Compartilhar via


Avaliar e corrigir recomendações de detecção e resposta de ponto de extremidade (MMA)

O Microsoft Defender para Nuvem fornece avaliações de integridade de versões das soluções de proteção de ponto de extremidadecompatíveis. Este artigo explica os cenários que levam o Defender para Nuvem a gerar as duas recomendações a seguir:

Observação

Como o agente do Log Analytics (também conhecido como MMA) está definido para ser desativado em agosto de 2024, todos os recursos do Defender para servidores que atualmente dependem dele, incluindo os descritos nesta página, estarão disponíveis pela Integração do Ponto de Extremidade do Microsoft Defender ou da verificação sem agente, antes da data de desativação. Para obter mais informações sobre o roteiro de cada recurso que atualmente depende do Agente do Log Analytics, consulte este comunicado.

Dica

No final de 2021, revisamos a recomendação que instala o Endpoint Protection. Uma das alterações afeta a maneira como a recomendação exibe computadores desligados. Na versão anterior, os computadores que foram desativados apareciam na lista " não aplicável". Na recomendação mais recente, eles não aparecem em nenhuma das listas de recursos (íntegro, não íntegro ou não aplicável).

Windows Defender

A tabela explica os cenários que levam o Defender para Nuvem a gerar as duas recomendações a seguir para o Windows Defender:

Recomendação Aparece quando
O Endpoint Protection deve ser instalado nos computadores Get-MpComputerStatus é executado e o resultado é AMServiceEnabled: False
Os problemas de integridade do Endpoint protection devem ser resolvidos nos seus computadores Get-MpComputerStatus é executado e qualquer um dos seguintes ocorre:

Qualquer uma das propriedades seguintes for falsa:

- AMServiceEnabled
- AntispywareEnabled
- RealTimeProtectionEnabled
- BehaviorMonitorEnabled
- IoavProtectionEnabled
- OnAccessProtectionEnabled

Se uma das propriedades a seguir ou ambas forem 7 ou mais:

- AntispywareSignatureAge
- AntivirusSignatureAge

Proteção de ponto de extremidade Microsoft System Center

A tabela explica os cenários que levam o Defender para Nuvem a gerar as duas recomendações a seguir para a proteção do ponto de extremidade do Microsoft System Center:

Recomendação Aparece quando
O Endpoint Protection deve ser instalado nos computadores importar SCEPMpModule ("$env:ProgramFiles\Microsoft Security Client\MpProvider\MpProvider.psd1") e executar Get-MProtComputerStatus resulta em AMServiceEnabled = false
Os problemas de integridade do Endpoint protection devem ser resolvidos nos seus computadores Get-MprotComputerStatus é executado e qualquer um dos seguintes ocorre:

Pelo menos uma das propriedades a seguir for falsa:

- AMServiceEnabled
- AntispywareEnabled
- RealTimeProtectionEnabled
- BehaviorMonitorEnabled
- IoavProtectionEnabled
- OnAccessProtectionEnabled

Se uma ou ambas as atualizações de assinatura a seguir forem maiores ou iguais a 7:

- AntispywareSignatureAge
- AntivirusSignatureAge

Trend Micro

Este artigo explica os cenários que levam o Defender para Nuvem a gerar as duas recomendações a seguir para a Trend Micro:

Recomendação Aparece quando
O Endpoint Protection deve ser instalado nos computadores alguma das seguintes verificações não é atendida:

- HKLM:\SOFTWARE\TrendMicro\Deep Security Agent existe
- HKLM:\SOFTWARE\TrendMicro\Deep Security Agent\InstallationFolder existe
— O arquivo dsa_query.cmd é encontrado na Pasta Instalação
— Executar dsa_query.cmd resulta na detecção do Component.AM.mode: on - Trend Micro Deep Security Agent

Proteção de ponto de extremidade da Symantec

A tabela explica os cenários que levam o Defender para Nuvem a gerar as duas recomendações a seguir para a proteção do ponto de extremidade da Symantec:

Recomendação Aparece quando
O Endpoint Protection deve ser instalado nos computadores alguma das seguintes verificações não é atendida:

- HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection"
- HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1
Ou
- HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection"
- HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1
Os problemas de integridade do Endpoint protection devem ser resolvidos nos seus computadores alguma das seguintes verificações não é atendida:

— Verificar a Versão do Symantec >= 12: Local do registro: HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion" -Value "PRODUCTVERSION"
— Verificar o status da Proteção em Tempo Real: HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\AV\Storages\Filesystem\RealTimeScan\OnOff == 1
— Verificar status de Atualização da Assinatura: HKLM\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LatestVirusDefsDate <= 7 dias
— Verificar status da Verificação Completa: HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LastSuccessfulScanDateTime <= 7 dias
— Localizar o Caminho do número de versão da assinatura para a versão da assinatura do Symantec 12: Registry Paths+ "CurrentVersion\SharedDefs" -Value "SRTSP"
— Caminho para a versão da assinatura do Symantec 14: Registry Paths+ "CurrentVersion\SharedDefs\SDSDefs" -Value "SRTSP"

