Risolvere i problemi di avvisi o eventi mancanti per Microsoft Defender per endpoint in Linux
Si applica a:
- Server di Microsoft Defender per endpoint.
- Microsoft Defender per server
Questo articolo fornisce alcuni passaggi generali per attenuare gli eventi o gli avvisi mancanti nel portale di Microsoft Defender.
Dopo aver installato correttamente Microsoft Defender per endpoint in un dispositivo, verrà generata una pagina del dispositivo nel portale. È possibile esaminare tutti gli eventi registrati nella scheda sequenza temporale nella pagina del dispositivo o nella pagina di ricerca avanzata. Questa sezione risolve il caso di alcuni o tutti gli eventi previsti mancanti. Ad esempio, se mancano tutti gli eventi CreatedFile .
Eventi di rete e di accesso mancanti
Microsoft Defender per endpoint framework usato audit
da Linux per tenere traccia dell'attività di rete e di accesso.
Assicurarsi che il framework di controllo funzioni.
service auditd status
output previsto:
● auditd.service - Security Auditing Service Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled) Active: active (running) since Mon 2020-12-21 10:48:02 IST; 2 weeks 0 days ago Docs: man:auditd(8) https://github.com/linux-audit/audit-documentation Process: 16689 ExecStartPost=/sbin/augenrules --load (code=exited, status=1/FAILURE) Process: 16665 ExecStart=/sbin/auditd (code=exited, status=0/SUCCESS) Main PID: 16666 (auditd) Tasks: 25 CGroup: /system.slice/auditd.service ├─16666 /sbin/auditd ├─16668 /sbin/audispd ├─16670 /usr/sbin/sedispatch └─16671 /opt/microsoft/mdatp/sbin/mdatp_audisp_plugin -d
Se
auditd
è contrassegnato come arrestato, avviarlo.service auditd start
Nei sistemi SLES , il controllo SYSCALL in auditd
potrebbe essere disabilitato per impostazione predefinita e può essere considerato per gli eventi mancanti.
Per verificare che il controllo SYSCALL non sia disabilitato, elencare le regole di controllo correnti:
sudo auditctl -l
se è presente la riga seguente, rimuoverla o modificarla per consentire a Microsoft Defender per endpoint di tenere traccia di syscalls specifici.
-a task, never
Le regole di controllo si trovano in
/etc/audit/rules.d/audit.rules
.
Eventi file mancanti
Gli eventi file vengono raccolti con il fanotify
framework. Nel caso in cui alcuni o tutti gli eventi file siano mancanti, assicurarsi che fanotify
sia abilitato nel dispositivo e che il file system sia supportato.
Elencare i file system nel computer con:
df -Th
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.