Ocena i zalecenia dotyczące ochrony punktu końcowego w usłudze Microsoft Defender for Cloud

Usługa Microsoft Defender for Cloud udostępnia oceny kondycji obsługiwanych wersji rozwiązań programu Endpoint Protection. W tym artykule opisano scenariusze, które prowadzą usługę Defender for Cloud do wygenerowania następujących dwóch zaleceń:

Porada

Pod koniec 2021 r. zmieniliśmy zalecenie, które instaluje ochronę punktu końcowego. Jedna ze zmian ma wpływ na sposób wyświetlania maszyn, które są wyłączone. W poprzedniej wersji maszyny, które zostały wyłączone, zostały wyświetlone na liście "Nie dotyczy". W nowszych zaleceniach nie są one wyświetlane na żadnej liście zasobów (w dobrej kondycji, złej kondycji lub nie dotyczy).

Windows Defender

  • Usługa Defender for Cloud zaleca zainstalowanie ochrony punktu końcowego na maszynach po uruchomieniu polecenia Get-MpComputerStatus , a wynik to AMServiceEnabled: False

  • Usługa Defender for Cloud zaleca rozwiązywanie problemów z kondycją programu Endpoint Protection na maszynach po uruchomieniu polecenia Get-MpComputerStatus i wystąpieniu dowolnej z następujących czynności:

    • Dowolna z następujących właściwości ma wartość false:

      • AMServiceEnabled
      • AntispywareEnabled
      • RealTimeProtectionEnabled
      • BehaviorMonitorEnabled
      • IoavProtectionEnabled
      • OnAccessProtectionEnabled
    • Jeśli co najmniej jedna z następujących właściwości to 7 lub więcej:

      • AntispywareSignatureAge
      • AntivirusSignatureAge

Ochrona punktu końcowego programu Microsoft System Center

  • Usługa Defender for Cloud zaleca zainstalowanie ochrony punktu końcowego na maszynach podczas importowania modułu SCEPMpModule ("$env:ProgramFiles\Microsoft Security Client\MpProvider\MpProvider.psd1") i uruchamiania polecenia Get-MProtComputerStatus powoduje, że polecenie AMServiceEnabled = false.

  • Usługa Defender for Cloud zaleca rozwiązywanie problemów z kondycją ochrony punktu końcowego na maszynach po uruchomieniu polecenia Get-MprotComputerStatus i wystąpieniu dowolnej z następujących czynności:

    • Co najmniej jedna z następujących właściwości ma wartość false:

      • AMServiceEnabled
      • AntispywareEnabled
      • RealTimeProtectionEnabled
      • BehaviorMonitorEnabled
      • IoavProtectionEnabled
      • OnAccessProtectionEnabled
    • Jeśli jedna lub obie z następujących Aktualizacje Podpis są większe lub równe 7:

      • AntispywareSignatureAge
      • AntivirusSignatureAge

Trend Micro

  • Usługa Defender for Cloud zaleca zainstalowanie ochrony punktu końcowego na maszynach , gdy którekolwiek z poniższych testów nie zostanie spełnione:
    • HKLM:\SOFTWARE\TrendMicro\Deep Security Agent istnieje
    • HKLM:\SOFTWARE\TrendMicro\Deep Security Agent\InstallationFolder istnieje
    • Plik dsa_query.cmd znajduje się w folderze instalacyjnym
    • Uruchamianie wyników dsa_query.cmd z trybem Component.AM.mode: on — Wykryto agenta zabezpieczeń Trend Micro Deep Security

Ochrona punktu końcowego firmy Symantec

Usługa Defender for Cloud zaleca zainstalowanie ochrony punktu końcowego na maszynach , gdy którekolwiek z poniższych testów nie zostanie spełnione:

  • HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection"
  • HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1

Lub

  • HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection"
  • HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1

Usługa Defender for Cloud zaleca rozwiązywanie problemów z kondycją ochrony punktu końcowego na maszynach , gdy którekolwiek z poniższych testów nie zostaną spełnione:

  • Sprawdź wersję >firmy Symantec = 12: Lokalizacja rejestru: HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion" -Value "PRODUCTVERSION"
  • Sprawdź stan ochrony Real-Time: HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\AV\Storages\Filesystem\RealTimeScan\OnOff == 1
  • Sprawdź stan aktualizacji podpisu: HKLM\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LatestVirusDefsDate <= 7 dni
  • Sprawdź stan pełnego skanowania: HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LastSuccessfulScanDateTime <= 7 dni
  • Znajdź ścieżkę numeru wersji podpisu do wersji podpisu dla firmy Symantec 12: Ścieżki rejestru+ "CurrentVersion\SharedDefs" -Value "SRTSP"
  • Ścieżka do wersji podpisu dla firmy Symantec 14: Ścieżki rejestru+ "CurrentVersion\SharedDefs\SDSDefs" -Value "SRTSP"

