Überprüfen und korrigieren Sie die Empfehlungen zur Erkennung und Reaktion auf Endpunkte (MMA)
Microsoft Defender für Cloud bietet Integritätsbewertungen von unterstützten Versionen von Endpoint Protection-Lösungen. In diesem Artikel werden die Szenarien erläutert, die dazu führen, dass Defender für Cloud die folgenden beiden Empfehlungen generiert:
- Endpoint Protection sollte auf Ihren Computern installiert sein.
- Endpoint Protection-Integritätsprobleme sollten auf Ihren Computern gelöst werden
Hinweis
Da der Log Analytics-Agent (auch bekannt als MMA) im August 2024 eingestellt wird, werden alle Defender for Servers-Features, die derzeit von ihm abhängen, einschließlich der auf dieser Seite beschriebenen Features, vor dem Einstellungsdatum entweder über die Microsoft Defender for Endpoint-Integration oder das agentenlose Scannen verfügbar sein. Weitere Informationen zur Roadmap für die einzelnen Features, die derzeit auf dem Log Analytics-Agent basieren, finden Sie in dieser Ankündigung.
Tipp
Ende 2021 haben wir die Empfehlung zur Installation eines Endpunktschutzes überarbeitet. Eine der Änderungen betrifft die Art und Weise, wie die Empfehlung ausgeschaltete Rechner anzeigt. In der vorherigen Version erschienen ausgeschaltete Geräte in der Liste "Nicht zutreffend". In der neueren Empfehlung erscheinen sie in keiner der Ressourcenlisten (gesund, ungesund oder nicht zutreffend).
Windows Defender
In der Tabelle werden die Szenarien erläutert, die dazu führen, dass Defender for Cloud die beiden folgenden Empfehlungen für Windows Defender generiert:
Empfehlung | Bedingung für Anzeige |
---|---|
Endpoint Protection sollte auf Ihren Computern installiert sein | Get-MpComputerStatus wird ausgeführt, und das Ergebnis lautet AMServiceEnabled: False |
Endpoint Protection-Integritätsprobleme sollten auf Ihren Computern gelöst werden | Get-MpComputerStatus wird ausgeführt, und eines der folgenden Ereignisse tritt auf: Eine der folgenden Eigenschaften ist FALSE: - AMServiceEnabled - AntispywareEnabled - RealTimeProtectionEnabled - BehaviorMonitorEnabled - IoavProtectionEnabled - OnAccessProtectionEnabled Mindestens eine der folgenden Eigenschaften ist größer oder gleich 7: - AntispywareSignatureAge - AntivirusSignatureAge |
Microsoft System Center Endpoint Protection
In der Tabelle werden die Szenarien erläutert, die dazu führen, dass Defender for Cloud die beiden folgenden Empfehlungen für Microsoft System Center Endpoint Protection generiert:
Empfehlung | Bedingung für Anzeige |
---|---|
Endpoint Protection sollte auf Ihren Computern installiert sein | Das Importieren von SCEPMpModule ("$env:ProgramFiles\Microsoft Security Client\MpProvider\MpProvider.psd1") und das Ausführen von Get-MProtComputerStatus führt zu AMServiceEnabled = False |
Endpoint Protection-Integritätsprobleme sollten auf Ihren Computern gelöst werden | Get-MprotComputerStatus wird ausgeführt, und eines der folgenden Ereignisse tritt auf: Mindestens eine der folgenden Eigenschaften ist „False“: - AMServiceEnabled - AntispywareEnabled - RealTimeProtectionEnabled - BehaviorMonitorEnabled - IoavProtectionEnabled - OnAccessProtectionEnabled Mindestens eine oder beide folgenden Signaturaktualisierungen ist größer oder gleich 7: - AntispywareSignatureAge - AntivirusSignatureAge |
Trend Micro
In der Tabelle werden die Szenarien erläutert, die dazu führen, dass Defender for Cloud die beiden folgenden Empfehlungen für Trend Micro generiert:
Empfehlung | Bedingung für Anzeige |
---|---|
Endpoint Protection sollte auf Ihren Computern installiert sein | eine der folgenden Überprüfungen ist nicht erfüllt: - HKLM:\SOFTWARE\TrendMicro\Deep Security Agent ist vorhanden - HKLM:\SOFTWARE\TrendMicro\Deep Security Agent\InstallationFolder ist vorhanden – Die Datei dsa_query.cmd wird im Installationsordner gefunden – Das Ausführen von dsa_query.cmd führt zum Ergebnis Component.AM.mode: ein – Trend Micro Deep Security-Agent erkannt |
Symantec Endpoint Protection
In der Tabelle werden die Szenarien erläutert, die dazu führen, dass Defender for Cloud die beiden folgenden Empfehlungen für Symantec Endpoint Protection generiert:
Empfehlung | Bedingung für Anzeige |
---|---|
Endpoint Protection sollte auf Ihren Computern installiert sein | eine der folgenden Überprüfungen ist nicht erfüllt: - HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection" - HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1 oder . - HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection" - HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1 |
