Rozwiązywanie problemów z brakującymi zdarzeniami lub alertami dla Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux

Dotyczy:

• serwer Ochrona punktu końcowego w usłudze Microsoft Defender
• Microsoft Defender dla serwerów

Ten artykuł zawiera ogólne kroki w celu wyeliminowania brakujących zdarzeń lub alertów w portalu Microsoft Defender.

Po prawidłowym zainstalowaniu Ochrona punktu końcowego w usłudze Microsoft Defender na urządzeniu w portalu zostanie wygenerowana strona urządzenia. Wszystkie zarejestrowane zdarzenia można przejrzeć na karcie osi czasu na stronie urządzenia lub na stronie zaawansowanego wyszukiwania zagrożeń. W tej sekcji rozwiązaliśmy problem z brakiem niektórych lub wszystkich oczekiwanych zdarzeń. Jeśli na przykład brakuje wszystkich zdarzeń CreatedFile .

Brakujące zdarzenia sieci i logowania

Ochrona punktu końcowego w usłudze Microsoft Defender używane audit struktury z systemu Linux do śledzenia aktywności sieci i logowania.

1. Upewnij się, że struktura inspekcji działa.

   service auditd status
   

   oczekiwane dane wyjściowe:

   ● auditd.service - Security Auditing Service
   Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled)
   Active: active (running) since Mon 2020-12-21 10:48:02 IST; 2 weeks 0 days ago
       Docs: man:auditd(8)
           https://github.com/linux-audit/audit-documentation
   Process: 16689 ExecStartPost=/sbin/augenrules --load (code=exited, status=1/FAILURE)
   Process: 16665 ExecStart=/sbin/auditd (code=exited, status=0/SUCCESS)
   Main PID: 16666 (auditd)
       Tasks: 25
   CGroup: /system.slice/auditd.service
           ├─16666 /sbin/auditd
           ├─16668 /sbin/audispd
           ├─16670 /usr/sbin/sedispatch
           └─16671 /opt/microsoft/mdatp/sbin/mdatp_audisp_plugin -d
   

2. Jeśli auditd zostanie oznaczona jako zatrzymana, uruchom ją.

   service auditd start
   

W systemach SLES inspekcja SYSCALL w auditd programie może być domyślnie wyłączona i może być uwzględniana jako brakujące zdarzenia.

1. Aby sprawdzić, czy inspekcja SYSCALL nie jest wyłączona, wyświetl listę bieżących reguł inspekcji:

   sudo auditctl -l
   

   Jeśli znajduje się następujący wiersz, usuń go lub edytuj, aby umożliwić Ochrona punktu końcowego w usłudze Microsoft Defender śledzenie określonych SYSCALLs.

   -a task, never
   

   Reguły inspekcji znajdują się pod adresem /etc/audit/rules.d/audit.rules.

Brak zdarzeń pliku

Zdarzenia plików są zbierane za pomocą fanotify struktury. Jeśli brakuje niektórych lub wszystkich zdarzeń plików, upewnij się fanotify , że jest włączone na urządzeniu i że system plików jest obsługiwany.

Wyświetl listę systemów plików na maszynie za pomocą następujących elementów:

df -Th

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.