엔드포인트 감지 및 응답 권장 사항의 검토 및 수정(MMA)
클라우드용 Microsoft Defender는 지원되는 버전의 Endpoint Protection 솔루션의 성능 상태 평가를 제공합니다. 이 문서에서는 클라우드용 Defender에서 다음 두 가지 권장 사항을 생성하는 시나리오를 설명합니다.
참고 항목
Log Analytics 에이전트(MMA라고도 함)가 2024년 8월에 사용 중지되도록 설정되어 있으므로 이 페이지에 설명된 기능을 포함하여 현재 사용하는 모든 서버용 Defender 기능은 사용 중지 날짜 전에 엔드포인트용 Microsoft Defender 통합 또는 에이전트 없는 검사를 통해 사용할 수 있습니다. 현재 Log Analytics 에이전트에 의존하는 각 기능의 로드맵에 대한 자세한 내용은 이 공지 사항를 참조하세요.
팁
2021년 말에 엔드포인트 보호를 설치하는 권장 사항을 수정했습니다. 변경 내용 중 하나는 전원이 꺼진 머신을 표시하는 권장 사항에 영향을 줍니다. 이전 버전에서는 전원이 꺼진 머신이 '해당 없음' 목록에 표시되었습니다. 최신 권장 사항에서는 리소스 목록(정상, 비정상 또는 해당 없음)에 표시되지 않습니다.
Windows Defender
이 표에서는 클라우드용 Defender가 Windows Defender에 대해 다음 두 가지 권장 사항을 생성하게 된 시나리오를 설명합니다.
추천 | 표시되는 경우 |
---|---|
머신에 Endpoint Protection을 설치해야 함 | Get-MpComputerStatus가 실행되고 결과는 AMServiceEnabled: False입니다. |
머신에서 엔드포인트 보호 상태 문제를 해결해야 함 | Get-MpComputerStatus가 실행되고 다음 중 하나가 발생합니다. 다음 속성은 모두 false입니다. - AMServiceEnabled - AntispywareEnabled - RealTimeProtectionEnabled - BehaviorMonitorEnabled - IoavProtectionEnabled - OnAccessProtectionEnabled 다음 속성 중 하나 또는 둘 다가 7 이상인 경우: - AntispywareSignatureAge - AntivirusSignatureAge |
Microsoft System Center Endpoint Protection
이 표에서는 클라우드용 Defender가 Microsoft System Center 엔드포인트 보호에 대한 다음 두 가지 권장 사항을 생성하게 되는 시나리오를 설명합니다.
추천 | 표시되는 경우 |
---|---|
머신에 Endpoint Protection을 설치해야 함 | SCEPMpModule("$env:ProgramFiles\Microsoft Security Client\MpProvider\MpProvider.psd1") 가져가기 및 Get-MProtComputerStatus 실행의 결과는 AMServiceEnabled = false입니다. |
머신에서 엔드포인트 보호 상태 문제를 해결해야 함 | Get-MprotComputerStatus가 실행되고 다음 중 하나가 발생합니다. 다음 속성 중 하나 이상이 false인 경우: - AMServiceEnabled - AntispywareEnabled - RealTimeProtectionEnabled - BehaviorMonitorEnabled - IoavProtectionEnabled - OnAccessProtectionEnabled 다음 서명 업데이트 중 하나 또는 둘 다가 7보다 크거나 같은 경우: - AntispywareSignatureAge - AntivirusSignatureAge |
Trend Micro
이 표에서는 클라우드용 Defender가 Trend Micro에 대한 다음 두 가지 권장 사항을 생성하게 된 시나리오를 설명합니다.
추천 | 표시되는 경우 |
---|---|
머신에 Endpoint Protection을 설치해야 함 | 다음 검사 중 아무 것도 충족되지 않습니다. - HKLM:\SOFTWARE\TrendMicro\Deep Security Agent가 있음 - HKLM:\SOFTWARE\TrendMicro\Deep Security Agent\InstallationFolder가 있음 - dsa_query.cmd 파일은 설치 폴더에 있습니다. - dsa_query.cmd를 실행하면 Component.AM.mode: on - Trend Micro Deep Security Agent detected가 표시됩니다. |
Symantec Endpoint Protection
이 표에서는 클라우드용 Defender가 Symantec 엔드포인트 보호에 대한 다음 두 가지 권장 사항을 생성하게 된 시나리오를 설명합니다.
추천 | 표시되는 경우 |
---|---|
머신에 Endpoint Protection을 설치해야 함 | 다음 검사 중 아무 것도 충족되지 않습니다. - HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection" - HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1 또는 입니다. - HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection" - HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1 |
머신에서 엔드포인트 보호 상태 문제를 해결해야 함 | 다음 검사 중 아무 것도 충족되지 않습니다. - Symantec 버전 확인 >= 12: 레지스트리 위치: HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion" -Value "PRODUCTVERSION" - 실시간 보호 상태 확인: HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\AV\Storages\Filesystem\RealTimeScan\OnOff == 1 - 서명 업데이트 상태 확인: HKLM\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LatestVirusDefsDate <= 7일 - 전체 검사 상태 확인: HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LastSuccessfulScanDateTime <= 7일 - Symantec 12에 대한 서명 버전의 서명 버전 번호 경로 찾기: Registry Paths+ "CurrentVersion\SharedDefs" -Value "SRTSP" - Symantec 14의 서명 버전 경로: Registry Paths+ "CurrentVersion\SharedDefs\SDSDefs" -Value "SRTSP" 레지스트리 경로: - "HKLM:\Software\Symantec\Symantec Endpoint Protection" + $Path; - "HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection" + $Path |
McAfee Endpoint Protection for Windows
이 표에서는 클라우드용 Defender가 Windows용 McAfee 엔드포인트 보호에 대한 다음 두 가지 권장 사항을 생성하게 된 시나리오를 설명합니다.