Endpoint Protection-Integritätsprobleme sollten auf Ihren Computern gelöst werden | eine der folgenden Überprüfungen ist nicht erfüllt: – Überprüfen der Symantec-Version >= 12: Registrierungsspeicherort: HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion" -Value "PRODUCTVERSION" – Echtzeitschutzstatus überprüfen: HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\AV\Storages\Filesystem\RealTimeScan\OnOff == 1 – Status der Signaturaktualisierung überprüfen: HKLM\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LatestVirusDefsDate <= 7 Tage – Status der vollständigen Überprüfung überprüfen: HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LastSuccessfulScanDateTime <= 7 Tage – Signaturversionsnummer suchen, Pfad zur Signaturversion für Symantec 12: Registrierungspfade+ "CurrentVersion\SharedDefs" -Value "SRTSP" – Pfad zur Signaturversion für Symantec 14: Registrierungspfade+ "CurrentVersion\SharedDefs\SDSDefs" -Value "SRTSP" Registrierungspfade: - "HKLM:\Software\Symantec\Symantec Endpoint Protection" + $Path; - "HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection" + $Path |
McAfee Endpoint Protection für Windows
In der Tabelle werden die Szenarien erläutert, die dazu führen, dass Defender for Cloud die beiden folgenden Empfehlungen für McAfee Endpoint Protection für Windows generiert:
Empfehlung | Bedingung für Anzeige |
---|---|
Endpoint Protection sollte auf Ihren Computern installiert sein | eine der folgenden Überprüfungen ist nicht erfüllt: - HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion ist vorhanden - HKLM:\SOFTWARE\McAfee\AVSolution\MCSHIELDGLOBAL\GLOBAL\enableoas = 1 |
Endpoint Protection-Integritätsprobleme sollten auf Ihren Computern gelöst werden | eine der folgenden Überprüfungen ist nicht erfüllt: – McAfee-Version: HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion >= 10 – Signaturversion suchen: HKLM:\Software\McAfee\AVSolution\DS\DS -Value "dwContentMajorVersion" – Signaturdatum suchen: HKLM:\Software\McAfee\AVSolution\DS\DS -Value "szContentCreationDate" >= 7 Tage – Scandatum suchen: HKLM:\Software\McAfee\Endpoint\AV\ODS -Wert "LastFullScanOdsRunTime" >= 7 Tage |
McAfee Endpoint Security für Linux-Bedrohungsschutz
In der Tabelle werden die Szenarien erläutert, die dazu führen, dass Defender for Cloud die beiden folgenden Empfehlungen für McAfee Endpoint Security für Linux-Bedrohungsschutz generiert:
Empfehlung | Bedingung für Anzeige |
---|---|
Endpoint Protection sollte auf Ihren Computern installiert sein | eine der folgenden Überprüfungen ist nicht erfüllt: – Datei /opt/McAfee/ens/tp/bin/mfetpcli ist vorhanden - "/opt/McAfee/ens/tp/bin/mfetpcli --version" Ausgabe ist: McAfee Name = McAfee Endpoint Security for Linux Threat Prevention und McAfee Version >= 10 |
Endpoint Protection-Integritätsprobleme sollten auf Ihren Computern gelöst werden | eine der folgenden Überprüfungen ist nicht erfüllt: - "/opt/McAfee/ens/tp/bin/mfetpcli --listtask" gibt Schneller Scan, Vollständiger Scan zurück, und für beide Scans gilt <= 7 Tage - "/opt/McAfee/ens/tp/bin/mfetpcli --listtask" gibt Datenzugriffstool und Modulaktualisierungszeit zurück, und für beide gilt <= 7 Tage - "/opt/McAfee/ens/tp/bin/mfetpcli --getoasconfig --summary" gibt den Status On Access Scan zurück |
Sophos Antivirus für Linux
In der Tabelle werden die Szenarien erläutert, die dazu führen, dass Defender for Cloud die beiden folgenden Empfehlungen für Sophos Antivirus für Linux generiert:
Empfehlung | Bedingung für Anzeige |
---|---|
Endpoint Protection sollte auf Ihren Computern installiert sein | eine der folgenden Überprüfungen ist nicht erfüllt: – Datei /opt/sophos-av/bin/savdstatus ist vorhanden, oder Suche nach benutzerdefiniertem Speicherort "readlink $(which savscan)" - "/opt/sophos-av/bin/savdstatus --version" liefert Sophos Name = Sophos Anti-Virus und Sophos Version >= 9 |
Endpoint Protection-Integritätsprobleme sollten auf Ihren Computern gelöst werden | eine der folgenden Überprüfungen ist nicht erfüllt: - "/opt/sophos-av/bin/savlog --maxage=7 | grep -i "Geplanter Scan .* abgeschlossen" | tail -1", gibt einen Wert zurück - "/opt/sophos-av/bin/savlog --maxage=7 | grep "Scan beendet" | tail -1", gibt einen Wert zurück - "/opt/sophos-av/bin/savdstatus --lastupdate" gibt lastUpdate zurück, welches <= 7 Tage sein sollte - "/opt/sophos-av/bin/savdstatus -v" entspricht "On-access scanning is running" - "/opt/sophos-av/bin/savconfig get LiveProtection" gibt „enabled“ zurück |
Problembehandlung und Support
Problembehandlung
Die Protokolle der Microsoft Antimalware-Erweiterung sind unter %Systemdrive%\WindowsAzure\Logs\Plugins\Microsoft.Azure.Security.IaaSAntimalware(Or PaaSAntimalware)\1.5.5.x(version#)\CommandExecution.log verfügbar.
Unterstützung
Wenn Sie weitere Hilfe benötigen, wenden Sie sich an die Azure-Expert*innen im Azure-Communitysupport. Sie können auch einen Azure-Supportfall erstellen. Rufen Sie die Azure-Support-Website auf, und wählen Sie „Support erhalten“ aus. Informationen zur Nutzung von Azure-Support finden Sie unter Häufig gestellte Fragen zum Microsoft Azure-Support.