tar du bort den eller redigerar den för att aktivera Microsoft Defender för Endpoint för att spåra specifika SYSCALLs.

    -a task, never
    

    finns på /etc/audit/rules.d/audit.rules .

Filhändelser som saknas

Filhändelser samlas in med fanotify framework. Om vissa eller alla filhändelser saknas kontrollerar du att fanotify är aktiverat på enheten och att filsystemet stöds.

Ange filsystemen på datorn med:

df -Th