Поделиться через

Просмотр и исправление рекомендаций обнаружение и нейтрализация атак на конечные точки (без агента)

  • Статья

Microsoft Defender для облака предоставляет рекомендации по защите и настройке решений обнаружение и нейтрализация атак на конечные точки. Исправив эти рекомендации, вы можете убедиться, что решение обнаружение и нейтрализация атак на конечные точки совместимо и безопасно во всех средах.

Рекомендации обнаружение и нейтрализация атак на конечные точки позволяют:

  • Определение того, установлено ли решение обнаружение и нейтрализация атак на конечные точки на компьютерах с несколькими облаками

  • Определение пробелов в конфигурациях безопасности в любой из обнаруженных обнаружение и нейтрализация атак на конечные точки решений

  • Исправление обнаруженных пробелов в конфигурациях безопасности

Необходимые компоненты

Рекомендации, упомянутые в этой статье, доступны только в том случае, если у вас есть следующие предварительные требования:

Примечание.

Эта функция, описанная на этой странице, является функцией замены функции на основе MMA, которая будет прекращена вместе с выходом на пенсию MMA в августе 2024 года.

Узнайте больше о миграции и процессе нерекомендуемых рекомендаций по защите конечных точек.

Просмотр и исправление рекомендаций по обнаружению обнаружение и нейтрализация атак на конечные точки

Когда Defender для облака обнаруживает поддерживаемое решение обнаружение и нейтрализация атак на конечные точки на виртуальной машине, средство проверки без агента выполняет следующие проверки:

  • Если включено поддерживаемое решение обнаружение и нейтрализация атак на конечные точки
  • Если в подписке включен план 2 Defender для серверов и связанные виртуальные машины
  • Если поддерживаемого решения установлено успешно

Если эти проверки имеют проблемы, рекомендация предлагает различные действия по исправлению, чтобы обеспечить защиту виртуальных машин поддерживаемым решением обнаружение и нейтрализация атак на конечные точки и устранением проблем безопасности.

Поддерживаемые решения и платформы

Следующие решения обнаружение и нейтрализация атак на конечные точки поддерживаются в Defender для облака:

Решение для обнаружения и реагирования конечных точек Поддерживаемые платформы
Microsoft Defender для конечной точки для Windows Windows
Microsoft Defender для конечной точки для Linux Linux
единое решение Microsoft Defender для конечной точки Windows Server 2012 R2 и Windows 2016
CrowdStrike (Falcon) Windows и Linux.
Трелликс Windows и Linux.
Symantec Windows и Linux.
Sophos Windows и Linux.
Платформа Сингулярности от SentinelOne Windows и Linux.
Cortex XDR Windows и Linux.

Определение обнаружение и нейтрализация атак на конечные точки решения на виртуальной машине

Defender для облака имеет возможность сообщить вам, включена ли поддерживаемая обнаружение и нейтрализация атак на конечные точки решение на виртуальных машинах и какое из них.

Чтобы определить, какое решение включено на виртуальной машине, выполните следующие действия.

  1. Войдите на портал Azure.

  2. Перейдите в Microsoft Defender для облака>Рекомендации.

  3. Найдите и выберите одну из следующих рекомендаций:

    • EDR solution should be installed on Virtual Machines
    • EDR solution should be installed on EC2s
    • EDR solution should be installed on Virtual Machines (GCP)

  4. Перейдите на вкладку "Работоспособные ресурсы ".

  5. Обнаруженный столбец обнаружение и нейтрализация атак на конечные точки отображает обнаруженное решение.

    Снимок экрана: вкладка

Просмотр и исправление рекомендаций по обнаружению

  1. Войдите на портал Azure.

  2. Перейдите в Microsoft Defender для облака>Рекомендации.

  3. Найдите и выберите одну из следующих рекомендаций:

    • EDR solution should be installed on Virtual Machines
    • EDR solution should be installed on EC2s
    • EDR solution should be installed on Virtual Machines (GCP)

    Снимок экрана: страница рекомендаций с рекомендациями по определенной конечной точке.

  4. Выберите соответствующую рекомендацию.

  5. Рекомендация предлагает несколько рекомендуемых действий для разрешения на каждом подключенном компьютере, выберите соответствующее действие, чтобы просмотреть действия по исправлению:

Активация интеграции Microsoft Defender для конечной точки

Это рекомендуемое действие доступно, если:

Чтобы включить интеграцию Defender для конечной точки на затронутой виртуальной машине, выполните следующие действия.

