Udostępnij za pośrednictwem


Przeglądanie i korygowanie zaleceń dotyczących wykrywanie i reagowanie w punktach końcowych (MMA)

Microsoft Defender dla Chmury zapewnia oceny kondycji obsługiwanych wersji rozwiązań programu Endpoint Protection. W tym artykule opisano scenariusze, które prowadzą Defender dla Chmury w celu wygenerowania następujących dwóch zaleceń:

Uwaga

Ponieważ agent usługi Log Analytics (znany również jako MMA) zostanie wycofany w sierpniu 2024 r., wszystkie funkcje usługi Defender for Servers, które są obecnie od niego zależne, w tym opisane na tej stronie, będą dostępne za pośrednictwem Ochrona punktu końcowego w usłudze Microsoft Defender integracji lub skanowania bez agenta przed datą wycofania. Aby uzyskać więcej informacji na temat planu działania dla każdej z funkcji, które są obecnie zależne od agenta usługi Log Analytics, zobacz to ogłoszenie.

Napiwek

Pod koniec 2021 r. zmieniliśmy zalecenie, które instaluje program Endpoint Protection. Jedna ze zmian ma wpływ na sposób wyświetlania maszyn, które są wyłączone. W poprzedniej wersji maszyny, które zostały wyłączone, zostały wyświetlone na liście "Nie dotyczy". W nowszych zaleceniach nie są one wyświetlane na żadnej liście zasobów (w dobrej kondycji, złej kondycji lub nie dotyczy).

Windows Defender

W tabeli opisano scenariusze, które prowadzą Defender dla Chmury w celu wygenerowania następujących dwóch zaleceń dotyczących usługi Windows Defender:

Zalecenie Pojawia się, gdy
Program Endpoint Protection powinien być zainstalowany na maszynach Polecenie Get-MpComputerStatus jest uruchamiane, a wynikiem jest AMServiceEnabled: False
Problemy z kondycją programu Endpoint Protection należy rozwiązać na maszynach Polecenie Get-MpComputerStatus jest uruchamiane i występuje dowolna z następujących czynności:

Każda z następujących właściwości ma wartość false:

- AMServiceEnabled
- AntispywareEnabled
- RealTimeProtectionEnabled
- BehaviorMonitorEnabled
- IoavProtectionEnabled
- OnAccessProtectionEnabled

Jeśli co najmniej jedna z następujących właściwości to 7 lub więcej:

- AntispywareSignatureAge
- AntivirusSignatureAge

Ochrona punktu końcowego programu Microsoft System Center

W tabeli opisano scenariusze, które prowadzą Defender dla Chmury do wygenerowania następujących dwóch zaleceń dotyczących ochrony punktu końcowego programu Microsoft System Center:

Zalecenie Pojawia się, gdy
Program Endpoint Protection powinien być zainstalowany na maszynach importowanie modułu SCEPMpModule ("$env:ProgramFiles\Microsoft Security Client\MpProvider\MpProvider.psd1") i uruchomienie polecenia Get-MProtComputerStatus powoduje wystąpienie klasy AMServiceEnabled = false
Problemy z kondycją programu Endpoint Protection należy rozwiązać na maszynach Polecenie Get-MprotComputerStatus jest uruchamiane i występuje dowolna z następujących czynności:

Co najmniej jedna z następujących właściwości ma wartość false:

- AMServiceEnabled
- AntispywareEnabled
- RealTimeProtectionEnabled
- BehaviorMonitorEnabled
- IoavProtectionEnabled
- OnAccessProtectionEnabled

Jeśli co najmniej jedna z następujących aktualizacji podpisu jest większa lub równa 7:

- AntispywareSignatureAge
- AntivirusSignatureAge

Trend Micro

W tabeli opisano scenariusze, które prowadzą Defender dla Chmury w celu wygenerowania następujących dwóch zaleceń dotyczących usługi Trend Micro:

Zalecenie Pojawia się, gdy
Program Endpoint Protection powinien być zainstalowany na maszynach nie są spełnione żadne z następujących testów:

- HKLM:\SOFTWARE\TrendMicro\Deep Security Agent istnieje
- HKLM:\SOFTWARE\TrendMicro\Deep Security Agent\InstallationFolder istnieje
- Plik dsa_query.cmd znajduje się w folderze instalacyjnym
— Uruchamianie wyników dsa_query.cmd z trybem Component.AM.mode: on — Wykryto agenta zabezpieczeń Trend Micro Deep Security

Ochrona punktu końcowego firmy Symantec

W tabeli opisano scenariusze, które prowadzą Defender dla Chmury w celu wygenerowania następujących dwóch zaleceń dotyczących ochrony punktu końcowego firmy Symantec:

Zalecenie Pojawia się, gdy
Program Endpoint Protection powinien być zainstalowany na maszynach nie są spełnione żadne z następujących testów:

- HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection"
- HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1
Lub
- HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection"
- HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1
Problemy z kondycją programu Endpoint Protection należy rozwiązać na maszynach nie są spełnione żadne z następujących testów:

- Sprawdź wersję >firmy Symantec = 12: Lokalizacja rejestru: HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion" -Value "PRODUCTVERSION"
- Sprawdź stan ochrony w czasie rzeczywistym: HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\AV\Storages\Filesystem\RealTimeScan\OnOff == 1
- Sprawdź stan aktualizacji sygnatury: HKLM\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LatestVirusDefsDate <= 7 dni
- Sprawdź stan pełnego skanowania: HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LastSuccessfulScanDateTime <= 7 dni
— Znajdź ścieżkę numeru wersji podpisu do wersji podpisu dla firmy Symantec 12: Ścieżki rejestru+ "CurrentVersion\SharedDefs" -Value "SRTSP"
- Ścieżka do wersji podpisu dla firmy Symantec 14: Ścieżki rejestru+ "CurrentVersion\SharedDefs\SDSDefs" -Value "SRTSP"

