Eindpuntdetectie en -respons aanbevelingen (MMA) controleren en herstellen
Microsoft Defender voor Cloud biedt statusevaluaties van ondersteunde versies van Endpoint Protection-oplossingen. In dit artikel worden de scenario's uitgelegd die Defender voor Cloud leiden om de volgende twee aanbevelingen te genereren:
- Endpoint Protection moet worden geïnstalleerd op uw computers
- Statusproblemen met eindpuntbescherming moeten worden opgelost voor uw machines
Notitie
Omdat de Log Analytics-agent (ook wel bekend als MMA) in augustus 2024 buiten gebruik wordt gesteld, zijn alle functies van Defender for Servers die er momenteel van afhankelijk zijn, inclusief de functies die op deze pagina worden beschreven, beschikbaar via Microsoft Defender voor Eindpunt integratie of scannen zonder agent, vóór de buitengebruikstellingsdatum. Zie deze aankondiging voor meer informatie over de roadmap voor elk van de functies die momenteel afhankelijk zijn van de Log Analytics-agent.
Tip
Eind 2021 hebben we de aanbeveling voor het installeren van Endpoint Protection herzien. Een van de wijzigingen is van invloed op de wijze waarop de aanbeveling machines weergeeft die zijn uitgeschakeld. In de vorige versie werden machines die zijn uitgeschakeld, weergegeven in de lijst 'Niet van toepassing'. In de nieuwere aanbeveling worden ze niet weergegeven in een van de resourceslijsten (in orde, beschadigd of niet van toepassing).
Windows Defender
In de tabel worden de scenario's uitgelegd die leiden tot Defender voor Cloud om de volgende twee aanbevelingen voor Windows Defender te genereren:
Aanbeveling | Wordt weergegeven wanneer |
---|---|
Endpoint Protection moet worden geïnstalleerd op uw computers | Get-MpComputerStatus wordt uitgevoerd en het resultaat is AMServiceEnabled: False |
Statusproblemen met eindpuntbescherming moeten worden opgelost voor uw machines | Get-MpComputerStatus wordt uitgevoerd en een van de volgende treedt op: Een van de volgende eigenschappen is onwaar: - AMServiceEnabled - AntispywareEnabled - RealTimeProtectionEnabled - BehaviorMonitorEnabled - IoavProtectionEnabled - OnAccessProtectionEnabled Als een of beide van de volgende eigenschappen 7 of meer zijn: - AntispywareSignatureAge - AntivirusSignatureAge |
Microsoft System Center Endpoint Protection
In de tabel worden de scenario's uitgelegd die Defender voor Cloud leiden om de volgende twee aanbevelingen voor Microsoft System Center Endpoint Protection te genereren:
Aanbeveling | Wordt weergegeven wanneer |
---|---|
Endpoint Protection moet worden geïnstalleerd op uw computers | SCEPMpModule importeren ("$env:ProgramFiles\Microsoft Security Client\MpProvider\MpProvider.psd1") en get-MProtComputerStatus wordt uitgevoerd in AMServiceEnabled = false |
Statusproblemen met eindpuntbescherming moeten worden opgelost voor uw machines | Get-MprotComputerStatus wordt uitgevoerd en een van de volgende treedt op: Ten minste een van de volgende eigenschappen is onwaar: - AMServiceEnabled - AntispywareEnabled - RealTimeProtectionEnabled - BehaviorMonitorEnabled - IoavProtectionEnabled - OnAccessProtectionEnabled Als een of beide van de volgende handtekeningupdates groter of gelijk zijn aan 7: - AntispywareSignatureAge - AntivirusSignatureAge |
Trend Micro
In de tabel worden de scenario's uitgelegd die Defender voor Cloud leiden om de volgende twee aanbevelingen voor Trend Micro te genereren:
Aanbeveling | Wordt weergegeven wanneer |
---|---|
Endpoint Protection moet worden geïnstalleerd op uw computers | aan een van de volgende controles wordt niet voldaan: - HKLM:\SOFTWARE\TrendMicro\Deep Security Agent bestaat - HKLM:\SOFTWARE\TrendMicro\Deep Security Agent\InstallationFolder bestaat - Het bestand dsa_query.cmd is te vinden in de installatiemap - Het uitvoeren van dsa_query.cmd resultaten met Component.AM.mode: on - Trend Micro Deep Security Agent gedetecteerd |
Symantec Endpoint Protection
In de tabel worden de scenario's uitgelegd die leiden tot Defender voor Cloud om de volgende twee aanbevelingen voor Symantec Endpoint Protection te genereren:
Aanbeveling | Wordt weergegeven wanneer |
---|---|
Endpoint Protection moet worden geïnstalleerd op uw computers | aan een van de volgende controles wordt niet voldaan: - HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection" - HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1 Of - HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection" - HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1 |
