Freigeben über


Überprüfen und korrigieren Sie die Empfehlungen zur Erkennung und Reaktion auf Endpunkte (MMA)

Microsoft Defender für Cloud bietet Integritätsbewertungen von unterstützten Versionen von Endpoint Protection-Lösungen. In diesem Artikel werden die Szenarien erläutert, die dazu führen, dass Defender für Cloud die folgenden beiden Empfehlungen generiert:

Hinweis

Da der Log Analytics-Agent (auch bekannt als MMA) im August 2024 eingestellt wird, werden alle Defender for Servers-Features, die derzeit von ihm abhängen, einschließlich der auf dieser Seite beschriebenen Features, vor dem Einstellungsdatum entweder über die Microsoft Defender for Endpoint-Integration oder das agentenlose Scannen verfügbar sein. Weitere Informationen zur Roadmap für die einzelnen Features, die derzeit auf dem Log Analytics-Agent basieren, finden Sie in dieser Ankündigung.

Tipp

Ende 2021 haben wir die Empfehlung zur Installation eines Endpunktschutzes überarbeitet. Eine der Änderungen betrifft die Art und Weise, wie die Empfehlung ausgeschaltete Rechner anzeigt. In der vorherigen Version erschienen ausgeschaltete Geräte in der Liste "Nicht zutreffend". In der neueren Empfehlung erscheinen sie in keiner der Ressourcenlisten (gesund, ungesund oder nicht zutreffend).

Windows Defender

In der Tabelle werden die Szenarien erläutert, die dazu führen, dass Defender for Cloud die beiden folgenden Empfehlungen für Windows Defender generiert:

Empfehlung Bedingung für Anzeige
Endpoint Protection sollte auf Ihren Computern installiert sein Get-MpComputerStatus wird ausgeführt, und das Ergebnis lautet AMServiceEnabled: False
Endpoint Protection-Integritätsprobleme sollten auf Ihren Computern gelöst werden Get-MpComputerStatus wird ausgeführt, und eines der folgenden Ereignisse tritt auf:

Eine der folgenden Eigenschaften ist FALSE:

- AMServiceEnabled
- AntispywareEnabled
- RealTimeProtectionEnabled
- BehaviorMonitorEnabled
- IoavProtectionEnabled
- OnAccessProtectionEnabled

Mindestens eine der folgenden Eigenschaften ist größer oder gleich 7:

- AntispywareSignatureAge
- AntivirusSignatureAge

Microsoft System Center Endpoint Protection

In der Tabelle werden die Szenarien erläutert, die dazu führen, dass Defender for Cloud die beiden folgenden Empfehlungen für Microsoft System Center Endpoint Protection generiert:

Empfehlung Bedingung für Anzeige
Endpoint Protection sollte auf Ihren Computern installiert sein Das Importieren von SCEPMpModule ("$env:ProgramFiles\Microsoft Security Client\MpProvider\MpProvider.psd1") und das Ausführen von Get-MProtComputerStatus führt zu AMServiceEnabled = False
Endpoint Protection-Integritätsprobleme sollten auf Ihren Computern gelöst werden Get-MprotComputerStatus wird ausgeführt, und eines der folgenden Ereignisse tritt auf:

Mindestens eine der folgenden Eigenschaften ist „False“:

- AMServiceEnabled
- AntispywareEnabled
- RealTimeProtectionEnabled
- BehaviorMonitorEnabled
- IoavProtectionEnabled
- OnAccessProtectionEnabled

Mindestens eine oder beide folgenden Signaturaktualisierungen ist größer oder gleich 7:

- AntispywareSignatureAge
- AntivirusSignatureAge

Trend Micro

In der Tabelle werden die Szenarien erläutert, die dazu führen, dass Defender for Cloud die beiden folgenden Empfehlungen für Trend Micro generiert:

Empfehlung Bedingung für Anzeige
Endpoint Protection sollte auf Ihren Computern installiert sein eine der folgenden Überprüfungen ist nicht erfüllt:

- HKLM:\SOFTWARE\TrendMicro\Deep Security Agent ist vorhanden
- HKLM:\SOFTWARE\TrendMicro\Deep Security Agent\InstallationFolder ist vorhanden
– Die Datei dsa_query.cmd wird im Installationsordner gefunden
– Das Ausführen von dsa_query.cmd führt zum Ergebnis Component.AM.mode: ein – Trend Micro Deep Security-Agent erkannt

Symantec Endpoint Protection

In der Tabelle werden die Szenarien erläutert, die dazu führen, dass Defender for Cloud die beiden folgenden Empfehlungen für Symantec Endpoint Protection generiert:

Empfehlung Bedingung für Anzeige
Endpoint Protection sollte auf Ihren Computern installiert sein eine der folgenden Überprüfungen ist nicht erfüllt:

- HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection"
- HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1
oder .
- HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection"
- HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1
Endpoint Protection-Integritätsprobleme sollten auf Ihren Computern gelöst werden eine der folgenden Überprüfungen ist nicht erfüllt:

– Überprüfen der Symantec-Version >= 12: Registrierungsspeicherort: HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion" -Value "PRODUCTVERSION"
– Echtzeitschutzstatus überprüfen: HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\AV\Storages\Filesystem\RealTimeScan\OnOff == 1
– Status der Signaturaktualisierung überprüfen: HKLM\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LatestVirusDefsDate <= 7 Tage
– Status der vollständigen Überprüfung überprüfen: HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LastSuccessfulScanDateTime <= 7 Tage
– Signaturversionsnummer suchen, Pfad zur Signaturversion für Symantec 12: Registrierungspfade+ "CurrentVersion\SharedDefs" -Value "SRTSP"
– Pfad zur Signaturversion für Symantec 14: Registrierungspfade+ "CurrentVersion\SharedDefs\SDSDefs" -Value "SRTSP"

