Vérifications d’évaluation pour la détection des points de terminaison et les solutions de réponse
Microsoft Defender pour le cloud fournit des évaluations d’intégrité des versions prises en charge des solutions de protection des points de terminaison. Cet article explique les scénarios qui conduisent Defender pour le cloud à générer les deux recommandations suivantes :
- Endpoint Protection doit être installé sur vos machines
- Les problèmes d’intégrité de la protection du point de terminaison doivent être résolus sur vos machines
Remarque
L’agent Log Analytics (également appelé MMA) étant prévu pour être mis hors service en août 2024, toutes les fonctionnalités de Defender pour serveurs qui en dépendent actuellement, y compris celles décrites dans cette page, seront disponibles via l’intégration Microsoft Defender pour point de terminaison ou l’analyse sans agent, avant la date de mise hors service. Pour plus d’informations sur la feuille de route de chacune des fonctionnalités qui s’appuient actuellement sur l’agent Log Analytics, consultez cette annonce.
Conseil
Fin 2021, nous avons modifié la recommandation relative à l’installation de la protection des points de terminaison. L’un des changements affecte la façon dont la recommandation affiche les machines hors tension. Dans la version antérieure, les machines éteintes apparaissaient dans la liste « Non applicable ». Dans la nouvelle version de la recommandation, elles n’apparaissent dans aucune des listes de ressources (saines, non saines ou non applicables).
Windows Defender
| Recommandation | Visible quand |
|---|---|
| Endpoint Protection doit être installé sur vos machines | Get-MpComputerStatus s’exécute et le résultat est AMServiceEnabled: False |
| Les problèmes d’intégrité de la protection du point de terminaison doivent être résolus sur vos machines | Get-MpComputerStatus s’exécute et l’un des événements suivants se produit : L’une des propriétés suivantes est false : - AMServiceEnabled - AntispywareEnabled - RealTimeProtectionEnabled - BehaviorMonitorEnabled - IoavProtectionEnabled - OnAccessProtectionEnabled Si au moins une des deux propriétés suivantes a une valeur égale ou supérieure à 7 : - AntispywareSignatureAge - AntivirusSignatureAge |
Protection du point de terminaison Microsoft System Center
| Recommandation | Visible quand |
|---|---|
| Endpoint Protection doit être installé sur vos machines | L’importation de SCEPMpModule ("$env:ProgramFiles\Microsoft Security Client\MpProvider\MpProvider.psd1") et l’exécution de Get-MProtComputerStatus aboutissent à AMServiceEnabled = false |
| Les problèmes d’intégrité de la protection du point de terminaison doivent être résolus sur vos machines | Get-MprotComputerStatus s’exécute et l’un des événements suivants se produit : Au moins une des propriétés suivantes est False : - AMServiceEnabled - AntispywareEnabled - RealTimeProtectionEnabled - BehaviorMonitorEnabled - IoavProtectionEnabled - OnAccessProtectionEnabled Si une voire les deux mises à jour de signature sont supérieures ou égales à 7 : - AntispywareSignatureAge - AntivirusSignatureAge |
Trend Micro
| Recommandation | Visible quand |
|---|---|
| Endpoint Protection doit être installé sur vos machines | aucune des vérifications suivantes n’est juste : - HKLM:\SOFTWARE\TrendMicro\Deep Security Agent existe - HKLM:\SOFTWARE\TrendMicro\Deep Security Agent\InstallationFolder existe - Le fichier dsa_query.cmd est dans le dossier d’installation - L'exécution de dsa_query.cmd aboutit à Component.AM.mode: on - Trend Micro Deep Security Agent detected |
Protection de point de terminaison Symantec
| Recommandation | Visible quand |
|---|---|
| Endpoint Protection doit être installé sur vos machines | aucune des vérifications suivantes n’est juste : - HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection" - HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1 Ou - HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection" - HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1 |