Caminhos do registro:

- "HKLM:\Software\Symantec\Symantec Endpoint Protection" + $Path;
- "HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection" + $Path

Proteção de ponto de extremidade McAfee para Windows

A tabela explica os cenários que levam o Defender para Nuvem a gerar as duas recomendações a seguir para a proteção de ponto de extremidade da McAfee para Windows:

Recomendação Aparece quando
O Endpoint Protection deve ser instalado nos computadores alguma das seguintes verificações não é atendida:

- HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion existe
- HKLM:\SOFTWARE\McAfee\AVSolution\MCSHIELDGLOBAL\GLOBAL\enableoas = 1
Os problemas de integridade do Endpoint protection devem ser resolvidos nos seus computadores alguma das seguintes verificações não é atendida:

— Versão do McAfee: HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion >= 10
— Localizar a Versão da assinatura: HKLM:\Software\McAfee\AVSolution\DS\DS -Value "dwContentMajorVersion"
— Localizar a Data da Assinatura: HKLM:\Software\McAfee\AVSolution\DS\DS -Value "szContentCreationDate" >= 7 dias
— Localizar a Data da Verificação: HKLM:\Software\McAfee\Endpoint\AV\ODS -Value "LastFullScanOdsRunTime" >= 7 dias

Prevenção contra ameaças do McAfee Endpoint Security para Linux

A tabela explica os cenários que levam o Defender para Nuvem a gerar as duas recomendações a seguir para a Segurança de Ponto de Extremidade da McAfee para Prevenção de Ameaças do Linux:

Recomendação Aparece quando
O Endpoint Protection deve ser instalado nos computadores alguma das seguintes verificações não é atendida:

— O arquivo /opt/McAfee/ens/tp/bin/mfetpcli existe
A saída de - "/opt/McAfee/ens/tp/bin/mfetpcli --version" é: McAfee name = McAfee Endpoint Security for Linux Threat Prevention and McAfee version >= 10
Os problemas de integridade do Endpoint protection devem ser resolvidos nos seus computadores alguma das seguintes verificações não é atendida:

- "/opt/McAfee/ens/tp/bin/mfetpcli --listtask" retorna Varredura completa, Varredura rápida e ambas as varreduras <= 7 dias
- "/opt/McAfee/ens/tp/bin/mfetpcli --listtask" retorna DAT e o mecanismo Atualizar tempo e para ambos <= 7 dias
- "/opt/McAfee/ens/tp/bin/mfetpcli --getoasconfig --summary" retorna o status On Access Scan

Sophos Antivirus para Linux

A tabela explica os cenários que levam o Defender para Nuvem a gerar as duas recomendações a seguir para o Sophos Antivírus para Linux:

Recomendação Aparece quando
O Endpoint Protection deve ser instalado nos computadores alguma das seguintes verificações não é atendida:

— Arquivo /opt/sophos-av/bin/savdstatus sai ou pesquisa um local personalizado "readlink $(which savscan)"
- "/opt/sophos-av/bin/savdstatus --version" retorna Sophos name = Sophos Anti-Virus and Sophos version >= 9
Os problemas de integridade do Endpoint protection devem ser resolvidos nos seus computadores alguma das seguintes verificações não é atendida:

- "/opt/sophos-av/bin/savlog --maxage=7 | grep -i "Scheduled scan .* completed" | tail -1", retorna um valor
- "/opt/sophos-av/bin/savlog --maxage=7 | grep "scan finished" | tail -1", retorna um valor
- "/opt/sophos-av/bin/savdstatus --lastupdate" retorna lastUpdate, que deveria ser <= 7 dias
- "/opt/sophos-av/bin/savdstatus -v" é igual a "On-access scanning is running"
- "/opt/sophos-av/bin/savconfig get LiveProtection" retorna como habilitado

Solução de problemas e suporte

Solucionar problemas

Logs de extensão do Microsoft Antimalware estão disponíveis em: %Systemdrive%\WindowsAzure\Logs\Plugins\Microsoft.Azure.Security.IaaSAntimalware(Or PaaSAntimalware)\1.5.5.x(version#)\CommandExecution.log

Suporte

Para obter mais ajuda, entre em contato com os especialistas do Azure no Suporte da Comunidade do Azure. Ou registrar um incidente no Suporte do Azure. Vá para o site de suporte do Azure e selecione Obter suporte. Para saber mais sobre como usar o Suporte do Azure, leia as Perguntas frequentes sobre o Suporte do Microsoft Azure.