Solución de problemas de eventos o alertas que faltan para Microsoft Defender para punto de conexión en Linux

Se aplica a:

• Servidor de Microsoft Defender para punto de conexión
• Microsoft Defender para servidores

En este artículo se proporcionan algunos pasos generales para mitigar los eventos o alertas que faltan en el portal de Microsoft Defender.

Una vez que Microsoft Defender para punto de conexión se haya instalado correctamente en un dispositivo, se generará una página de dispositivo en el portal. Puede revisar todos los eventos grabados en la pestaña escala de tiempo de la página del dispositivo o en la página de búsqueda avanzada. En esta sección se soluciona el caso de que falten algunos o todos los eventos esperados. Por ejemplo, si faltan todos los eventos CreatedFile .

Eventos de red e inicio de sesión que faltan

Microsoft Defender para punto de conexión marco de trabajo utilizado audit desde Linux para realizar un seguimiento de la actividad de red e inicio de sesión.

1. Asegúrese de que el marco de auditoría funciona.

   service auditd status
   

   salida esperada:

   ● auditd.service - Security Auditing Service
   Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled)
   Active: active (running) since Mon 2020-12-21 10:48:02 IST; 2 weeks 0 days ago
       Docs: man:auditd(8)
           https://github.com/linux-audit/audit-documentation
   Process: 16689 ExecStartPost=/sbin/augenrules --load (code=exited, status=1/FAILURE)
   Process: 16665 ExecStart=/sbin/auditd (code=exited, status=0/SUCCESS)
   Main PID: 16666 (auditd)
       Tasks: 25
   CGroup: /system.slice/auditd.service
           ├─16666 /sbin/auditd
           ├─16668 /sbin/audispd
           ├─16670 /usr/sbin/sedispatch
           └─16671 /opt/microsoft/mdatp/sbin/mdatp_audisp_plugin -d
   

2. Si auditd está marcado como detenido, inícielo.

   service auditd start
   

En los sistemas SLES, la auditoría SYSCALL en podría estar deshabilitada de forma predeterminada y se puede tener en auditd cuenta los eventos que faltan.

1. Para validar que la auditoría SYSCALL no está deshabilitada, enumere las reglas de auditoría actuales:

   sudo auditctl -l
   

   si la línea siguiente está presente, quítela o edítela para habilitar Microsoft Defender para punto de conexión realizar un seguimiento de syscalls específicos.

   -a task, never
   

   las reglas de auditoría se encuentran en /etc/audit/rules.d/audit.rules.

Eventos de archivo que faltan

Los eventos de archivo se recopilan con fanotify framework. En caso de que falten algunos o todos los eventos de archivo, asegúrese de que fanotify está habilitado en el dispositivo y de que el sistema de archivos es compatible.

Enumere los sistemas de archivos de la máquina con:

df -Th

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.