Kontroly posouzení řešení detekce a reakce u koncových bodů (MMA)

Microsoft Defender pro cloud poskytuje posouzení stavu podporovaných verzí řešení ochrany koncových bodů. Tento článek vysvětluje scénáře, které vedou Defender for Cloud k vygenerování následujících dvou doporučení:

Poznámka:

Vzhledem k tomu, že agent Log Analytics (označovaný také jako MMA) je nastavený na vyřazení z provozu v srpnu 2024, budou všechny funkce Defenderu pro servery, které na ní aktuálně závisejí, včetně funkcí popsaných na této stránce, k dispozici prostřednictvím integrace microsoft Defenderu pro koncové body nebo kontroly bez agentů před datem vyřazení z provozu. Další informace o roadmapě jednotlivých funkcí, které jsou aktuálně závislé na agentu Log Analytics, najdete v tomto oznámení.

Tip

Na konci roku 2021 jsme upravili doporučení, které nainstaluje ochranu koncových bodů. Jedna ze změn má vliv na to, jak doporučení zobrazuje počítače, které jsou vypnuté. V předchozí verzi se počítače, které byly vypnuté, zobrazily v seznamu Nepoužitelné. V novějším doporučení se nezobrazují v žádných seznamech prostředků (v pořádku, není v pořádku nebo není k dispozici).

Windows Defender

Tabulka vysvětluje scénáře, které vedou defender pro cloud, aby vygenerovaly následující dvě doporučení pro Windows Defender:

Doporučení Zobrazí se, když
Ochrana koncových bodů by měla být nainstalovaná na vašich počítačích. Spustí se Get-MpComputerStatus a výsledkem je AMServiceEnabled: False
Problémy se stavem služby Endpoint Protection by se měly vyřešit na vašich počítačích. Get-MpComputerStatus se spustí a dojde k některé z následujících situací:

Některé z následujících vlastností jsou false:

- AMServiceEnabled
- AntispywareEnabled
- RealTimeProtectionEnabled
- BehaviorMonitorEnabled
- IoavProtectionEnabled
- OnAccessProtectionEnabled

Pokud jedna nebo obě z následujících vlastností jsou 7 nebo více:

- AntispywareSignatureAge
- AntivirusSignatureAge

Microsoft System Center Endpoint Protection

Tabulka vysvětluje scénáře, které vedou defender for Cloud, aby vygenerovaly následující dvě doporučení pro ochranu koncových bodů microsoft System Center:

Doporučení Zobrazí se, když
Ochrana koncových bodů by měla být nainstalovaná na vašich počítačích. import SCEPMpModule ("$env:ProgramFiles\Microsoft Security Client\MpProvider\MpProvider.psd1") a spuštění rutiny Get-MProtComputerStatus má za následek AMServiceEnabled = false
Problémy se stavem služby Endpoint Protection by se měly vyřešit na vašich počítačích. Get-MprotComputerStatus běží a dojde k některé z následujících situací:

Nejméně jedna z následujících vlastností je false:

- AMServiceEnabled
- AntispywareEnabled
- RealTimeProtectionEnabled
- BehaviorMonitorEnabled
- IoavProtectionEnabled
- OnAccessProtectionEnabled

Pokud je jeden nebo oba následující podpisy Aktualizace větší nebo rovny 7:

- AntispywareSignatureAge
- AntivirusSignatureAge

Trend Micro

Tabulka vysvětluje scénáře, které vedou Defender for Cloud, aby vygenerovaly následující dvě doporučení pro Trend Micro:

Doporučení Zobrazí se, když
Ochrana koncových bodů by měla být nainstalovaná na vašich počítačích. Nejsou splněny některé z následujících kontrol:

- HKLM:\SOFTWARE\TrendMicro\Deep Security Agent existuje.
- HKLM:\SOFTWARE\TrendMicro\Deep Security Agent\InstallationFolder existuje
- Soubor dsa_query.cmd se nachází ve složce Instalace.
– Spuštění dsa_query.cmd výsledků s komponentou.AM.mode : zapnuto – Trend Micro Deep Security Agent zjistil

Ochrana koncových bodů Symantec

Tabulka vysvětluje scénáře, které vedou Defender for Cloud, aby vygenerovaly následující dvě doporučení pro ochranu koncových bodů Symantec:

Doporučení Zobrazí se, když
Ochrana koncových bodů by měla být nainstalovaná na vašich počítačích. Nejsou splněny některé z následujících kontrol:

- HKLM:\Software\Symantec\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection"
- HKLM:\Software\Symantec\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1
Nebo
- HKLM:\Software\Wow6432Node\Symantec\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection"
- HKLM:\Software\Wow6432Node\Symantec\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1
Problémy se stavem služby Endpoint Protection by se měly vyřešit na vašich počítačích. Nejsou splněny některé z následujících kontrol:

