Przeglądanie i korygowanie zaleceń dotyczących wykrywanie i reagowanie w punktach końcowych (bez agentów)

  • Artykuł

Microsoft Defender dla Chmury zawiera zalecenia dotyczące zabezpieczania i konfigurowania rozwiązań wykrywanie i reagowanie w punktach końcowych. Korygując te zalecenia, możesz upewnić się, że rozwiązanie wykrywanie i reagowanie w punktach końcowych jest zgodne i bezpieczne we wszystkich środowiskach.

Zalecenia dotyczące wykrywanie i reagowanie w punktach końcowych umożliwiają:

  • Określenie, czy rozwiązanie wykrywanie i reagowanie w punktach końcowych jest zainstalowane na maszynach z wieloma chmurami

  • Identyfikowanie luk w konfiguracjach zabezpieczeń w dowolnych odnalezionych rozwiązaniach wykrywanie i reagowanie w punktach końcowych

  • Korygowanie wykrytych luk w konfiguracjach zabezpieczeń

Wymagania wstępne

Zalecenia wymienione w tym artykule są dostępne tylko w przypadku spełnienia następujących wymagań wstępnych:

Uwaga

Funkcja opisana na tej stronie jest funkcją zastępczą funkcji opartej na MMA, która ma zostać wycofana wraz z wycofaniem MMA w sierpniu 2024 roku.

Dowiedz się więcej na temat migracji i procesu wycofywania zaleceń dotyczących ochrony punktu końcowego.

Przeglądanie i korygowanie zaleceń dotyczących odnajdywania wykrywanie i reagowanie w punktach końcowych

Gdy Defender dla Chmury odnajduje obsługiwane rozwiązanie wykrywanie i reagowanie w punktach końcowych na maszynie wirtualnej, skaner maszyn bez agenta wykonuje następujące testy, aby zobaczyć:

  • Jeśli jest włączone obsługiwane rozwiązanie wykrywanie i reagowanie w punktach końcowych
  • Jeśli usługa Defender for Servers (plan 2) jest włączona w twojej subskrypcji i skojarzonych maszynach wirtualnych
  • Jeśli obsługiwane rozwiązanie zostało pomyślnie zainstalowane

Jeśli te testy powodują problemy, zalecenie oferuje różne kroki korygowania, aby upewnić się, że maszyny wirtualne są chronione przez obsługiwane rozwiązanie wykrywanie i reagowanie w punktach końcowych i rozwiązać wszelkie luki w zabezpieczeniach.

Obsługiwane rozwiązania i platformy

W Defender dla Chmury są obsługiwane następujące rozwiązania wykrywanie i reagowanie w punktach końcowych:

Rozwiązanie do wykrywania i reagowania na punkty końcowe Obsługiwane platformy
Ochrona punktu końcowego w usłudze Microsoft Defender dla systemu Windows Windows
Ochrona punktu końcowego w usłudze Microsoft Defender dla systemu Linux Linux
Ochrona punktu końcowego w usłudze Microsoft Defender Unified Solution Windows Server 2012 R2 i Windows 2016
CrowdStrike (Falcon) Windows i Linux
Trellix Windows i Linux
Symantec Windows i Linux
Sophos Windows i Linux

Określanie, które rozwiązanie wykrywanie i reagowanie w punktach końcowych jest włączone na maszynie wirtualnej

Defender dla Chmury ma możliwość sprawdzenia, czy masz obsługiwane rozwiązanie wykrywanie i reagowanie w punktach końcowych włączone na maszynach wirtualnych i jakie jest.

Aby określić, które rozwiązanie jest włączone na maszynie wirtualnej:

  1. Zaloguj się w witrynie Azure Portal.

  2. Przejdź do Microsoft Defender dla Chmury> Rekomendacje.

  3. Wyszukaj i wybierz jedną z następujących rekomendacji:

    • EDR solution should be installed on Virtual Machines
    • EDR solution should be installed on EC2s
    • EDR solution should be installed on Virtual Machines (GCP)

  4. Wybierz kartę Zasoby w dobrej kondycji.

  5. Wykryta kolumna wykrywanie i reagowanie w punktach końcowych wyświetla wykryte rozwiązanie.

    Zrzut ekranu przedstawiający kartę Zasoby w dobrej kondycji, w której widać, które rozwiązanie wykrywanie i reagowanie w punktach końcowych jest włączone na maszynie.

Przeglądanie i korygowanie zaleceń dotyczących odnajdywania

  1. Zaloguj się w witrynie Azure Portal.

  2. Przejdź do Microsoft Defender dla Chmury> Rekomendacje.

  3. Wyszukaj i wybierz jedną z następujących rekomendacji:

    • EDR solution should be installed on Virtual Machines
    • EDR solution should be installed on EC2s
    • EDR solution should be installed on Virtual Machines (GCP)

    Zrzut ekranu przedstawiający stronę zaleceń z zaleceniami dotyczącymi zidentyfikowanego rozwiązania punktu końcowego.

  4. Wybierz odpowiednie zalecenie.

  5. Zalecenie oferuje wiele zalecanych akcji do rozwiązania na każdym dołączonym komputerze. Wybierz odpowiednią akcję, aby wyświetlić kroki korygowania:

Włączanie integracji Ochrona punktu końcowego w usłudze Microsoft Defender

Ta zalecana akcja jest dostępna, gdy:

  • Na maszynie wirtualnej nie wykryto jednego z obsługiwanych rozwiązań wykrywanie i reagowanie w punktach końcowych.

  • Maszyna wirtualna może mieć zainstalowane Ochrona punktu końcowego w usłudze Microsoft Defender w ramach ofert dostępnych w usłudze Defender for Servers.