Ścieżki rejestru:

- "HKLM:\Software\Symantec\Symantec Endpoint Protection" + $Path;
- "HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection" + $Path

Ochrona punktu końcowego McAfee dla systemu Windows

W tabeli opisano scenariusze, które prowadzą Defender dla Chmury w celu wygenerowania następujących dwóch zaleceń dotyczących ochrony punktu końcowego McAfee dla systemu Windows:

Zalecenie Pojawia się, gdy
Program Endpoint Protection powinien być zainstalowany na maszynach nie są spełnione żadne z następujących testów:

- HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion istnieje
- HKLM:\SOFTWARE\McAfee\AVSolution\MCSHIELDGLOBAL\GLOBAL\enableoas = 1
Problemy z kondycją programu Endpoint Protection należy rozwiązać na maszynach nie są spełnione żadne z następujących testów:

- Wersja McAfee: HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion >= 10
- Znajdź wersję podpisu: HKLM:\Software\McAfee\AVSolution\DS\DS -Value "dwContentMajorVersion"
- Znajdź datę podpisu: HKLM:\Software\McAfee\AVSolution\DS\DS -Value "szContentCreationDate" >= 7 dni
- Znajdź datę skanowania: HKLM:\Software\McAfee\Endpoint\AV\ODS -Value "LastFullScanOdsRunTime" >= 7 dni

McAfee Endpoint Security for Linux Threat Prevention

W tabeli opisano scenariusze, które prowadzą Defender dla Chmury do wygenerowania następujących dwóch zaleceń dotyczących zabezpieczeń punktu końcowego mcAfee dla ochrony przed zagrożeniami w systemie Linux:

Zalecenie Pojawia się, gdy
Program Endpoint Protection powinien być zainstalowany na maszynach nie są spełnione żadne z następujących testów:

- Plik /opt/McAfee/ens/tp/bin/mfetpcli istnieje
- Dane wyjściowe "/opt/McAfee/ens/tp/bin/mfetpcli --version" to: McAfee name = McAfee Endpoint Security for Linux Threat Prevention and McAfee version >= 10
Problemy z kondycją programu Endpoint Protection należy rozwiązać na maszynach nie są spełnione żadne z następujących testów:

- Wyrażenie "/opt/McAfee/ens/tp/bin/mfetpcli --listtask" zwraca szybkie skanowanie, pełne skanowanie i oba skanowania <= 7 dni
- Wyrażenie "/opt/McAfee/ens/tp/bin/mfetpcli --listtask" zwraca wartość DAT i czasu aktualizacji aparatu, a oba z nich <= 7 dni
- "/opt/McAfee/ens/tp/bin/mfetpcli --getoasconfig --summary" zwraca stan skanowania w programie Access

Sophos Antivirus for Linux

W tabeli opisano scenariusze, które prowadzą Defender dla Chmury do wygenerowania następujących dwóch zaleceń dotyczących programu antywirusowego Sophos dla systemu Linux:

Zalecenie Pojawia się, gdy
Program Endpoint Protection powinien być zainstalowany na maszynach nie są spełnione żadne z następujących testów:

- Plik /opt/sophos-av/bin/savdstatus kończy działanie lub wyszukaj dostosowaną lokalizację "readlink $(which savscan)"
- Wyrażenie "/opt/sophos-av/bin/savdstatus --version" zwraca nazwę Sophos = Sophos Anti-Virus i Sophos version >= 9
Problemy z kondycją programu Endpoint Protection należy rozwiązać na maszynach nie są spełnione żadne z następujących testów:

- "/opt/sophos-av/bin/savlog --maxage=7 | grep -i "Zaplanowane skanowanie .* ukończone" | tail -1", zwraca wartość
- "/opt/sophos-av/bin/savlog --maxage=7 | grep "scan finished" | tail -1", zwraca wartość
- Wyrażenie "/opt/sophos-av/bin/savdstatus --lastupdate" zwraca wartość lastUpdate, która powinna wynosić <= 7 dni
- "/opt/sophos-av/bin/savdstatus -v" jest równy "Skanowanie dostępu do dostępu jest uruchomione"
- Wyrażenie "/opt/sophos-av/bin/savconfig get LiveProtection" zwraca włączone

Rozwiązywanie problemów i pomoc techniczna

Rozwiązywanie problemów

Dzienniki rozszerzeń ochrony przed złośliwym kodem firmy Microsoft są dostępne pod adresem: %Systemdrive%\WindowsAzure\Logs\Plugins\Microsoft.Azure.Security.IaaSAntimalware(Or PaaSAntimalware)\1.5.5.x(version#)\CommandExecution.log

Pomoc techniczna

Aby uzyskać więcej pomocy, skontaktuj się z ekspertami platformy Azure w pomocy technicznej społeczności platformy Azure. Możesz też zgłosić zdarzenie pomoc techniczna platformy Azure. Przejdź do witryny pomoc techniczna platformy Azure i wybierz pozycję Uzyskaj pomoc techniczną. Aby uzyskać informacje na temat korzystania z pomocy technicznej platformy Azure, przeczytaj artykuł Microsoft pomoc techniczna platformy Azure typowe pytania.