Partager via

Résoudre les problèmes d’événements ou d’alertes manquants pour Microsoft Defender pour point de terminaison sur Linux

  • Article

Cet article fournit des étapes générales pour atténuer les événements ou alertes manquants dans le portail Microsoft Defender.

Une fois Microsoft Defender pour point de terminaison installé correctement sur un appareil, une page d’appareil est générée dans le portail. Vous pouvez passer en revue tous les événements enregistrés sous l’onglet chronologie de la page de l’appareil ou dans la page de repérage avancé. Cette section résout le cas où certains ou tous les événements attendus sont manquants. Par instance, si tous les événements CreatedFile sont manquants.

Événements réseau et de connexion manquants

Microsoft Defender pour point de terminaison’infrastructure utilisée audit à partir de Linux pour suivre l’activité du réseau et de la connexion.

  1. Vérifiez que l’infrastructure d’audit fonctionne.

    service auditd status

    sortie attendue :

    ● auditd.service - Security Auditing Service
Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled)
Active: active (running) since Mon 2020-12-21 10:48:02 IST; 2 weeks 0 days ago
    Docs: man:auditd(8)
        https://github.com/linux-audit/audit-documentation
Process: 16689 ExecStartPost=/sbin/augenrules --load (code=exited, status=1/FAILURE)
Process: 16665 ExecStart=/sbin/auditd (code=exited, status=0/SUCCESS)
Main PID: 16666 (auditd)
    Tasks: 25
CGroup: /system.slice/auditd.service
        ├─16666 /sbin/auditd
        ├─16668 /sbin/audispd
        ├─16670 /usr/sbin/sedispatch
        └─16671 /opt/microsoft/mdatp/sbin/mdatp_audisp_plugin -d

  2. Si auditd est marqué comme arrêté, démarrez-le.

    service auditd start

Sur les systèmes SLES, l’audit SYSCALL dans peut être désactivé par défaut et peut être pris en auditd compte pour les événements manquants.

  1. Pour vérifier que l’audit SYSCALL n’est pas désactivé, répertoriez les règles d’audit actuelles :

    sudo auditctl -l

    si la ligne suivante est présente, supprimez-la ou modifiez-la pour permettre à Microsoft Defender pour point de terminaison de suivre des SYSCALL spécifiques.

    -a task, never

    Les règles d’audit se trouvent à l’adresse /etc/audit/rules.d/audit.rules.

Événements de fichier manquants

Les événements de fichier sont collectés avec l’infrastructure fanotify . Si certains ou tous les événements de fichier sont manquants, vérifiez que fanotify est activé sur l’appareil et que le système de fichiers est pris en charge.

Répertoriez les systèmes de fichiers sur l’ordinateur avec :

df -Th

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.