Recommandations et évaluation des protections de points de terminaison dans Microsoft Defender pour le cloud

Microsoft Defender pour le cloud fournit des évaluations d’intégrité des versions prises en charge des solutions de protection des points de terminaison. Cet article explique les scénarios qui conduisent Defender pour le cloud à générer les deux recommandations suivantes :

Conseil

Fin 2021, nous avons modifié la recommandation relative à l’installation de la protection des points de terminaison. L’un des changements affecte la façon dont la recommandation affiche les machines hors tension. Dans la version antérieure, les machines éteintes apparaissaient dans la liste « Non applicable ». Dans la nouvelle version de la recommandation, elles n’apparaissent dans aucune des listes de ressources (saines, non saines ou non applicables).

Windows Defender

  • Defender pour le cloud recommande que la protection des points de terminaison soit installée sur vos machines quand la commande Get-MpComputerStatus est exécutée et que le résultat est AMServiceEnabled : False

  • Defender pour le cloud recommande que les problèmes d’intégrité de la protection des points de terminaison soient résolus sur vos machines quand la commande Get-MpComputerStatus est exécutée et que l’une des situations suivantes se présente :

    • L’une des propriétés suivantes est false :

      • AMServiceEnabled
      • AntispywareEnabled
      • RealTimeProtectionEnabled
      • BehaviorMonitorEnabled
      • IoavProtectionEnabled
      • OnAccessProtectionEnabled
    • Si au moins une des deux propriétés suivantes a une valeur égale ou supérieure à 7 :

      • AntispywareSignatureAge
      • AntivirusSignatureAge

Protection du point de terminaison Microsoft System Center

  • Defender pour le cloud recommande que la protection des points de terminaison soit installée sur vos machines lors de l’importation de SCEPMpModule ("$env:ProgramFiles\Microsoft Security Client\MpProvider\MpProvider.psd1") quand l’exécution de la commande Get-MProtComputerStatus retourne AMServiceEnabled = false.

  • Defender pour le cloud recommande que les problèmes d’intégrité de la protection des points de terminaison soient résolus sur vos machines quand la commande Get-MprotComputerStatus est exécutée et que l’une des situations suivantes se présente :

    • Au moins une des propriétés suivantes est False :

      • AMServiceEnabled
      • AntispywareEnabled
      • RealTimeProtectionEnabled
      • BehaviorMonitorEnabled
      • IoavProtectionEnabled
      • OnAccessProtectionEnabled
    • Si une voire les deux mises à jour de signature sont supérieures ou égales à 7 :

      • AntispywareSignatureAge
      • AntivirusSignatureAge

Trend Micro

  • Defender pour la cloud recommande que la protection des points de terminaison soit installée sur vos machines quand l’une des vérifications suivantes n’est pas satisfaite :
    • HKLM:\SOFTWARE\TrendMicro\Deep Security Agent existe
    • HKLM:\SOFTWARE\TrendMicro\Deep Security Agent\InstallationFolder existe
    • Le fichier dsa_query.cmd se trouve dans le dossier d’installation
    • L'exécution de dsa_query.cmd indique Component.AM.mode : on - Trend Micro Deep Security Agent détecté

Protection de point de terminaison Symantec

Defender pour la cloud recommande que la protection des points de terminaison soit installée sur vos machines quand l’une des vérifications suivantes n’est pas satisfaite :

  • HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection"
  • HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1

ou

  • HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection"
  • HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1

Defender pour le cloud recommande que les problèmes d’intégrité de la protection des points de terminaison soient résolus sur vos machines quand l’une des vérifications suivantes n’est pas satisfaite :

  • Vérifier la version de Symantec >= 12 : Emplacement dans le Registre : HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion - Valeur « PRODUCTVERSION »
  • Vérifier l'état de la protection en temps réel : HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\AV\Storages\Filesystem\RealTimeScan\OnOff == 1
  • Vérifier l’état de la mise à jour de la signature : HKLM\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LatestVirusDefsDate <= 7 jours
  • Vérifier l’état de l’analyse complète : HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LastSuccessfulScanDateTime <= 7 jours
  • Rechercher le numéro de version de signature pour Symantec 12 : Registry Paths+ "CurrentVersion\SharedDefs" -Value "SRTSP"
  • Chemin d’accès à la version de signature pour Symantec 14 : Registry Paths+ "CurrentVersion\SharedDefs\SDSDefs" -Value "SRTSP"