Registrierungspfade:

- "HKLM:\Software\Symantec\Symantec Endpoint Protection" + $Path;
- "HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection" + $Path

McAfee Endpoint Protection für Windows

In der Tabelle werden die Szenarien erläutert, die dazu führen, dass Defender for Cloud die beiden folgenden Empfehlungen für McAfee Endpoint Protection für Windows generiert:

Empfehlung Bedingung für Anzeige
Endpoint Protection sollte auf Ihren Computern installiert sein eine der folgenden Überprüfungen ist nicht erfüllt:

- HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion ist vorhanden
- HKLM:\SOFTWARE\McAfee\AVSolution\MCSHIELDGLOBAL\GLOBAL\enableoas = 1
Endpoint Protection-Integritätsprobleme sollten auf Ihren Computern gelöst werden eine der folgenden Überprüfungen ist nicht erfüllt:

– McAfee-Version: HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion >= 10
– Signaturversion suchen: HKLM:\Software\McAfee\AVSolution\DS\DS -Value "dwContentMajorVersion"
– Signaturdatum suchen: HKLM:\Software\McAfee\AVSolution\DS\DS -Value "szContentCreationDate" >= 7 Tage
– Scandatum suchen: HKLM:\Software\McAfee\Endpoint\AV\ODS -Wert "LastFullScanOdsRunTime" >= 7 Tage

McAfee Endpoint Security für Linux-Bedrohungsschutz

In der Tabelle werden die Szenarien erläutert, die dazu führen, dass Defender for Cloud die beiden folgenden Empfehlungen für McAfee Endpoint Security für Linux-Bedrohungsschutz generiert:

Empfehlung Bedingung für Anzeige
Endpoint Protection sollte auf Ihren Computern installiert sein eine der folgenden Überprüfungen ist nicht erfüllt:

– Datei /opt/McAfee/ens/tp/bin/mfetpcli ist vorhanden
- "/opt/McAfee/ens/tp/bin/mfetpcli --version" Ausgabe ist: McAfee Name = McAfee Endpoint Security for Linux Threat Prevention und McAfee Version >= 10
Endpoint Protection-Integritätsprobleme sollten auf Ihren Computern gelöst werden eine der folgenden Überprüfungen ist nicht erfüllt:

- "/opt/McAfee/ens/tp/bin/mfetpcli --listtask" gibt Schneller Scan, Vollständiger Scan zurück, und für beide Scans gilt <= 7 Tage
- "/opt/McAfee/ens/tp/bin/mfetpcli --listtask" gibt Datenzugriffstool und Modulaktualisierungszeit zurück, und für beide gilt <= 7 Tage
- "/opt/McAfee/ens/tp/bin/mfetpcli --getoasconfig --summary" gibt den Status On Access Scan zurück

Sophos Antivirus für Linux

In der Tabelle werden die Szenarien erläutert, die dazu führen, dass Defender for Cloud die beiden folgenden Empfehlungen für Sophos Antivirus für Linux generiert:

Empfehlung Bedingung für Anzeige
Endpoint Protection sollte auf Ihren Computern installiert sein eine der folgenden Überprüfungen ist nicht erfüllt:

– Datei /opt/sophos-av/bin/savdstatus ist vorhanden, oder Suche nach benutzerdefiniertem Speicherort "readlink $(which savscan)"
- "/opt/sophos-av/bin/savdstatus --version" liefert Sophos Name = Sophos Anti-Virus und Sophos Version >= 9
Endpoint Protection-Integritätsprobleme sollten auf Ihren Computern gelöst werden eine der folgenden Überprüfungen ist nicht erfüllt:

- "/opt/sophos-av/bin/savlog --maxage=7 | grep -i "Geplanter Scan .* abgeschlossen" | tail -1", gibt einen Wert zurück
- "/opt/sophos-av/bin/savlog --maxage=7 | grep "Scan beendet" | tail -1", gibt einen Wert zurück
- "/opt/sophos-av/bin/savdstatus --lastupdate" gibt lastUpdate zurück, welches <= 7 Tage sein sollte
- "/opt/sophos-av/bin/savdstatus -v" entspricht "On-access scanning is running"
- "/opt/sophos-av/bin/savconfig get LiveProtection" gibt „enabled“ zurück

Problembehandlung und Support

Problembehandlung

Die Protokolle der Microsoft Antimalware-Erweiterung sind unter %Systemdrive%\WindowsAzure\Logs\Plugins\Microsoft.Azure.Security.IaaSAntimalware(Or PaaSAntimalware)\1.5.5.x(version#)\CommandExecution.log verfügbar.

Unterstützung

Wenn Sie weitere Hilfe benötigen, wenden Sie sich an die Azure-Expert*innen im Azure-Communitysupport. Sie können auch einen Azure-Supportfall erstellen. Rufen Sie die Azure-Support-Website auf, und wählen Sie „Support erhalten“ aus. Informationen zur Nutzung von Azure-Support finden Sie unter Häufig gestellte Fragen zum Microsoft Azure-Support.