Partage via


Examinez et corrigez les recommandations de détection et de réponse aux points de terminaison (MMA)

Microsoft Defender pour le cloud fournit des évaluations d’intégrité des versions prises en charge des solutions de protection des points de terminaison. Cet article explique les scénarios qui conduisent Defender pour le cloud à générer les deux recommandations suivantes :

Remarque

L’agent Log Analytics (également appelé MMA) étant prévu pour être mis hors service en août 2024, toutes les fonctionnalités de Defender pour serveurs qui en dépendent actuellement, y compris celles décrites dans cette page, seront disponibles via l’intégration Microsoft Defender pour point de terminaison ou l’analyse sans agent, avant la date de mise hors service. Pour plus d’informations sur la feuille de route de chacune des fonctionnalités qui s’appuient actuellement sur l’agent Log Analytics, consultez cette annonce.

Conseil

Fin 2021, nous avons modifié la recommandation relative à l’installation de la protection des points de terminaison. L’un des changements affecte la façon dont la recommandation affiche les machines hors tension. Dans la version antérieure, les machines éteintes apparaissaient dans la liste « Non applicable ». Dans la nouvelle version de la recommandation, elles n’apparaissent dans aucune des listes de ressources (saines, non saines ou non applicables).

Windows Defender

Le tableau explique les scénarios qui conduisent Defender pour le cloud à générer les deux recommandations suivantes pour Windows Defender :

Recommandation Visible quand
Endpoint Protection doit être installé sur vos machines Get-MpComputerStatus s’exécute et le résultat est AMServiceEnabled: False
Les problèmes d’intégrité de la protection du point de terminaison doivent être résolus sur vos machines Get-MpComputerStatus s’exécute et l’un des événements suivants se produit :

L’une des propriétés suivantes est false :

- AMServiceEnabled
- AntispywareEnabled
- RealTimeProtectionEnabled
- BehaviorMonitorEnabled
- IoavProtectionEnabled
- OnAccessProtectionEnabled

Si au moins une des deux propriétés suivantes a une valeur égale ou supérieure à 7 :

- AntispywareSignatureAge
- AntivirusSignatureAge

Protection du point de terminaison Microsoft System Center

Le tableau explique les scénarios qui conduisent Defender pour le cloud à générer les deux recommandations suivantes pour la protection des points de terminaison Microsoft System Center :

Recommandation Visible quand
Endpoint Protection doit être installé sur vos machines L’importation de SCEPMpModule ("$env:ProgramFiles\Microsoft Security Client\MpProvider\MpProvider.psd1") et l’exécution de Get-MProtComputerStatus aboutissent à AMServiceEnabled = false
Les problèmes d’intégrité de la protection du point de terminaison doivent être résolus sur vos machines Get-MprotComputerStatus s’exécute et l’un des événements suivants se produit :

Au moins une des propriétés suivantes est False :

- AMServiceEnabled
- AntispywareEnabled
- RealTimeProtectionEnabled
- BehaviorMonitorEnabled
- IoavProtectionEnabled
- OnAccessProtectionEnabled

Si une voire les deux mises à jour de signature sont supérieures ou égales à 7 :

- AntispywareSignatureAge
- AntivirusSignatureAge

Trend Micro

Le tableau explique les scénarios qui conduisent Defender pour le cloud à générer les deux recommandations suivantes pour Trend Micro :

Recommandation Visible quand
Endpoint Protection doit être installé sur vos machines aucune des vérifications suivantes n’est juste :

- HKLM:\SOFTWARE\TrendMicro\Deep Security Agent existe
- HKLM:\SOFTWARE\TrendMicro\Deep Security Agent\InstallationFolder existe
- Le fichier dsa_query.cmd est dans le dossier d’installation
- L'exécution de dsa_query.cmd aboutit à Component.AM.mode: on - Trend Micro Deep Security Agent detected

Protection de point de terminaison Symantec

Le tableau explique les scénarios qui conduisent Defender pour le cloud à générer les deux recommandations suivantes pour la protection des points de terminaison Symantec :

Recommandation Visible quand
Endpoint Protection doit être installé sur vos machines aucune des vérifications suivantes n’est juste :

- HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection"
- HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1
Ou
- HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection"
- HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1
Les problèmes d’intégrité de la protection du point de terminaison doivent être résolus sur vos machines aucune des vérifications suivantes n’est juste :

- Vérifier la version de Symantec >= 12 : Emplacement dans le Registre : HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion" -Value "PRODUCTVERSION"
- Vérifier l’état de la protection en temps réel : HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\AV\Storages\Filesystem\RealTimeScan\OnOff == 1
- Vérifier l’état de la mise à jour de la signature : HKLM\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LatestVirusDefsDate <= 7 jours
- Vérifier l’état de l’analyse complète : HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LastSuccessfulScanDateTime <= 7 jours
- Rechercher le chemin du numéro de version de la signature pour Symantec 12 : Registry Paths+ "CurrentVersion\SharedDefs" -Value "SRTSP"
- Chemin de la version de signature pour Symantec 14 : Registry Paths+ "CurrentVersion\SharedDefs\SDSDefs" -Value "SRTSP"