추천 | 표시되는 경우 |
---|---|
머신에 Endpoint Protection을 설치해야 함 | 다음 검사 중 아무 것도 충족되지 않습니다. - HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion exists - HKLM:\SOFTWARE\McAfee\AVSolution\MCSHIELDGLOBAL\GLOBAL\enableoas = 1 |
머신에서 엔드포인트 보호 상태 문제를 해결해야 함 | 다음 검사 중 아무 것도 충족되지 않습니다. - McAfee Version: HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion >= 10 - 서명 버전 찾기: HKLM:\Software\McAfee\AVSolution\DS\DS -Value "dwContentMajorVersion" - 서명 날짜 찾기: HKLM:\Software\McAfee\AVSolution\DS\DS -Value "szContentCreationDate" >= 7일 - 검사 날짜 찾기: HKLM:\Software\McAfee\Endpoint\AV\ODS -Value "LastFullScanOdsRunTime" >= 7일 |
McAfee Endpoint Security for Linux Threat Prevention
이 표에서는 클라우드용 Defender가 McAfee Endpoint Security for Linux 위협 방지에 대한 다음 두 가지 권장 사항을 생성하게 된 시나리오를 설명합니다.
추천 | 표시되는 경우 |
---|---|
머신에 Endpoint Protection을 설치해야 함 | 다음 검사 중 아무 것도 충족되지 않습니다. - 파일 /opt/McAfee/ens/tp/bin/mfetpcli가 있음 - "/opt/McAfee/ens/tp/bin/mfetpcli --version" 출력이 McAfee name = McAfee Endpoint Security for Linux Threat Prevention이고 McAfee 버전이 >= 10 |
머신에서 엔드포인트 보호 상태 문제를 해결해야 함 | 다음 검사 중 아무 것도 충족되지 않습니다. - "/opt/McAfee/ens/tp/bin/mfetpcli --listtask"가 빠른 검사, 전체 검사를 반환하고 두 검사 모두 <= 7일 - "/opt/McAfee/ens/tp/bin/mfetpcli --listtask"가 DAT 및 엔진 업데이트 시간을 반환하고 둘 다 <= 7일 - "/opt/McAfee/ens/tp/bin/mfetpcli --getoasconfig --summary"가 액세스 검사 시 상태를 반환 |
Sophos Antivirus for Linux
이 표에서는 클라우드용 Defender가 Linux용 Sophos Antivirus에 대한 다음 두 가지 권장 사항을 생성하게 된 시나리오를 설명합니다.
추천 | 표시되는 경우 |
---|---|
머신에 Endpoint Protection을 설치해야 함 | 다음 검사 중 아무 것도 충족되지 않습니다. - /opt/sophos-av/bin/savdstatus 파일이 있거나 사용자 지정 위치 "readlink $(which savscan)" 검색 - "/opt/sophos-av/bin/savdstatus --version"은 Sophos 이름 = Sophos Anti-Virus 및 Sophos 버전 >= 9를 반환합니다. |
머신에서 엔드포인트 보호 상태 문제를 해결해야 함 | 다음 검사 중 아무 것도 충족되지 않습니다. - "/opt/sophos-av/bin/savlog --maxage=7 | grep -i "Scheduled scan . completed" | tail -1"은 값을 반환합니다. - "/opt/sophos-av/bin/savlog --maxage=7 | grep "scan finished" | tail -1"은 값을 반환합니다. - "/opt/sophos-av/bin/savdstatus --lastupdate"는 lastUpdate를 반환하며 이는 <= 7일이어야 합니다. - "/opt/sophos-av/bin/savdstatus -v"는 “액세스 검사 시가 실행 중임”과 같습니다. - "/opt/sophos-av/bin/savconfig get LiveProtection"은 사용됨을 반환합니다. |
문제 해결 및 지원
문제 해결
Microsoft Antimalware 방지 확장 로그는 %Systemdrive%\WindowsAzure\Logs\Plugins\Microsoft.Azure.Security.IaaSAntimalware(Or PaaSAntimalware)\1.5.5.x(version#)\CommandExecution.log에서 사용할 수 있습니다.
지원
자세한 도움말은 Azure 커뮤니티 지원의 Azure 전문가에게 문의하세요. 또는 Azure 지원 인시던트 제출 Azure 지원 사이트로 가서 지원 받기를 선택합니다. Azure 지원을 사용하는 방법에 대한 자세한 내용은 Microsoft Azure 지원 일반적인 질문을 참조하세요.