– Kontrola verze >Symantec = 12: Umístění registru: HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion - Value "PRODUCTVERSION"
- Kontrola stavu ochrany v reálném čase: HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\AV\Storages\Filesystem\RealTimeScan\OnOff == 1
- Kontrola stavu aktualizace podpisu: HKLM\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LatestVirusDefsDate <= 7 dní
- Kontrola stavu úplné kontroly: HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LastSuccessfulScanDateTime <= 7 dní
- Vyhledání cesty k verzi verze podpisu pro Symantec 12: Cesty registru+ CurrentVersion\SharedDefs -Value "SRTSP"
– Cesta k verzi podpisu pro Symantec 14: Cesty registru+ CurrentVersion\SharedDefs\SDSDefs -Value "SRTSP"

Cesty registru:

- "HKLM:\Software\Symantec\Symantec\Symantec Endpoint Protection" + $Path;
- "HKLM:\Software\Wow6432Node\Symantec\Symantec\Symantec Endpoint Protection" + $Path

Ochrana koncových bodů McAfee pro Windows

V tabulce jsou vysvětlené scénáře, které vedou defender for Cloud k vygenerování následujících dvou doporučení pro ochranu koncových bodů McAfee pro Windows:

Doporučení Zobrazí se, když
Ochrana koncových bodů by měla být nainstalovaná na vašich počítačích. Nejsou splněny některé z následujících kontrol:

- HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion existuje
- HKLM:\SOFTWARE\McAfee\AVSolution\MCSHIELDGLOBAL\GLOBAL\enableoas = 1
Problémy se stavem služby Endpoint Protection by se měly vyřešit na vašich počítačích. Nejsou splněny některé z následujících kontrol:

- McAfee Verze: HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion >= 10
- Najít podpis verze: HKLM:\Software\McAfee\AVSolution\DS\DS -Value "dwContentMajorVersion"
- Najít datum podpisu: HKLM:\Software\McAfee\AVSolution\DS\DS -Value "szContentCreationDate" >= 7 dní
- Najít datum kontroly: HKLM:\Software\McAfee\Endpoint\AV\ODS -Value "LastFullScanOdsRunTime" >= 7 dní

McAfee Endpoint Security for Linux Threat Prevention

Tabulka vysvětluje scénáře, které vedou Defender for Cloud k vygenerování následujících dvou doporučení pro Ochranu před internetovými útoky McAfee Endpoint Security pro Linux:

Doporučení Zobrazí se, když
Ochrana koncových bodů by měla být nainstalovaná na vašich počítačích. Nejsou splněny některé z následujících kontrol:

- Soubor /opt/McAfee/ens/tp/bin/mfetpcli existuje.
- Výstup /opt/McAfee/ens/tp/bin/mfetpcli --version je: McAfee name = McAfee Endpoint Security for Linux Threat Prevention a McAfee version >= 10
Problémy se stavem služby Endpoint Protection by se měly vyřešit na vašich počítačích. Nejsou splněny některé z následujících kontrol:

- "/opt/McAfee/ens/tp/bin/mfetpcli --listtask" vrátí rychlou kontrolu, úplnou kontrolu a obě kontroly <= 7 dní.
- "/opt/McAfee/ens/tp/bin/mfetpcli --listtask" vrátí dat a čas aktualizace modulu a oba dva z nich <= 7 dnů
- "/opt/McAfee/ens/tp/bin/mfetpcli --getoasconfig --summary" vrátí stav kontroly přístupu.

Sophos Antivirus pro Linux

Tabulka vysvětluje scénáře, které vedou Defender for Cloud k vygenerování následujících dvou doporučení pro Sophos Antivirus pro Linux:

Doporučení Zobrazí se, když
Ochrana koncových bodů by měla být nainstalovaná na vašich počítačích. Nejsou splněny některé z následujících kontrol:

- File /opt/sophos-av/bin/savdstatus exits or search for customized location "readlink $(which savscan)"
- "/opt/sophos-av/bin/savdstatus --version" vrátí název Sophos = Sophos Anti-Virus a Sophos verze >= 9
Problémy se stavem služby Endpoint Protection by se měly vyřešit na vašich počítačích. Nejsou splněny některé z následujících kontrol:

- "/opt/sophos-av/bin/savlog --maxage=7 | grep -i "Naplánovaná kontrola .* dokončena" | tail -1" vrátí hodnotu.
- "/opt/sophos-av/bin/savlog --maxage=7 | Grep "scan finished" | tail -1, vrátí hodnotu.
- Výraz /opt/sophos-av/bin/savdstatus --lastupdate vrátí lastUpdate, což by mělo být <= 7 dnů.
- "/opt/sophos-av/bin/savdstatus -v" se rovná kontrole přístupu.
- Vrátí povolenou hodnotu /opt/sophos-av/bin/savconfig get LiveProtection.

Řešení potíží a podpora

Odstraňování potíží

Protokoly rozšíření Microsoft Antimalware jsou k dispozici na adrese: %Systemdrive%\WindowsAzure\Logs\Plugins\Microsoft.Azure.Security.IaaSAntimalware(Or PaaSAntimalware)\1.5.5.x(verze#)\CommandExecution.log

Technická podpora

Pokud potřebujete další pomoc, obraťte se na odborníky na Azure v podpoře komunity Azure. Nebo vytvořte podpora Azure incident. Přejděte na web podpora Azure a vyberte Získat podporu. Informace o používání podpory Azure najdete v běžných dotazech k Microsoftu podpora Azure.