Chemins d’accès au Registre :

- "HKLM:\Software\Symantec\Symantec Endpoint Protection" + $Path;
- "HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection" + $Path

Protection de point de terminaison McAfee pour Windows

Le tableau explique les scénarios qui conduisent Defender pour le cloud à générer les deux recommandations suivantes pour la protection des points de terminaison McAfee pour Windows :

Recommandation Visible quand
Endpoint Protection doit être installé sur vos machines aucune des vérifications suivantes n’est juste :

- HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion existe
- HKLM:\SOFTWARE\McAfee\AVSolution\MCSHIELDGLOBAL\GLOBAL\enableoas = 1
Les problèmes d’intégrité de la protection du point de terminaison doivent être résolus sur vos machines aucune des vérifications suivantes n’est juste :

- Version de McAfee : HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion >= 10
- Rechercher la version de signature : HKLM:\Software\McAfee\AVSolution\DS\DS -Value "dwContentMajorVersion"
- Rechercher la date de signature : HKLM:\Software\McAfee\AVSolution\DS\DS -Value "szContentCreationDate" >= 7 jours
- Rechercher la date d’analyse : HKLM:\Software\McAfee\Endpoint\AV\ODS - Valeur « LastFullScanOdsRunTime » >= 7 jours

McAfee Endpoint Security for Linux Threat Prevention

Le tableau explique les scénarios qui conduisent Defender pour le cloud à générer les deux recommandations suivantes pour la sécurité des points de terminaison McAfee pour la prévention des menaces Linux :

Recommandation Visible quand
Endpoint Protection doit être installé sur vos machines aucune des vérifications suivantes n’est juste :

- Le fichier /opt/McAfee/ens/tp/bin/mfetpcli existe
La sortie de - « /opt/McAfee/ens/tp/bin/mfetpcli --version » est : McAfee name = McAfee Endpoint Security for Linux Threat Prevention and McAfee version >= 10
Les problèmes d’intégrité de la protection du point de terminaison doivent être résolus sur vos machines aucune des vérifications suivantes n’est juste :

- "/opt/McAfee/ens/tp/bin/mfetpcli --listtask" retourne Quick scan, Full scan et les deux analyses <= 7 jours
- "/opt/McAfee/ens/tp/bin/mfetpcli --listtask" retourne DAT and engine Update time et les deux <= 7 jours
- "/opt/McAfee/ens/tp/bin/mfetpcli --getoasconfig --summary" retourne l’état On Access Scan

Sophos Anti-Virus pour Linux

Le tableau explique les scénarios qui conduisent Defender pour le cloud à générer les deux recommandations suivantes pour Sophos Antivirus pour Linux :

Recommandation Visible quand
Endpoint Protection doit être installé sur vos machines aucune des vérifications suivantes n’est juste :

- Le fichier /opt/sophos-av/bin/savdstatus se ferme ou recherche l’emplacement personnalisé "readlink $(which savscan)"
- « /opt/sophos-av/bin/savdstatus --version » retourne Sophos name = Sophos Anti-Virus and Sophos version >= 9
Les problèmes d’intégrité de la protection du point de terminaison doivent être résolus sur vos machines aucune des vérifications suivantes n’est juste :

- "/opt/sophos-av/bin/savlog --maxage=7 | grep -i "Scheduled scan .* completed" | tail -1" retourne une valeur
- "/opt/sophos-av/bin/savlog --maxage=7 | grep "scan finished" | tail -1" retourne une valeur
- "/opt/sophos-av/bin/savdstatus --lastupdate" retourne lastUpdate, qui devrait être <= 7 jours
- "/opt/sophos-av/bin/savdstatus -v" est égal à "On-access scanning is running"
- "/opt/sophos-av/bin/savconfig get LiveProtection" retourne activé

Dépannage et support technique

Dépanner

Les journaux d’activité de l’extension Microsoft Antimalware sont disponibles à l’emplacement suivant : %Systemdrive%\WindowsAzure\Logs\Plugins\Microsoft.Azure.Security.IaaSAntimalware(Ou PaaSAntimalware)\1.5.5.x(version#)\CommandExecution.log

Support

Pour obtenir plus d’aide, contactez les experts Azure dans le Support de la communauté Azure. Vous pouvez également signaler un incident au support Azure. Accédez au site du support Azure , puis cliquez sur Obtenir un support. Pour obtenir des informations sur l’utilisation du support Azure, consultez les questions courantes sur le support Microsoft Azure.