Statusproblemen met eindpuntbescherming moeten worden opgelost voor uw machines | aan een van de volgende controles wordt niet voldaan: - Controleer Symantec Version >= 12: Registerlocatie: HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion" -Value "PRODUCTVERSION" - Status van realtime-beveiliging controleren: HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\AV\Storages\Filesystem\RealTimeScan\OnOff == 1 - Status van handtekeningupdate controleren: HKLM\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LatestVirusDefsDate <= 7 dagen - Status van volledige scan controleren: HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LastSuccessfulScanDateTime <= 7 dagen - Nummer van handtekeningversie zoeken naar handtekeningversie voor Symantec 12: Registerpaden+ "CurrentVersion\SharedDefs" -Value "SRTSP" - Pad naar handtekeningversie voor Symantec 14: Registerpaden+ "CurrentVersion\SharedDefs\SDSDefs" -Value "SRTSP" Registerpaden: - "HKLM:\Software\Symantec\Symantec Endpoint Protection" + $Path; - "HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection" + $Path |
McAfee Endpoint Protection voor Windows
In de tabel worden de scenario's uitgelegd die Defender voor Cloud leiden om de volgende twee aanbevelingen voor McAfee Endpoint Protection voor Windows te genereren:
Aanbeveling | Wordt weergegeven wanneer |
---|---|
Endpoint Protection moet worden geïnstalleerd op uw computers | aan een van de volgende controles wordt niet voldaan: - HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion bestaat - HKLM:\SOFTWARE\McAfee\AVSolution\MCSHIELDGLOBAL\GLOBAL\enableoas = 1 |
Statusproblemen met eindpuntbescherming moeten worden opgelost voor uw machines | aan een van de volgende controles wordt niet voldaan: - McAfee Version: HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion >= 10 - Handtekeningversie zoeken: HKLM:\Software\McAfee\AVSolution\DS\DS -Value "dwContentMajorVersion" - Datum van handtekening zoeken: HKLM:\Software\McAfee\AVSolution\DS\DS -Value "szContentCreationDate" >= 7 dagen - Zoek scandatum: HKLM:\Software\McAfee\Endpoint\AV\ODS -Value "LastFullScanOdsRunTime" >= 7 dagen |
McAfee Endpoint Security voor Linux Threat Prevention
In de tabel worden de scenario's uitgelegd die Defender voor Cloud leiden om de volgende twee aanbevelingen te genereren voor McAfee Endpoint Security voor Linux Threat Prevention:
Aanbeveling | Wordt weergegeven wanneer |
---|---|
Endpoint Protection moet worden geïnstalleerd op uw computers | aan een van de volgende controles wordt niet voldaan: - Bestand /opt/McAfee/ens/tp/bin/mfetpcli bestaat - "/opt/McAfee/ens/tp/bin/mfetpcli --version" output is: McAfee name = McAfee Endpoint Security for Linux Threat Prevention and McAfee version >= 10 |
Statusproblemen met eindpuntbescherming moeten worden opgelost voor uw machines | aan een van de volgende controles wordt niet voldaan: - "/opt/McAfee/ens/tp/bin/mfetpcli --listtask" retourneert Snelle scan, Volledige scan en beide scans <= 7 dagen - "/opt/McAfee/ens/tp/bin/mfetpcli --listtask" retourneert DAT- en engine updatetijd en beide <= 7 dagen - "/opt/McAfee/ens/tp/bin/mfetpcli --getoasconfig --summary" retourneert De status van de toegangsscan |
Sophos Antivirus voor Linux
In de tabel worden de scenario's uitgelegd die leiden tot Defender voor Cloud om de volgende twee aanbevelingen voor Sophos Antivirus voor Linux te genereren:
Aanbeveling | Wordt weergegeven wanneer |
---|---|
Endpoint Protection moet worden geïnstalleerd op uw computers | aan een van de volgende controles wordt niet voldaan: - Bestand /opt/sophos-av/bin/savdstatus sluit of zoek naar aangepaste locatie "readlink $(welke savscan)" - "/opt/sophos-av/bin/savdstatus --version" retourneert Sophos name = Sophos Anti-Virus en Sophos version >= 9 |
Statusproblemen met eindpuntbescherming moeten worden opgelost voor uw machines | aan een van de volgende controles wordt niet voldaan: - "/opt/sophos-av/bin/savlog --maxage=7 | grep -i "Geplande scan .* voltooid" | tail -1", retourneert een waarde - "/opt/sophos-av/bin/savlog --maxage=7 | grep "scan finished" | tail -1", retourneert een waarde - "/opt/sophos-av/bin/savdstatus --lastupdate" retourneert lastUpdate, wat moet zijn <= 7 dagen - "/opt/sophos-av/bin/savdstatus -v" is gelijk aan "Scannen op toegang wordt uitgevoerd" - "/opt/sophos-av/bin/savconfig get LiveProtection" retourneert ingeschakeld |
Problemen met en ondersteuning oplossen
Problemen oplossen
Microsoft Antimalware-extensielogboeken zijn beschikbaar op: %Systemdrive%\WindowsAzure\Logs\Plugins\Microsoft.Azure.Security.IaaSAntimalware(Or PaaSAntimalware)\1.5.5.x(version#)\CommandExecution.log
Ondersteuning
Neem voor meer hulp contact op met de Azure-experts in de ondersteuning van de Azure-community. Of dien een ondersteuning voor Azure incident in. Ga naar de ondersteuning voor Azure-site en selecteer Ondersteuning krijgen. Lees de veelgestelde vragen over ondersteuning voor Azure het gebruik van Azure-ondersteuning voor meer informatie over het gebruik van Azure-ondersteuning.