Megosztás a következőn keresztül:

A linuxos Végponthoz készült Microsoft Defender hiányzó eseményeivel vagy riasztásaival kapcsolatos problémák elhárítása

  • Cikk

A következőkre vonatkozik:

Ez a cikk néhány általános lépést tartalmaz a hiányzó események vagy riasztások elhárításához a Microsoft Defender portálon.

Miután Végponthoz készült Microsoft Defender megfelelően telepítette az eszközt, létrejön egy eszközoldal a portálon. Az összes rögzített eseményt áttekintheti az eszközoldal idővonal lapján vagy a speciális veszélyforrás-keresés oldalon. Ez a szakasz néhány vagy az összes várt esemény hiányával kapcsolatos hibákat hárítja el. Ha például az összes CreatedFile esemény hiányzik.

Hiányzó hálózati és bejelentkezési események

Végponthoz készült Microsoft Defender a linuxos keretrendszert audit használja a hálózati és bejelentkezési tevékenységek nyomon követéséhez.

  1. Győződjön meg arról, hogy a naplózási keretrendszer működik.

    service auditd status

    várt kimenet:

    ● auditd.service - Security Auditing Service
Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled)
Active: active (running) since Mon 2020-12-21 10:48:02 IST; 2 weeks 0 days ago
    Docs: man:auditd(8)
        https://github.com/linux-audit/audit-documentation
Process: 16689 ExecStartPost=/sbin/augenrules --load (code=exited, status=1/FAILURE)
Process: 16665 ExecStart=/sbin/auditd (code=exited, status=0/SUCCESS)
Main PID: 16666 (auditd)
    Tasks: 25
CGroup: /system.slice/auditd.service
        ├─16666 /sbin/auditd
        ├─16668 /sbin/audispd
        ├─16670 /usr/sbin/sedispatch
        └─16671 /opt/microsoft/mdatp/sbin/mdatp_audisp_plugin -d

  2. Ha auditd a rendszer leállítottként van megjelölve, indítsa el.

    service auditd start

Az SLES-rendszereken a SYSCALL naplózása auditd alapértelmezés szerint le van tiltva, és figyelembe lehet venni a hiányzó eseményeket.

  1. Annak ellenőrzéséhez, hogy a SYSCALL naplózása nincs-e letiltva, sorolja fel az aktuális naplózási szabályokat:

    sudo auditctl -l

    ha a következő sor található, távolítsa el vagy szerkessze, hogy Végponthoz készült Microsoft Defender nyomon követhesse az adott SYSCALL-eket.

    -a task, never

    A naplózási szabályok a következő helyen találhatók: /etc/audit/rules.d/audit.rules.

Hiányzó fájlesemények

A rendszer keretrendszerrel fanotify gyűjti a fájleseményeket. Ha néhány vagy az összes fájlesemény hiányzik, győződjön meg arról fanotify , hogy engedélyezve van az eszközön, és hogy a fájlrendszer támogatott.

Sorolja fel a számítógépen található fájlrendszereket a következőkkel:

df -Th

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.