Résoudre les problèmes d’événements ou d’alertes manquants pour Microsoft Defender pour point de terminaison sur Linux
S’applique à :
- Microsoft Defender pour point de terminaison Server.
- Microsoft Defender pour les serveurs
Cet article fournit des étapes générales pour atténuer les événements ou alertes manquants dans le portail Microsoft Defender.
Une fois Microsoft Defender pour point de terminaison installé correctement sur un appareil, une page d’appareil est générée dans le portail. Vous pouvez passer en revue tous les événements enregistrés sous l’onglet chronologie de la page de l’appareil ou dans la page de repérage avancé. Cette section résout le cas où certains ou tous les événements attendus sont manquants. Par instance, si tous les événements CreatedFile sont manquants.
Événements réseau et de connexion manquants
Microsoft Defender pour point de terminaison’infrastructure utilisée audit
à partir de Linux pour suivre l’activité du réseau et de la connexion.
Vérifiez que l’infrastructure d’audit fonctionne.
service auditd status
sortie attendue :
● auditd.service - Security Auditing Service Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled) Active: active (running) since Mon 2020-12-21 10:48:02 IST; 2 weeks 0 days ago Docs: man:auditd(8) https://github.com/linux-audit/audit-documentation Process: 16689 ExecStartPost=/sbin/augenrules --load (code=exited, status=1/FAILURE) Process: 16665 ExecStart=/sbin/auditd (code=exited, status=0/SUCCESS) Main PID: 16666 (auditd) Tasks: 25 CGroup: /system.slice/auditd.service ├─16666 /sbin/auditd ├─16668 /sbin/audispd ├─16670 /usr/sbin/sedispatch └─16671 /opt/microsoft/mdatp/sbin/mdatp_audisp_plugin -d
Si
auditd
est marqué comme arrêté, démarrez-le.service auditd start
Sur les systèmes SLES, l’audit SYSCALL dans peut être désactivé par défaut et peut être pris en auditd
compte pour les événements manquants.
Pour vérifier que l’audit SYSCALL n’est pas désactivé, répertoriez les règles d’audit actuelles :
sudo auditctl -l
si la ligne suivante est présente, supprimez-la ou modifiez-la pour permettre à Microsoft Defender pour point de terminaison de suivre des SYSCALL spécifiques.
-a task, never
Les règles d’audit se trouvent à l’adresse
/etc/audit/rules.d/audit.rules
.
Événements de fichier manquants
Les événements de fichier sont collectés avec l’infrastructure fanotify
. Si certains ou tous les événements de fichier sont manquants, vérifiez que fanotify
est activé sur l’appareil et que le système de fichiers est pris en charge.
Répertoriez les systèmes de fichiers sur l’ordinateur avec :
df -Th
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.