Freigeben über


Behandeln von Problemen mit fehlenden Ereignissen oder Warnungen für Microsoft Defender for Endpoint unter Linux

Gilt für:

Dieser Artikel enthält einige allgemeine Schritte zum Beheben fehlender Ereignisse oder Warnungen im Microsoft Defender-Portal.

Sobald Microsoft Defender for Endpoint ordnungsgemäß auf einem Gerät installiert wurde, wird im Portal eine Geräteseite generiert. Sie können alle aufgezeichneten Ereignisse auf der Registerkarte Zeitleiste auf der Geräteseite oder auf der Seite für die erweiterte Suche überprüfen. In diesem Abschnitt wird der Fall behandelt, dass einige oder alle erwarteten Ereignisse fehlen. Für instance, wenn alle CreatedFile-Ereignisse fehlen.

Fehlende Netzwerk- und Anmeldeereignisse

Microsoft Defender for Endpoint verwendetes audit Framework unter Linux, um Netzwerk- und Anmeldeaktivitäten nachzuverfolgen.

  1. Stellen Sie sicher, dass das Überwachungsframework funktioniert.

    service auditd status
    

    erwartete Ausgabe:

    ● auditd.service - Security Auditing Service
    Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled)
    Active: active (running) since Mon 2020-12-21 10:48:02 IST; 2 weeks 0 days ago
        Docs: man:auditd(8)
            https://github.com/linux-audit/audit-documentation
    Process: 16689 ExecStartPost=/sbin/augenrules --load (code=exited, status=1/FAILURE)
    Process: 16665 ExecStart=/sbin/auditd (code=exited, status=0/SUCCESS)
    Main PID: 16666 (auditd)
        Tasks: 25
    CGroup: /system.slice/auditd.service
            ├─16666 /sbin/auditd
            ├─16668 /sbin/audispd
            ├─16670 /usr/sbin/sedispatch
            └─16671 /opt/microsoft/mdatp/sbin/mdatp_audisp_plugin -d
    
  2. Wenn auditd als beendet markiert ist, starten Sie es.

    service auditd start
    

Auf SLES-Systemen ist die SYSCALL-Überwachung in auditd möglicherweise standardmäßig deaktiviert und kann für fehlende Ereignisse berücksichtigt werden.

  1. Um zu überprüfen, ob die SYSCALL-Überwachung nicht deaktiviert ist, listen Sie die aktuellen Überwachungsregeln auf:

    sudo auditctl -l
    

    Wenn die folgende Zeile vorhanden ist, entfernen Sie sie, oder bearbeiten Sie sie, damit Microsoft Defender for Endpoint bestimmte SYSCALLs nachverfolgen kann.

    -a task, never
    

    Überwachungsregeln befinden sich unter /etc/audit/rules.d/audit.rules.

Fehlende Dateiereignisse

Dateiereignisse werden mit fanotify dem Framework gesammelt. Falls einige oder alle Dateiereignisse fehlen, stellen Sie sicher, dass fanotify auf dem Gerät aktiviert ist und dass das Dateisystem unterstützt wird.

Auflisten der Dateisysteme auf dem Computer mit:

df -Th

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.