Comprobaciones de evaluación para soluciones de detección y respuesta de puntos de conexión
Microsoft Defender para nubes proporciona evaluaciones de estado de las versiones admitidas de las soluciones de Endpoint Protection. En este artículo se explican los escenarios que llevan a Defender for Cloud a generar las dos recomendaciones siguientes:
- La protección de los puntos de conexión debe instalarse en las máquinas
- Los problemas de estado de protección de puntos de conexión se deben resolver en las máquinas
Nota:
Como el agente de Log Analytics (también conocido como MMA) está establecido para retirarse en agosto de 2024, todas las características de Defender for Servers que dependen actualmente de ella, incluidas las descritas en esta página, estarán disponibles a través de la Integración de Microsoft Defender para punto de conexión o el análisis sin agente, antes de la fecha de retirada. Para obtener más información sobre el mapa de ruta de cada una de las características que se basan actualmente en el agente de Log Analytics, consulte este anuncio.
Sugerencia
A fines de 2021, revisamos la recomendación que instala protección para los puntos de conexión. Uno de los cambios afecta a la forma en que la recomendación muestra las máquinas que están apagadas. En la versión anterior, las máquinas que se desactivaron aparecían en la lista "No aplicable". En la recomendación más reciente, no aparecen en ninguna de las listas de recursos (correctos, incorrectos o no aplicables).
Windows Defender
| Recomendación | Aparece cuando |
|---|---|
| La protección de los puntos de conexión debe instalarse en las máquinas | Get-MpComputerStatus se ejecuta y el resultado es AMServiceEnabled: False |
| Los problemas de estado de protección de puntos de conexión se deben resolver en las máquinas | Get-MpComputerStatus se ejecuta y se produce cualquiera de las siguientes acciones: Todas estas propiedades son false: - AMServiceEnabled - AntispywareEnabled - RealTimeProtectionEnabled - BehaviorMonitorEnabled - IoavProtectionEnabled - OnAccessProtectionEnabled Si una de las siguientes propiedades, o las dos, es mayor o igual que siete: - AntispywareSignatureAge - AntivirusSignatureAge |
Microsoft System Center Endpoint Protection
| Recomendación | Aparece cuando |
|---|---|
| La protección de los puntos de conexión debe instalarse en las máquinas | importar SCEPMpModule ("$env:ProgramFiles\Microsoft Security Client\MpProvider\MpProvider.psd1") y ejecutar Get-MProtComputerStatus da como resultado AMServiceEnabled = false |
| Los problemas de estado de protección de puntos de conexión se deben resolver en las máquinas | Get-MprotComputerStatus se ejecuta y se produce cualquiera de las siguientes acciones: Al menos una de las propiedades siguientes es false: - AMServiceEnabled - AntispywareEnabled - RealTimeProtectionEnabled - BehaviorMonitorEnabled - IoavProtectionEnabled - OnAccessProtectionEnabled Si una de las siguientes actualizaciones de firma, o las dos, es mayor o igual que siete. - AntispywareSignatureAge - AntivirusSignatureAge |
Trend Micro
| Recomendación | Aparece cuando |
|---|---|
| La protección de los puntos de conexión debe instalarse en las máquinas | No se cumplen ninguna de las siguientes comprobaciones: - HKLM:\SOFTWARE\TrendMicro\Deep Security Agent existe - HKLM:\SOFTWARE\TrendMicro\Deep Security Agent\InstallationFolder existe - El archivo dsa_query.cmd se encuentra en la carpeta de instalación - La ejecución de dsa_query.cmd da como resultado Component.AM.mode: on - Trend Micro Deep Security Agent detected |
Symantec Endpoint Protection
| Recomendación | Aparece cuando |
|---|---|
| La protección de los puntos de conexión debe instalarse en las máquinas | No se cumplen ninguna de las siguientes comprobaciones: - HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection" - HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1 O - HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection" - HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1 |