  1. Выберите затронутый компьютер.

  2. (Необязательно) Выберите несколько затронутых компьютеров с рекомендуемыми Enable Microsoft Defender for Endpoint integration действиями.

  3. Выберите элемент Исправить.

    Снимок экрана: расположение кнопки исправления.

  4. Выберите Включить.

    Снимок экрана: всплывающее окно, в котором включена интеграция Defender для конечной точки.

Защитник конечной точки применяется ко всем серверам Windows и Linux в подписке. После завершения процесса может потребоваться до 24 часов, пока компьютер не появится на вкладке "Работоспособные ресурсы".

План "Обновление Защитника"

Это рекомендуемое действие доступно, если:

Чтобы включить интеграцию Defender для конечной точки на затронутой виртуальной машине в Defender для серверов, выполните следующие действия.

  1. Выберите затронутый компьютер.

  2. (Необязательно) Выберите несколько затронутых компьютеров с рекомендуемыми Upgrade Defender plan действиями.

  3. Выберите элемент Исправить.

    Снимок экрана: расположение кнопки исправления на экране.

  4. Выберите план в раскрывающемся меню. Каждый план поставляется с затратами, узнайте больше о стоимости на странице цен Defender для облака.

  5. Выберите Включить.

    Снимок экрана: всплывающее окно, позволяющее выбрать, какой защитник для серверов планирует включить в подписке.

После завершения процесса может потребоваться до 24 часов, пока компьютер не появится на вкладке "Работоспособные ресурсы".

Устранение неполадок с неудачной установкой

Это рекомендуемое действие доступно, если:

  • Защитник для конечной точки обнаружен на компьютере, но установка была неудачной.

Чтобы устранить неполадки на виртуальной машине, выполните приведенные ниже действия.

  1. Выберите затронутый ресурс.

  2. Выберите действия по исправлению.

    Снимок экрана: расположение шагов по исправлению в рекомендации.

  3. Следуйте инструкциям по устранению неполадок с подключением Microsoft Defender для конечной точки для Windows или Linux.

После завершения процесса может потребоваться до 24 часов, пока компьютер не появится на вкладке "Работоспособные ресурсы".

Проверка и исправление рекомендаций по неправильной настройке обнаружение и нейтрализация атак на конечные точки

Когда Defender для облака находит неправильные конфигурации в решении обнаружение и нейтрализация атак на конечные точки, на странице рекомендаций отображаются рекомендации. Эта рекомендация применима только к виртуальным машинам с включенным Defender для конечной точки. Эти рекомендации проверяют следующие проверки безопасности:

  • Both full and quick scans are out of 7 days
  • Signature out of date
  • Anti-virus is off or partially configured

Чтобы обнаружить неправильные конфигурации в решении обнаружение и нейтрализация атак на конечные точки, выполните следующие действия.

  1. Войдите на портал Azure.

  2. Перейдите в Microsoft Defender для облака>Рекомендации.

  3. Найдите и выберите одну из следующих рекомендаций:

    • EDR configuration issues should be resolved on virtual machines
    • EDR configuration issues should be resolved on EC2s
    • EDR configuration issues should be resolved on GCP virtual machines

    Снимок экрана: рекомендации по настройке обнаружения конечных точек и решения и исправлению неправильных конфигураций.

  4. Выберите соответствующую рекомендацию.

  5. Выберите проверку безопасности, чтобы просмотреть затронутые ресурсы.

    Снимок экрана: выбранная проверка безопасности и затронутые ресурсы.

  6. Выберите каждую проверку безопасности, чтобы просмотреть все затронутые ресурсы.

  7. Разверните раздел затронутых ресурсов.

    Снимок экрана, на котором показано, где нужно выбрать экран, чтобы развернуть раздел затронутых ресурсов.

  8. Выберите неработоспособный ресурс, чтобы просмотреть результаты.

    Снимок экрана: результаты затронутого неработоспособного ресурса.

  9. Выберите проверку безопасности, чтобы просмотреть дополнительные сведения и действия по исправлению.

    Снимок экрана: раздел дополнительных сведений.

  10. Выполните действия по исправлению.

После завершения процесса может потребоваться до 24 часов, пока компьютер не появится на вкладке "Работоспособные ресурсы".

Следующий шаг

Узнайте о различиях между интерфейсом MMA и интерфейсом без агента.