Aby włączyć integrację usługi Defender for Endpoint z maszyną wirtualną, której dotyczy problem:

  1. Wybierz maszynę, której dotyczy problem.

  2. (Opcjonalnie) Wybierz wiele maszyn, których dotyczy problem, które mają zalecaną Enable Microsoft Defender for Endpoint integration akcję.

  3. Wybierz pozycję Napraw.

    Zrzut ekranu przedstawiający lokalizację przycisku naprawy.

  4. Wybierz opcję Włącz.

    Zrzut ekranu przedstawiający okno podręczne, z którego można włączyć integrację usługi Defender for Endpoint.

Usługa Defender dla punktu końcowego jest stosowana do wszystkich serwerów z systemami Windows i Linux w ramach subskrypcji. Po zakończeniu procesu może upłynąć do 24 godzin, dopóki maszyna nie pojawi się na karcie Zasoby w dobrej kondycji.

Uaktualnianie planu usługi Defender

Ta zalecana akcja jest dostępna, gdy:

  • Na maszynie wirtualnej nie wykryto jednego z obsługiwanych rozwiązań wykrywanie i reagowanie w punktach końcowych.

  • Plan 2 usługi Defender for Servers nie jest włączony na maszynie wirtualnej.

Aby włączyć integrację usługi Defender for Endpoint z planem usługi Defender for Servers na maszynie wirtualnej, której dotyczy problem:

  1. Wybierz maszynę, której dotyczy problem.

  2. (Opcjonalnie) Wybierz wiele maszyn, których dotyczy problem, które mają zalecaną Upgrade Defender plan akcję.

  3. Wybierz pozycję Napraw.

    Zrzut ekranu przedstawiający lokalizację przycisku naprawy na ekranie.

  4. Wybierz plan w menu rozwijanym. Każdy plan zawiera koszt, dowiedz się więcej o kosztach na stronie cennika Defender dla Chmury.

  5. Wybierz opcję Włącz.

    Zrzut ekranu przedstawiający okno podręczne umożliwiające wybranie planu usługi Defender for Servers w celu włączenia subskrypcji.

Po zakończeniu procesu może upłynąć do 24 godzin, dopóki maszyna nie pojawi się na karcie Zasoby w dobrej kondycji.

Rozwiązywanie problemów z nieudaną instalacją

Ta zalecana akcja jest dostępna, gdy:

  • Usługa Defender for Endpoint jest wykrywana na maszynie, ale instalacja nie powiodła się.

Aby rozwiązać problemy z maszyną wirtualną:

  1. Wybierz zasób, którego dotyczy problem.

  2. Wybierz pozycję Kroki korygowania.

    Zrzut ekranu przedstawiający lokalizację kroków korygowania w rekomendacji.

  3. Postępuj zgodnie z instrukcjami, aby rozwiązać problemy z dołączaniem Ochrona punktu końcowego w usłudze Microsoft Defender dla systemu Windows lub Linux.

Po zakończeniu procesu może upłynąć do 24 godzin, dopóki maszyna nie pojawi się na karcie Zasoby w dobrej kondycji.

Przeglądanie i korygowanie zaleceń dotyczących błędnej konfiguracji wykrywanie i reagowanie w punktach końcowych

Gdy Defender dla Chmury znajdzie błędy konfiguracji w rozwiązaniu wykrywanie i reagowanie w punktach końcowych, zalecenia są wyświetlane na stronie zaleceń. To zalecenie dotyczy tylko maszyn wirtualnych z włączoną usługą Defender for Endpoint. Te zalecenia sprawdzają następujące testy zabezpieczeń:

  • Both full and quick scans are out of 7 days
  • Signature out of date
  • Anti-virus is off or partially configured

Aby wykryć błędy konfiguracji w rozwiązaniu wykrywanie i reagowanie w punktach końcowych:

  1. Zaloguj się w witrynie Azure Portal.

  2. Przejdź do Microsoft Defender dla Chmury> Rekomendacje.

  3. Wyszukaj i wybierz jedną z następujących rekomendacji:

    • EDR configuration issues should be resolved on virtual machines
    • EDR configuration issues should be resolved on EC2s
    • EDR configuration issues should be resolved on GCP virtual machines

    Zrzut ekranu przedstawiający zalecenia dotyczące konfigurowania wykrywania punktu końcowego i rozwiązania oraz korygowania błędów konfiguracji.

  4. Wybierz odpowiednie zalecenie.

  5. Wybierz kontrolę zabezpieczeń, aby przejrzeć zasoby, których dotyczy problem.

    Zrzut ekranu przedstawiający wybrane sprawdzanie zabezpieczeń i zasoby, których dotyczy problem.

  6. Wybierz każdą kontrolę zabezpieczeń, aby przejrzeć wszystkie zasoby, których dotyczy problem.

  7. Rozwiń sekcję zasobów, których dotyczy problem.

    Zrzut ekranu pokazujący, gdzie należy wybrać na ekranie, aby rozwinąć sekcję zasobów, których dotyczy problem.

  8. Wybierz zasób w złej kondycji, aby przejrzeć jego wyniki.

    Zrzut ekranu przedstawiający wyniki zasobu w złej kondycji.

  9. Wybierz sprawdzanie zabezpieczeń, aby wyświetlić dodatkowe informacje i kroki korygowania.

    Zrzut ekranu przedstawiający sekcję dodatkowych szczegółów.

  10. Wykonaj kroki korygowania.

Po zakończeniu procesu może upłynąć do 24 godzin, dopóki maszyna nie pojawi się na karcie Zasoby w dobrej kondycji.

Następny krok

Dowiedz się więcej o różnicach między środowiskiem MMA i środowiskiem bez agenta.