Przeglądanie i korygowanie zaleceń dotyczących wykrywanie i reagowanie w punktach końcowych (MMA)
Microsoft Defender dla Chmury zapewnia oceny kondycji obsługiwanych wersji rozwiązań programu Endpoint Protection. W tym artykule opisano scenariusze, które prowadzą Defender dla Chmury w celu wygenerowania następujących dwóch zaleceń:
- Program Endpoint Protection powinien być zainstalowany na maszynach
- Problemy z kondycją programu Endpoint Protection należy rozwiązać na maszynach
Uwaga
Ponieważ agent usługi Log Analytics (znany również jako MMA) zostanie wycofany w sierpniu 2024 r., wszystkie funkcje usługi Defender for Servers, które są obecnie od niego zależne, w tym opisane na tej stronie, będą dostępne za pośrednictwem Ochrona punktu końcowego w usłudze Microsoft Defender integracji lub skanowania bez agenta przed datą wycofania. Aby uzyskać więcej informacji na temat planu działania dla każdej z funkcji, które są obecnie zależne od agenta usługi Log Analytics, zobacz to ogłoszenie.
Napiwek
Pod koniec 2021 r. zmieniliśmy zalecenie, które instaluje program Endpoint Protection. Jedna ze zmian ma wpływ na sposób wyświetlania maszyn, które są wyłączone. W poprzedniej wersji maszyny, które zostały wyłączone, zostały wyświetlone na liście "Nie dotyczy". W nowszych zaleceniach nie są one wyświetlane na żadnej liście zasobów (w dobrej kondycji, złej kondycji lub nie dotyczy).
Windows Defender
W tabeli opisano scenariusze, które prowadzą Defender dla Chmury w celu wygenerowania następujących dwóch zaleceń dotyczących usługi Windows Defender:
Zalecenie | Pojawia się, gdy |
---|---|
Program Endpoint Protection powinien być zainstalowany na maszynach | Polecenie Get-MpComputerStatus jest uruchamiane, a wynikiem jest AMServiceEnabled: False |
Problemy z kondycją programu Endpoint Protection należy rozwiązać na maszynach | Polecenie Get-MpComputerStatus jest uruchamiane i występuje dowolna z następujących czynności: Każda z następujących właściwości ma wartość false: - AMServiceEnabled - AntispywareEnabled - RealTimeProtectionEnabled - BehaviorMonitorEnabled - IoavProtectionEnabled - OnAccessProtectionEnabled Jeśli co najmniej jedna z następujących właściwości to 7 lub więcej: - AntispywareSignatureAge - AntivirusSignatureAge |
Ochrona punktu końcowego programu Microsoft System Center
W tabeli opisano scenariusze, które prowadzą Defender dla Chmury do wygenerowania następujących dwóch zaleceń dotyczących ochrony punktu końcowego programu Microsoft System Center:
Zalecenie | Pojawia się, gdy |
---|---|
Program Endpoint Protection powinien być zainstalowany na maszynach | importowanie modułu SCEPMpModule ("$env:ProgramFiles\Microsoft Security Client\MpProvider\MpProvider.psd1") i uruchomienie polecenia Get-MProtComputerStatus powoduje wystąpienie klasy AMServiceEnabled = false |
Problemy z kondycją programu Endpoint Protection należy rozwiązać na maszynach | Polecenie Get-MprotComputerStatus jest uruchamiane i występuje dowolna z następujących czynności: Co najmniej jedna z następujących właściwości ma wartość false: - AMServiceEnabled - AntispywareEnabled - RealTimeProtectionEnabled - BehaviorMonitorEnabled - IoavProtectionEnabled - OnAccessProtectionEnabled Jeśli co najmniej jedna z następujących aktualizacji podpisu jest większa lub równa 7: - AntispywareSignatureAge - AntivirusSignatureAge |
Trend Micro
W tabeli opisano scenariusze, które prowadzą Defender dla Chmury w celu wygenerowania następujących dwóch zaleceń dotyczących usługi Trend Micro:
Zalecenie | Pojawia się, gdy |
---|---|
Program Endpoint Protection powinien być zainstalowany na maszynach | nie są spełnione żadne z następujących testów: - HKLM:\SOFTWARE\TrendMicro\Deep Security Agent istnieje - HKLM:\SOFTWARE\TrendMicro\Deep Security Agent\InstallationFolder istnieje - Plik dsa_query.cmd znajduje się w folderze instalacyjnym — Uruchamianie wyników dsa_query.cmd z trybem Component.AM.mode: on — Wykryto agenta zabezpieczeń Trend Micro Deep Security |
Ochrona punktu końcowego firmy Symantec
W tabeli opisano scenariusze, które prowadzą Defender dla Chmury w celu wygenerowania następujących dwóch zaleceń dotyczących ochrony punktu końcowego firmy Symantec:
Zalecenie | Pojawia się, gdy |
---|---|
Program Endpoint Protection powinien być zainstalowany na maszynach | nie są spełnione żadne z następujących testów: - HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection" - HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1 Lub - HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection" - HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1 |
