排查 Linux 上Microsoft Defender for Endpoint缺少事件或警报问题

适用于

本文提供了一些常规步骤来缓解Microsoft Defender门户中缺少的事件或警报。

在设备上正确安装Microsoft Defender for Endpoint后,门户中将生成设备页。 可以在设备页的“时间线”选项卡或高级搜寻页中查看所有记录的事件。 本部分排查缺少某些或所有预期事件的情况。 例如,如果缺少所有 CreatedFile 事件。

缺少网络和登录事件

Microsoft Defender for Endpoint Linux 中的audit框架来跟踪网络和登录活动。

  1. 确保审核框架正常工作。

    service auditd status
    

    预期输出:

    ● auditd.service - Security Auditing Service
    Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled)
    Active: active (running) since Mon 2020-12-21 10:48:02 IST; 2 weeks 0 days ago
        Docs: man:auditd(8)
            https://github.com/linux-audit/audit-documentation
    Process: 16689 ExecStartPost=/sbin/augenrules --load (code=exited, status=1/FAILURE)
    Process: 16665 ExecStart=/sbin/auditd (code=exited, status=0/SUCCESS)
    Main PID: 16666 (auditd)
        Tasks: 25
    CGroup: /system.slice/auditd.service
            ├─16666 /sbin/auditd
            ├─16668 /sbin/audispd
            ├─16670 /usr/sbin/sedispatch
            └─16671 /opt/microsoft/mdatp/sbin/mdatp_audisp_plugin -d
    
  2. 如果 auditd 标记为已停止,请启动它。

    service auditd start
    

在 SLES 系统上,中的 auditd SYSCALL 审核可能默认处于禁用状态,并且可以考虑缺失事件。

  1. 若要验证是否未禁用 SYSCALL 审核,请列出当前审核规则:

    sudo auditctl -l
    

    如果存在以下行,请将其删除或编辑,以便Microsoft Defender for Endpoint跟踪特定的 SYSCALLs。

    -a task, never
    

    审核规则位于 /etc/audit/rules.d/audit.rules

缺少文件事件

使用框架收集 fanotify 文件事件。 如果缺少某些或所有文件事件,请确保 fanotify 已在设备上启用,并且 文件系统受支持

使用下列项列出计算机上的文件系统:

df -Th

提示

想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区