Linux 上のMicrosoft Defender for Endpointに関するイベントまたはアラートの不足に関する問題のトラブルシューティング
適用対象:
- Microsoft Defender for Endpoint Server
- サーバーのMicrosoft Defender
この記事では、Microsoft Defender ポータルで見つからないイベントやアラートを軽減するための一般的な手順について説明します。
Microsoft Defender for Endpointがデバイスに正しくインストールされると、ポータルにデバイス ページが生成されます。 記録されたすべてのイベントは、デバイス ページの [タイムライン] タブまたは高度なハンティング ページで確認できます。 このセクションでは、一部またはすべての予期されるイベントが見つからない場合のトラブルシューティングを行います。 たとえば、 CreatedFile イベントがすべて見つからない場合です。
ネットワーク イベントとログイン イベントが見つからない
Microsoft Defender for Endpointネットワークとログインのアクティビティを追跡するために linux からaudit フレームワークを利用します。
監査フレームワークが機能していることを確認します。
service auditd status予期される出力:
● auditd.service - Security Auditing Service Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled) Active: active (running) since Mon 2020-12-21 10:48:02 IST; 2 weeks 0 days ago Docs: man:auditd(8) https://github.com/linux-audit/audit-documentation Process: 16689 ExecStartPost=/sbin/augenrules --load (code=exited, status=1/FAILURE) Process: 16665 ExecStart=/sbin/auditd (code=exited, status=0/SUCCESS) Main PID: 16666 (auditd) Tasks: 25 CGroup: /system.slice/auditd.service ├─16666 /sbin/auditd ├─16668 /sbin/audispd ├─16670 /usr/sbin/sedispatch └─16671 /opt/microsoft/mdatp/sbin/mdatp_audisp_plugin -dauditdが停止済みとしてマークされている場合は、開始します。service auditd start
SLES システムでは 、 auditd の SYSCALL 監査が既定で無効になり、欠落しているイベントに対して考慮される場合があります。
SYSCALL 監査が無効ではないことを検証するには、現在の監査規則を一覧表示します。
sudo auditctl -l次の行が存在する場合は、削除するか、または編集して、Microsoft Defender for Endpointが特定の SYSCAL を追跡できるようにします。
-a task, never監査規則は、
/etc/audit/rules.d/audit.rulesにあります。
ファイル イベントがありません
ファイル イベントは、 fanotify フレームワークを使用して収集されます。 一部またはすべてのファイル イベントが見つからない場合は、デバイスで fanotify が有効になっていて、ファイル システムが サポートされていることを確認してください。
マシン上のファイルシステムを次の方法で一覧表示します。
df -Th
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。