Behandeln von Problemen mit fehlenden Ereignissen oder Warnungen für Microsoft Defender for Endpoint unter Linux
Gilt für:
- Microsoft Defender for Endpoint-Server
- Microsoft Defender für Server
Dieser Artikel enthält einige allgemeine Schritte zum Beheben fehlender Ereignisse oder Warnungen im Microsoft Defender-Portal.
Sobald Microsoft Defender for Endpoint ordnungsgemäß auf einem Gerät installiert wurde, wird im Portal eine Geräteseite generiert. Sie können alle aufgezeichneten Ereignisse auf der Registerkarte Zeitleiste auf der Geräteseite oder auf der Seite für die erweiterte Suche überprüfen. In diesem Abschnitt wird der Fall behandelt, dass einige oder alle erwarteten Ereignisse fehlen. Für instance, wenn alle CreatedFile-Ereignisse fehlen.
Fehlende Netzwerk- und Anmeldeereignisse
Microsoft Defender for Endpoint verwendetes audit
Framework unter Linux, um Netzwerk- und Anmeldeaktivitäten nachzuverfolgen.
Stellen Sie sicher, dass das Überwachungsframework funktioniert.
service auditd status
erwartete Ausgabe:
● auditd.service - Security Auditing Service Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled) Active: active (running) since Mon 2020-12-21 10:48:02 IST; 2 weeks 0 days ago Docs: man:auditd(8) https://github.com/linux-audit/audit-documentation Process: 16689 ExecStartPost=/sbin/augenrules --load (code=exited, status=1/FAILURE) Process: 16665 ExecStart=/sbin/auditd (code=exited, status=0/SUCCESS) Main PID: 16666 (auditd) Tasks: 25 CGroup: /system.slice/auditd.service ├─16666 /sbin/auditd ├─16668 /sbin/audispd ├─16670 /usr/sbin/sedispatch └─16671 /opt/microsoft/mdatp/sbin/mdatp_audisp_plugin -d
Wenn
auditd
als beendet markiert ist, starten Sie es.service auditd start
Auf SLES-Systemen ist die SYSCALL-Überwachung in auditd
möglicherweise standardmäßig deaktiviert und kann für fehlende Ereignisse berücksichtigt werden.
Um zu überprüfen, ob die SYSCALL-Überwachung nicht deaktiviert ist, listen Sie die aktuellen Überwachungsregeln auf:
sudo auditctl -l
Wenn die folgende Zeile vorhanden ist, entfernen Sie sie, oder bearbeiten Sie sie, damit Microsoft Defender for Endpoint bestimmte SYSCALLs nachverfolgen kann.
-a task, never
Überwachungsregeln befinden sich unter
/etc/audit/rules.d/audit.rules
.
Fehlende Dateiereignisse
Dateiereignisse werden mit fanotify
dem Framework gesammelt. Falls einige oder alle Dateiereignisse fehlen, stellen Sie sicher, dass fanotify
auf dem Gerät aktiviert ist und dass das Dateisystem unterstützt wird.
Auflisten der Dateisysteme auf dem Computer mit:
df -Th
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.