| Les problèmes d’intégrité de la protection du point de terminaison doivent être résolus sur vos machines | aucune des vérifications suivantes n’est juste : - Vérifier la version de Symantec >= 12 : Emplacement dans le Registre : HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion" -Value "PRODUCTVERSION" - Vérifier l’état de la protection en temps réel : HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\AV\Storages\Filesystem\RealTimeScan\OnOff == 1 - Vérifier l’état de la mise à jour de la signature : HKLM\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LatestVirusDefsDate <= 7 jours - Vérifier l’état de l’analyse complète : HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LastSuccessfulScanDateTime <= 7 jours - Rechercher le chemin du numéro de version de la signature pour Symantec 12 : Registry Paths+ "CurrentVersion\SharedDefs" -Value "SRTSP" - Chemin de la version de signature pour Symantec 14 : Registry Paths+ "CurrentVersion\SharedDefs\SDSDefs" -Value "SRTSP" Chemins d’accès au Registre : - "HKLM:\Software\Symantec\Symantec Endpoint Protection" + $Path; - "HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection" + $Path |
Protection de point de terminaison McAfee pour Windows
| Recommandation | Visible quand |
|---|---|
| Endpoint Protection doit être installé sur vos machines | aucune des vérifications suivantes n’est juste : - HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion existe - HKLM:\SOFTWARE\McAfee\AVSolution\MCSHIELDGLOBAL\GLOBAL\enableoas = 1 |
| Les problèmes d’intégrité de la protection du point de terminaison doivent être résolus sur vos machines | aucune des vérifications suivantes n’est juste : - Version de McAfee : HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion >= 10 - Rechercher la version de signature : HKLM:\Software\McAfee\AVSolution\DS\DS -Value "dwContentMajorVersion" - Rechercher la date de signature : HKLM:\Software\McAfee\AVSolution\DS\DS -Value "szContentCreationDate" >= 7 jours - Rechercher la date d’analyse : HKLM:\Software\McAfee\Endpoint\AV\ODS - Valeur « LastFullScanOdsRunTime » >= 7 jours |
McAfee Endpoint Security for Linux Threat Prevention
| Recommandation | Visible quand |
|---|---|
| Endpoint Protection doit être installé sur vos machines | aucune des vérifications suivantes n’est juste : - Le fichier /opt/McAfee/ens/tp/bin/mfetpcli existe La sortie de - « /opt/McAfee/ens/tp/bin/mfetpcli --version » est : McAfee name = McAfee Endpoint Security for Linux Threat Prevention and McAfee version >= 10 |
| Les problèmes d’intégrité de la protection du point de terminaison doivent être résolus sur vos machines | aucune des vérifications suivantes n’est juste : - "/opt/McAfee/ens/tp/bin/mfetpcli --listtask" retourne Quick scan, Full scan et les deux analyses <= 7 jours - "/opt/McAfee/ens/tp/bin/mfetpcli --listtask" retourne DAT and engine Update time et les deux <= 7 jours - "/opt/McAfee/ens/tp/bin/mfetpcli --getoasconfig --summary" retourne l’état On Access Scan |
Sophos Anti-Virus pour Linux
| Recommandation | Visible quand |
|---|---|
| Endpoint Protection doit être installé sur vos machines | aucune des vérifications suivantes n’est juste : - Le fichier /opt/sophos-av/bin/savdstatus se ferme ou recherche l’emplacement personnalisé "readlink $(which savscan)" - « /opt/sophos-av/bin/savdstatus --version » retourne Sophos name = Sophos Anti-Virus and Sophos version >= 9 |
| Les problèmes d’intégrité de la protection du point de terminaison doivent être résolus sur vos machines | aucune des vérifications suivantes n’est juste : - "/opt/sophos-av/bin/savlog --maxage=7 | grep -i "Scheduled scan .* completed" | tail -1" retourne une valeur - "/opt/sophos-av/bin/savlog --maxage=7 | grep "scan finished" | tail -1" retourne une valeur - "/opt/sophos-av/bin/savdstatus --lastupdate" retourne lastUpdate, qui devrait être <= 7 jours - "/opt/sophos-av/bin/savdstatus -v" est égal à "On-access scanning is running" - "/opt/sophos-av/bin/savconfig get LiveProtection" retourne activé |
Dépannage et support technique
Dépanner
Les journaux d’activité de l’extension Microsoft Antimalware sont disponibles à l’emplacement suivant : %Systemdrive%\WindowsAzure\Logs\Plugins\Microsoft.Azure.Security.IaaSAntimalware(Ou PaaSAntimalware)\1.5.5.x(version#)\CommandExecution.log
Support
Pour obtenir plus d’aide, contactez les experts Azure dans le Support de la communauté Azure. Vous pouvez également signaler un incident au support Azure. Accédez au site du support Azure , puis cliquez sur Obtenir un support. Pour obtenir des informations sur l’utilisation du support Azure, consultez les questions courantes sur le support Microsoft Azure.