| Los problemas de estado de protección de puntos de conexión se deben resolver en las máquinas | No se cumplen ninguna de las siguientes comprobaciones: - Comprobar la versión de Symantec >= 12: Registry location: HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion" -Value "PRODUCTVERSION" - Comprobar el estado de protección en tiempo real: HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\AV\Storages\Filesystem\RealTimeScan\OnOff == 1 - Verificar el estado de la actualización de firmas: HKLM\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LatestVirusDefsDate <= 7 días - Verificar el estado del escaneo completo: HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LastSuccessfulScanDateTime <= 7 días - Buscar el número de versión de la firma Ruta de acceso a la versión de la firma para Symantec 12: Registry Paths+ "CurrentVersion\SharedDefs" -Value "SRTSP" - Ruta de acceso a la versión de la firma para Symantec 14: Registry Paths+ "CurrentVersion\SharedDefs\SDSDefs" -Value "SRTSP" Rutas de acceso del Registro: - "HKLM:\Software\Symantec\Symantec Endpoint Protection" + $Path; - "HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection" + $Path |
McAfee Endpoint Protection para Windows
| Recomendación | Aparece cuando |
|---|---|
| La protección de los puntos de conexión debe instalarse en las máquinas | No se cumplen ninguna de las siguientes comprobaciones: - HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion exists - HKLM:\SOFTWARE\McAfee\AVSolution\MCSHIELDGLOBAL\GLOBAL\enableoas = 1 |
| Los problemas de estado de protección de puntos de conexión se deben resolver en las máquinas | No se cumplen ninguna de las siguientes comprobaciones: - Versión de McAfee: HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion >= 10 - Buscar versión de la firma: HKLM:\Software\McAfee\AVSolution\DS\DS -Value "dwContentMajorVersion" - Buscar la fecha de la firma: HKLM:\Software\McAfee\AVSolution\DS\DS -Value "szContentCreationDate" >= 7 días - Buscar la fecha del examen: HKLM:\Software\McAfee\Endpoint\AV\ODS -Value "LastFullScanOdsRunTime" >= 7 días |
McAfee Endpoint Security for Linux Threat Prevention
| Recomendación | Aparece cuando |
|---|---|
| La protección de los puntos de conexión debe instalarse en las máquinas | No se cumplen ninguna de las siguientes comprobaciones: - El archivo /opt/McAfee/ens/tp/bin/mfetpcli existe La salida de - "/opt/McAfee/ens/tp/bin/mfetpcli --version" es McAfee name = McAfee Endpoint Security for Linux Threat Prevention and McAfee version >= 10 (El nombre de McAfee = McAfee Endpoint Security for Linux Threat Prevention y la versión de McAfee >= 10). |
| Los problemas de estado de protección de puntos de conexión se deben resolver en las máquinas | No se cumplen ninguna de las siguientes comprobaciones: - "/opt/McAfee/ens/tp/bin/mfetpcli --listtask" devuelve Examen rápido, Examen completo y ambos exámenes <= 7 días - "/opt/McAfee/ens/tp/bin/mfetpcli --listtask" devuelve Motor DAT y hora de actualización y ambos exámenes <= 7 días - "/opt/McAfee/ens/tp/bin/mfetpcli --getoasconfig --summary" devuelve el estado On Access Scan (En el examen de acceso). |
Antivirus Sophos para Linux
| Recomendación | Aparece cuando |
|---|---|
| La protección de los puntos de conexión debe instalarse en las máquinas | No se cumplen ninguna de las siguientes comprobaciones: - El archivo /opt/Sophos-AV/bin/savdstatus se cierra o busca la ubicación "readlink $(which savscan)" - "/opt/sophos-av/bin/savdstatus --version" devuelve el nombre de Sophos = Sophos Anti-Virus y la versión de Sophos >= 9 |
| Los problemas de estado de protección de puntos de conexión se deben resolver en las máquinas | No se cumplen ninguna de las siguientes comprobaciones: - "/opt/sophos-av/bin/savlog --maxage=7 | grep -i "Scheduled scan .* completed" | tail -1", devuelve un valor - "/opt/sophos-av/bin/savlog --maxage=7 | grep "scan finished" | tail -1", devuelve un valor - "/opt/sophos-av/bin/savdstatus --lastupdate" returns lastUpdate, que debe ser <= 7 días - - "/opt/sophos-av/bin/savdstatus -v" es igual a "On-access scanning is running" (se ejecuta el examen en el acceso) - "/opt/sophos-av/bin/savconfig get LiveProtection" devuelve enabled (habilitado) |
Solución de problemas y asistencia
Solución de problemas
Los registros de extensión de Microsoft Antimalware están disponibles en %Systemdrive%\WindowsAzure\Logs\Plugins\Microsoft.Azure.Security.IaaSAntimalware(o PaaSAntimalware)\1.5.5.x(version#)\CommandExecution.log
Soporte técnico
Para obtener más ayuda, póngase en contacto con los expertos de Azure en soporte técnico de la comunidad de Azure. También puede registrar un incidente de soporte técnico de Azure. Vaya al sitio de soporte técnico de Azure y seleccione Obtener soporte. Para más información sobre el uso del soporte técnico de Azure, lea las preguntas más frecuentes de Microsoft Azure.