針對Linux上的 適用於端點的 Microsoft Defender遺漏事件或警示問題進行疑難解答

適用於：

• Linux 上適用於端點的 Microsoft Defender
• 適用於端點的 Microsoft Defender 方案 1
• 適用於端點的 Microsoft Defender 方案 2

本文提供一些一般步驟，以減輕 Microsoft Defender 入口網站中遺失的事件或警示。

在裝置上正確安裝 適用於端點的 Microsoft Defender 之後，就會在入口網站中產生裝置頁面。 您可以在裝置頁面的 [時程表] 索引標籤中，或在進階搜捕頁面中檢閱所有記錄的事件。 本節會針對部分或所有預期事件遺失的案例進行疑難解答。 例如，如果遺漏所有 CreatedFile 事件。

遺漏網路和登入事件

適用於端點的 Microsoft Defender 使用Linux的audit架構來追蹤網路和登入活動。

1. 請確定稽核架構正常運作。

   service auditd status
   

   預期的輸出：

   ● auditd.service - Security Auditing Service
   Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled)
   Active: active (running) since Mon 2020-12-21 10:48:02 IST; 2 weeks 0 days ago
       Docs: man:auditd(8)
           https://github.com/linux-audit/audit-documentation
   Process: 16689 ExecStartPost=/sbin/augenrules --load (code=exited, status=1/FAILURE)
   Process: 16665 ExecStart=/sbin/auditd (code=exited, status=0/SUCCESS)
   Main PID: 16666 (auditd)
       Tasks: 25
   CGroup: /system.slice/auditd.service
           ├─16666 /sbin/auditd
           ├─16668 /sbin/audispd
           ├─16670 /usr/sbin/sedispatch
           └─16671 /opt/microsoft/mdatp/sbin/mdatp_audisp_plugin -d
   

2. 如果 auditd 標示為已停止，請啟動它。

   service auditd start
   

在 SLES 系統上，預設可能會停用 中的 auditd SYSCALL 稽核，並可將遺漏事件納入考慮。

1. 若要驗證 SYSCALL 稽核未停用，請列出目前的稽核規則：

   sudo auditctl -l
   

   如果下列這一行存在，請將其移除或編輯，以啟用 適用於端點的 Microsoft Defender 以追蹤特定的 SYSCALL。

   -a task, never
   

   稽核規則位於 /etc/audit/rules.d/audit.rules。

遺漏檔案事件

檔案事件會使用 fanotify 架構收集。 如果遺漏部分或所有檔案事件，請確定 fanotify 已在裝置上啟用，且 支援文件系統。

使用下列項目列出電腦上的檔案系統：

df -Th