Ścieżki rejestru:

  • "HKLM:\Software\Symantec\Symantec Endpoint Protection" + $Path;
  • "HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection" + $Path

Ochrona punktu końcowego mcAfee dla systemu Windows

Usługa Defender for Cloud zaleca zainstalowanie ochrony punktu końcowego na maszynach , gdy którekolwiek z poniższych testów nie zostanie spełnione:

  • HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion istnieje
  • HKLM:\SOFTWARE\McAfee\AVSolution\MCSHIELDGLOBAL\GLOBAL\enableoas = 1

Usługa Defender for Cloud zaleca rozwiązywanie problemów z kondycją ochrony punktu końcowego na maszynach , gdy którekolwiek z poniższych testów nie zostaną spełnione:

  • Wersja McAfee: HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion >= 10
  • Znajdź wersję podpisu: HKLM:\Software\McAfee\AVSolution\DS\DS -Value "dwContentMajorVersion"
  • Znajdź datę podpisu: HKLM:\Software\McAfee\AVSolution\DS\DS -Value "szContentCreationDate" >= 7 dni
  • Znajdź datę skanowania: HKLM:\Software\McAfee\Endpoint\AV\ODS -Value "LastFullScanOdsRunTime" >= 7 dni

McAfee Endpoint Security for Linux Threat Prevention

Usługa Defender for Cloud zaleca zainstalowanie ochrony punktu końcowego na maszynach , gdy którekolwiek z poniższych testów nie zostanie spełnione:

  • Plik /opt/McAfee/ens/tp/bin/mfetpcli istnieje
  • Dane wyjściowe "/opt/McAfee/ens/tp/bin/mfetpcli --version" to: McAfee name = McAfee Endpoint Security for Linux Threat Prevention and McAfee version >= 10

Usługa Defender for Cloud zaleca rozwiązywanie problemów z kondycją ochrony punktu końcowego na maszynach , gdy którekolwiek z poniższych testów nie zostaną spełnione:

  • Polecenie "/opt/McAfee/ens/tp/bin/mfetpcli --listtask" zwraca szybkie skanowanie, pełne skanowanie i oba skanowania <= 7 dni
  • Wyrażenie "/opt/McAfee/ens/tp/bin/mfetpcli --listtask" zwraca wartość DAT i czas aktualizacji aparatu, a oba z nich <= 7 dni
  • Polecenie "/opt/McAfee/ens/tp/bin/mfetpcli --getoasconfig --summary" zwraca stan Skanowania dostępu

Program antywirusowy Sophos dla systemu Linux

Usługa Defender for Cloud zaleca zainstalowanie ochrony punktu końcowego na maszynach , gdy którekolwiek z poniższych testów nie zostanie spełnione:

  • Plik /opt/sophos-av/bin/savdstatus kończy lub wyszukaj dostosowaną lokalizację "readlink $(which savscan)"
  • Wyrażenie "/opt/sophos-av/bin/savdstatus --version" zwraca nazwę Sophos = Sophos Anti-Virus i Sophos version >= 9

Usługa Defender for Cloud zaleca rozwiązywanie problemów z kondycją ochrony punktu końcowego na maszynach , gdy którekolwiek z poniższych testów nie zostaną spełnione:

  • "/opt/sophos-av/bin/savlog --maxage=7 | grep -i "Zaplanowane skanowanie .* ukończone" | tail -1", zwraca wartość
  • "/opt/sophos-av/bin/savlog --maxage=7 | | | grep "scan finished" tail -1", zwraca wartość
  • Wyrażenie "/opt/sophos-av/bin/savdstatus --lastupdate" zwraca wartość lastUpdate , która powinna być <= 7 dni
  • "/opt/sophos-av/bin/savdstatus -v" jest równy "Skanowanie dostępu do dostępu jest uruchomione"
  • Funkcja "/opt/sophos-av/bin/savconfig get LiveProtection" zwraca włączone

Rozwiązywanie problemów i pomoc techniczna

Rozwiązywanie problemów

dzienniki rozszerzenia Microsoft Antimalware są dostępne pod adresem: %Systemdrive%\WindowsAzure\Logs\Plugins\Microsoft.Azure.Security.IaaSAntimalware(Or PaaSAntimalware)\1.5.5.x(version#)\CommandExecution.log

Pomoc techniczna

Aby uzyskać więcej pomocy, skontaktuj się z ekspertami platformy Azure na forach MSDN Azure i Stack Overflow. Możesz też zgłosić zdarzenie pomoc techniczna platformy Azure. Przejdź do witryny pomoc techniczna platformy Azure i wybierz pozycję Pobierz pomoc techniczną. Aby uzyskać informacje na temat korzystania z pomocy technicznej platformy Azure, zapoznaj się z często zadawanymi pytaniami dotyczącymi platformy Microsoft pomoc techniczna platformy Azure.