Поделиться через

Устранение проблем с отсутствующими событиями или оповещениями для Microsoft Defender для конечной точки в Linux

  • Применяется к: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

В этой статье приведены общие действия по устранению отсутствующих событий или оповещений на портале Microsoft Defender.

После правильной установки Microsoft Defender для конечной точки на устройстве на портале будет создана страница устройства. Все записанные события можно просмотреть на вкладке временная шкала на странице устройства или на странице расширенной охоты. В этом разделе описывается устранение неполадок, связанных с отсутствием некоторых или всех ожидаемых событий. Например, если отсутствуют все события CreatedFile .

Отсутствуют события сети и входа

Microsoft Defender для конечной точки использует платформу audit из Linux для отслеживания сетевых действий и действий входа.

  1. Убедитесь, что платформа аудита работает.

    service auditd status

    ожидаемые выходные данные:

    ● auditd.service - Security Auditing Service
Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled)
Active: active (running) since Mon 2020-12-21 10:48:02 IST; 2 weeks 0 days ago
    Docs: man:auditd(8)
        https://github.com/linux-audit/audit-documentation
Process: 16689 ExecStartPost=/sbin/augenrules --load (code=exited, status=1/FAILURE)
Process: 16665 ExecStart=/sbin/auditd (code=exited, status=0/SUCCESS)
Main PID: 16666 (auditd)
    Tasks: 25
CGroup: /system.slice/auditd.service
        ├─16666 /sbin/auditd
        ├─16668 /sbin/audispd
        ├─16670 /usr/sbin/sedispatch
        └─16671 /opt/microsoft/mdatp/sbin/mdatp_audisp_plugin -d

  2. Если auditd параметр помечен как остановленный, запустите его.

    service auditd start

В системах SLES аудит SYSCALL в auditd может быть отключен по умолчанию и может быть учтен за отсутствующие события.

  1. Чтобы убедиться, что аудит SYSCALL не отключен, выведите список текущих правил аудита:

    sudo auditctl -l

    Если указана следующая строка, удалите ее или измените, чтобы включить Microsoft Defender для конечной точки для отслеживания определенных SYSCALLs.

    -a task, never

    Правила аудита находятся по адресу /etc/audit/rules.d/audit.rules.

Отсутствующие события файлов

События файлов собираются с помощью fanotify платформы. Если отсутствуют некоторые или все события файлов, убедитесь fanotify , что на устройстве включено и поддерживается файловая система.

Перечисление файловых систем на компьютере с помощью следующих элементов:

df -Th
  • Last updated on