Condividi tramite


Risolvere i problemi di avvisi o eventi mancanti per Microsoft Defender per endpoint in Linux

Si applica a:

Questo articolo fornisce alcuni passaggi generali per attenuare gli eventi o gli avvisi mancanti nel portale di Microsoft Defender.

Dopo aver installato correttamente Microsoft Defender per endpoint in un dispositivo, verrà generata una pagina del dispositivo nel portale. È possibile esaminare tutti gli eventi registrati nella scheda sequenza temporale nella pagina del dispositivo o nella pagina di ricerca avanzata. Questa sezione risolve il caso di alcuni o tutti gli eventi previsti mancanti. Ad esempio, se mancano tutti gli eventi CreatedFile .

Eventi di rete e di accesso mancanti

Microsoft Defender per endpoint framework usato audit da Linux per tenere traccia dell'attività di rete e di accesso.

  1. Assicurarsi che il framework di controllo funzioni.

    service auditd status
    

    output previsto:

    ● auditd.service - Security Auditing Service
    Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled)
    Active: active (running) since Mon 2020-12-21 10:48:02 IST; 2 weeks 0 days ago
        Docs: man:auditd(8)
            https://github.com/linux-audit/audit-documentation
    Process: 16689 ExecStartPost=/sbin/augenrules --load (code=exited, status=1/FAILURE)
    Process: 16665 ExecStart=/sbin/auditd (code=exited, status=0/SUCCESS)
    Main PID: 16666 (auditd)
        Tasks: 25
    CGroup: /system.slice/auditd.service
            ├─16666 /sbin/auditd
            ├─16668 /sbin/audispd
            ├─16670 /usr/sbin/sedispatch
            └─16671 /opt/microsoft/mdatp/sbin/mdatp_audisp_plugin -d
    
  2. Se auditd è contrassegnato come arrestato, avviarlo.

    service auditd start
    

Nei sistemi SLES , il controllo SYSCALL in auditd potrebbe essere disabilitato per impostazione predefinita e può essere considerato per gli eventi mancanti.

  1. Per verificare che il controllo SYSCALL non sia disabilitato, elencare le regole di controllo correnti:

    sudo auditctl -l
    

    se è presente la riga seguente, rimuoverla o modificarla per consentire a Microsoft Defender per endpoint di tenere traccia di syscalls specifici.

    -a task, never
    

    Le regole di controllo si trovano in /etc/audit/rules.d/audit.rules.

Eventi file mancanti

Gli eventi file vengono raccolti con il fanotify framework. Nel caso in cui alcuni o tutti gli eventi file siano mancanti, assicurarsi che fanotify sia abilitato nel dispositivo e che il file system sia supportato.

Elencare i file system nel computer con:

df -Th

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.