Problemy z kondycją programu Endpoint Protection należy rozwiązać na maszynach | nie są spełnione żadne z następujących testów: - Sprawdź wersję >firmy Symantec = 12: Lokalizacja rejestru: HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion" -Value "PRODUCTVERSION" - Sprawdź stan ochrony w czasie rzeczywistym: HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\AV\Storages\Filesystem\RealTimeScan\OnOff == 1 - Sprawdź stan aktualizacji sygnatury: HKLM\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LatestVirusDefsDate <= 7 dni - Sprawdź stan pełnego skanowania: HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LastSuccessfulScanDateTime <= 7 dni — Znajdź ścieżkę numeru wersji podpisu do wersji podpisu dla firmy Symantec 12: Ścieżki rejestru+ "CurrentVersion\SharedDefs" -Value "SRTSP" - Ścieżka do wersji podpisu dla firmy Symantec 14: Ścieżki rejestru+ "CurrentVersion\SharedDefs\SDSDefs" -Value "SRTSP" Ścieżki rejestru: - "HKLM:\Software\Symantec\Symantec Endpoint Protection" + $Path; - "HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection" + $Path |
Ochrona punktu końcowego McAfee dla systemu Windows
W tabeli opisano scenariusze, które prowadzą Defender dla Chmury w celu wygenerowania następujących dwóch zaleceń dotyczących ochrony punktu końcowego McAfee dla systemu Windows:
Zalecenie | Pojawia się, gdy |
---|---|
Program Endpoint Protection powinien być zainstalowany na maszynach | nie są spełnione żadne z następujących testów: - HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion istnieje - HKLM:\SOFTWARE\McAfee\AVSolution\MCSHIELDGLOBAL\GLOBAL\enableoas = 1 |
Problemy z kondycją programu Endpoint Protection należy rozwiązać na maszynach | nie są spełnione żadne z następujących testów: - Wersja McAfee: HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion >= 10 - Znajdź wersję podpisu: HKLM:\Software\McAfee\AVSolution\DS\DS -Value "dwContentMajorVersion" - Znajdź datę podpisu: HKLM:\Software\McAfee\AVSolution\DS\DS -Value "szContentCreationDate" >= 7 dni - Znajdź datę skanowania: HKLM:\Software\McAfee\Endpoint\AV\ODS -Value "LastFullScanOdsRunTime" >= 7 dni |
McAfee Endpoint Security for Linux Threat Prevention
W tabeli opisano scenariusze, które prowadzą Defender dla Chmury do wygenerowania następujących dwóch zaleceń dotyczących zabezpieczeń punktu końcowego mcAfee dla ochrony przed zagrożeniami w systemie Linux:
Zalecenie | Pojawia się, gdy |
---|---|
Program Endpoint Protection powinien być zainstalowany na maszynach | nie są spełnione żadne z następujących testów: - Plik /opt/McAfee/ens/tp/bin/mfetpcli istnieje - Dane wyjściowe "/opt/McAfee/ens/tp/bin/mfetpcli --version" to: McAfee name = McAfee Endpoint Security for Linux Threat Prevention and McAfee version >= 10 |
Problemy z kondycją programu Endpoint Protection należy rozwiązać na maszynach | nie są spełnione żadne z następujących testów: - Wyrażenie "/opt/McAfee/ens/tp/bin/mfetpcli --listtask" zwraca szybkie skanowanie, pełne skanowanie i oba skanowania <= 7 dni - Wyrażenie "/opt/McAfee/ens/tp/bin/mfetpcli --listtask" zwraca wartość DAT i czasu aktualizacji aparatu, a oba z nich <= 7 dni - "/opt/McAfee/ens/tp/bin/mfetpcli --getoasconfig --summary" zwraca stan skanowania w programie Access |
Sophos Antivirus for Linux
W tabeli opisano scenariusze, które prowadzą Defender dla Chmury do wygenerowania następujących dwóch zaleceń dotyczących programu antywirusowego Sophos dla systemu Linux:
Zalecenie | Pojawia się, gdy |
---|---|
Program Endpoint Protection powinien być zainstalowany na maszynach | nie są spełnione żadne z następujących testów: - Plik /opt/sophos-av/bin/savdstatus kończy działanie lub wyszukaj dostosowaną lokalizację "readlink $(which savscan)" - Wyrażenie "/opt/sophos-av/bin/savdstatus --version" zwraca nazwę Sophos = Sophos Anti-Virus i Sophos version >= 9 |
Problemy z kondycją programu Endpoint Protection należy rozwiązać na maszynach | nie są spełnione żadne z następujących testów: - "/opt/sophos-av/bin/savlog --maxage=7 | grep -i "Zaplanowane skanowanie .* ukończone" | tail -1", zwraca wartość - "/opt/sophos-av/bin/savlog --maxage=7 | grep "scan finished" | tail -1", zwraca wartość - Wyrażenie "/opt/sophos-av/bin/savdstatus --lastupdate" zwraca wartość lastUpdate, która powinna wynosić <= 7 dni - "/opt/sophos-av/bin/savdstatus -v" jest równy "Skanowanie dostępu do dostępu jest uruchomione" - Wyrażenie "/opt/sophos-av/bin/savconfig get LiveProtection" zwraca włączone |
Rozwiązywanie problemów i pomoc techniczna
Rozwiązywanie problemów
Dzienniki rozszerzeń ochrony przed złośliwym kodem firmy Microsoft są dostępne pod adresem: %Systemdrive%\WindowsAzure\Logs\Plugins\Microsoft.Azure.Security.IaaSAntimalware(Or PaaSAntimalware)\1.5.5.x(version#)\CommandExecution.log
Pomoc techniczna
Aby uzyskać więcej pomocy, skontaktuj się z ekspertami platformy Azure w pomocy technicznej społeczności platformy Azure. Możesz też zgłosić zdarzenie pomoc techniczna platformy Azure. Przejdź do witryny pomoc techniczna platformy Azure i wybierz pozycję Uzyskaj pomoc techniczną. Aby uzyskać informacje na temat korzystania z pomocy technicznej platformy Azure, przeczytaj artykuł Microsoft pomoc techniczna platformy Azure typowe pytania.