Chemins d’accès au Registre :

  • "HKLM:\Software\Symantec\Symantec Endpoint Protection" + $Path;
  • "HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection" + $Path

Protection de point de terminaison McAfee pour Windows

Defender pour la cloud recommande que la protection des points de terminaison soit installée sur vos machines quand l’une des vérifications suivantes n’est pas satisfaite :

  • HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion exists
  • HKLM:\SOFTWARE\McAfee\AVSolution\MCSHIELDGLOBAL\GLOBAL\enableoas = 1

Defender pour le cloud recommande que les problèmes d’intégrité de la protection des points de terminaison soient résolus sur vos machines quand l’une des vérifications suivantes n’est pas satisfaite :

  • Version de McAfee : HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion >= 10
  • Rechercher la version de signature : HKLM:\Software\McAfee\AVSolution\DS\DS -Value "dwContentMajorVersion"
  • Rechercher la date de signature : HKLM:\Software\McAfee\AVSolution\DS\DS - Valeur « szContentCreationDate » >= 7 jours
  • Rechercher la date d’analyse : HKLM:\Software\McAfee\Endpoint\AV\ODS - Valeur « LastFullScanOdsRunTime » >= 7 jours

McAfee Endpoint Security for Linux Threat Prevention

Defender pour la cloud recommande que la protection des points de terminaison soit installée sur vos machines quand l’une des vérifications suivantes n’est pas satisfaite :

  • Le fichier /opt/McAfee/ens/tp/bin/mfetpcli existe
  • La sortie de « /opt/McAfee/ens/tp/bin/mfetpcli --version » est : McAfee name = McAfee Endpoint Security for Linux Threat Prevention and McAfee version >= 10

Defender pour le cloud recommande que les problèmes d’intégrité de la protection des points de terminaison soient résolus sur vos machines quand l’une des vérifications suivantes n’est pas satisfaite :

  • "/opt/McAfee/ens/tp/bin/mfetpcli --listtask" retourne Quick scan, Full scan et les deux analyses <= 7 jours
  • "/opt/McAfee/ens/tp/bin/mfetpcli --listtask" retourne DAT and engine Update time et les deux <= 7 jours
  • "/opt/McAfee/ens/tp/bin/mfetpcli --getoasconfig --summary" retourne l’état On Access Scan

Sophos Anti-Virus pour Linux

Defender pour la cloud recommande que la protection des points de terminaison soit installée sur vos machines quand l’une des vérifications suivantes n’est pas satisfaite :

  • Le fichier /opt/sophos-av/bin/savdstatus se ferme ou recherche l'emplacement personnalisé "readlink $(which savscan)"
  • « /opt/sophos-av/bin/savdstatus --version » retourne Sophos name = Sophos Anti-Virus and Sophos version >= 9

Defender pour le cloud recommande que les problèmes d’intégrité de la protection des points de terminaison soient résolus sur vos machines quand l’une des vérifications suivantes n’est pas satisfaite :

  • « /opt/sophos-av/bin/savlog --maxage=7 | grep -i "Scheduled scan .* completed" | tail -1 », retourne une valeur
  • "/opt/sophos-av/bin/savlog --maxage=7 | grep "scan finished" | tail -1", retourne une valeur
  • « /opt/sophos-av/bin/savdstatus --lastupdate » retourne lastUpdate, qui doit être <= 7 jours
  • "/opt/sophos-av/bin/savdstatus -v" est égal à "On-access scanning is running"
  • "/opt/sophos-av/bin/savconfig get LiveProtection" retourne activé

Dépannage et support technique

Dépanner

Les journaux d’activité de l’extension Microsoft Antimalware sont disponibles à l’emplacement suivant : %Systemdrive%\WindowsAzure\Logs\Plugins\Microsoft.Azure.Security.IaaSAntimalware(Ou PaaSAntimalware)\1.5.5.x(version#)\CommandExecution.log

Support

Pour obtenir une aide supplémentaire, contactez les experts Azure sur les forums MSDN Azure et Stack Overflow. Vous pouvez également signaler un incident au support Azure. Accédez au site du support Azure , puis cliquez sur Obtenir un support. Pour plus d’informations sur l’utilisation du support Azure, lisez le FAQ du support Microsoft Azure.