排查 Linux 上Microsoft Defender for Endpoint缺少事件或警报问题
适用于:
- Microsoft Defender for Endpoint 服务器版
- 服务器的Microsoft Defender
本文提供了一些常规步骤来缓解Microsoft Defender门户中缺少的事件或警报。
在设备上正确安装Microsoft Defender for Endpoint后,门户中将生成设备页。 可以在设备页的“时间线”选项卡或高级搜寻页中查看所有记录的事件。 本部分排查缺少某些或所有预期事件的情况。 例如,如果缺少所有 CreatedFile 事件。
缺少网络和登录事件
Microsoft Defender for Endpoint Linux 中的audit
框架来跟踪网络和登录活动。
确保审核框架正常工作。
service auditd status
预期输出:
● auditd.service - Security Auditing Service Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled) Active: active (running) since Mon 2020-12-21 10:48:02 IST; 2 weeks 0 days ago Docs: man:auditd(8) https://github.com/linux-audit/audit-documentation Process: 16689 ExecStartPost=/sbin/augenrules --load (code=exited, status=1/FAILURE) Process: 16665 ExecStart=/sbin/auditd (code=exited, status=0/SUCCESS) Main PID: 16666 (auditd) Tasks: 25 CGroup: /system.slice/auditd.service ├─16666 /sbin/auditd ├─16668 /sbin/audispd ├─16670 /usr/sbin/sedispatch └─16671 /opt/microsoft/mdatp/sbin/mdatp_audisp_plugin -d
如果
auditd
标记为已停止,请启动它。service auditd start
在 SLES 系统上,中的 auditd
SYSCALL 审核可能默认处于禁用状态,并且可以考虑缺失事件。
若要验证是否未禁用 SYSCALL 审核,请列出当前审核规则:
sudo auditctl -l
如果存在以下行,请将其删除或编辑,以便Microsoft Defender for Endpoint跟踪特定的 SYSCALLs。
-a task, never
审核规则位于
/etc/audit/rules.d/audit.rules
。
缺少文件事件
使用框架收集 fanotify
文件事件。 如果缺少某些或所有文件事件,请确保 fanotify
已在设备上启用,并且 文件系统受支持。
使用下列项列出计算机上的文件系统:
df -Th
提示
想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区。