本文提供一些一般步驟,以減輕 Microsoft Defender 入口網站中遺漏的事件或警示。
在裝置上正確安裝適用於端點的 Microsoft Defender 之後,入口網站中會產生裝置頁面。 您可以在裝置頁面的 [時程表] 索引標籤中檢閱所有記錄的事件,或進階搜捕頁面。 本節針對缺少部分或所有預期事件的情況進行疑難排解。 例如,如果遺漏所有 CreatedFile 事件。
缺少網路和登入事件
適用於端點的 Microsoft Defender 利用 audit Linux 的框架來跟踪網絡和登錄活動。
確保審計框架正常工作。
service auditd status預期輸出:
● auditd.service - Security Auditing Service Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled) Active: active (running) since Mon 2020-12-21 10:48:02 IST; 2 weeks 0 days ago Docs: man:auditd(8) https://github.com/linux-audit/audit-documentation Process: 16689 ExecStartPost=/sbin/augenrules --load (code=exited, status=1/FAILURE) Process: 16665 ExecStart=/sbin/auditd (code=exited, status=0/SUCCESS) Main PID: 16666 (auditd) Tasks: 25 CGroup: /system.slice/auditd.service ├─16666 /sbin/auditd ├─16668 /sbin/audispd ├─16670 /usr/sbin/sedispatch └─16671 /opt/microsoft/mdatp/sbin/mdatp_audisp_plugin -d如果標示為已停止,請
auditd啟動它。service auditd start
在 SLES 系統上 ,預設情況下可能會停用 SYSCALL auditd 審核,並且可以考慮遺漏的事件。
若要驗證 SYSCALL 審核是否未停用,請列出現行審核規則:
sudo auditctl -l如果下列行存在,請移除它或編輯它,以啟用適用於端點的 Microsoft Defender 來追蹤特定的 SYSCALL。
-a task, never審核規則位於
/etc/audit/rules.d/audit.rules。
遺失檔案事件
檔案事件是使用架構收集 fanotify 的。 如果遺漏部分或全部檔案事件,請確定 fanotify 裝置上已啟用,且 支援檔案系統。
列出電腦上的檔案系統,其中包含:
df -Th
提示
想要深入了解? 在我們的技術社區中與Microsoft安全社區Engage:適用於端點的 Microsoft Defender技術社區。