Просмотр и исправление рекомендаций обнаружение и нейтрализация атак на конечные точки (MMA)
Microsoft Defender для облака обеспечивает оценку работоспособности поддерживаемых версий решений для защиты конечных точек. В этой статье описываются сценарии, позволяющие с помощью Defender для облака создать следующие две рекомендации:
- Необходимо установить Endpoint Protection на ваших компьютерах
- Необходимо устранить проблемы работоспособности защиты конечных точек на компьютерах
Примечание.
Так как агент Log Analytics (также известный как MMA) установлен на пенсию в августе 2024 года, все функции Defender для серверов, которые в настоящее время зависят от него, включая описанные на этой странице, будут доступны через Microsoft Defender для конечной точки интеграцию или проверку без агента до даты выхода на пенсию. Дополнительные сведения о схеме развития для каждой из функций, которые в настоящее время зависят от агента Log Analytics, см . в этом объявлении.
Совет
В конце 2021 года мы изменили рекомендацию, которая устанавливает защиту конечных точек. Одно из изменений влияет на то, как в рекомендации отображаются компьютеры, которые выключены. В предыдущей версии компьютеры, которые были выключены, отображались в списке "Неприменимо". В новой рекомендации они не отображаются ни в одном из списков ресурсов (работоспособных, неработоспособных или неприменимых).
Защитник Windows
В таблице описываются сценарии, которые приводят к Defender для облака для создания следующих двух рекомендаций для Защитника Windows:
| Рекомендация | Отображается, когда |
|---|---|
| Необходимо установить Endpoint Protection на ваших компьютерах | Выполняется Get-MpComputerStatus , и результатом является AMServiceEnabled: False |
| Необходимо устранить проблемы работоспособности защиты конечных точек на компьютерах | Выполняется Get-MpComputerStatus и выполняется любое из следующих действий: Любое из следующих свойств равно false: - AMServiceEnabled - AntispywareEnabled - RealTimeProtectionEnabled - BehaviorMonitorEnabled - IoavProtectionEnabled - OnAccessProtectionEnabled Если одно или оба из следующих свойств имеют значение 7 или более: - AntispywareSignatureAge - AntivirusSignatureAge |
Защита конечных точек Microsoft System Center
В таблице описываются сценарии, которые приводят к Defender для облака для создания следующих двух рекомендаций по защите конечных точек Microsoft System Center:
| Рекомендация | Отображается, когда |
|---|---|
| Необходимо установить Endpoint Protection на ваших компьютерах | импорт SCEPMpModule ("$env:ProgramFiles\Microsoft Security Client\MpProvider\MpProvider.psd1") и запуск Get-MProtComputerStatus приводит к значению AMServiceEnabled = false |
| Необходимо устранить проблемы работоспособности защиты конечных точек на компьютерах | Выполняется Get-MprotComputerStatus и выполняется любое из следующих действий: По крайней мере одно из следующих свойств имеет значение false: - AMServiceEnabled - AntispywareEnabled - RealTimeProtectionEnabled - BehaviorMonitorEnabled - IoavProtectionEnabled - OnAccessProtectionEnabled Если одно или оба из следующих обновлений подписи больше или равно 7: - AntispywareSignatureAge - AntivirusSignatureAge |
Trend Micro
В таблице описываются сценарии, которые приводят к Defender для облака для создания следующих двух рекомендаций для Trend Micro:
| Рекомендация | Отображается, когда |
|---|---|
| Необходимо установить Endpoint Protection на ваших компьютерах | Ни один из следующих проверок не выполняется: - HKLM:\SOFTWARE\TrendMicro\Deep Security Agent существует - HKLM:\SOFTWARE\TrendMicro\Deep Security Agent\InstallationFolder существует — файл dsa_query.cmd находится в папке установки — Выполнение dsa_query.cmd результатов с помощью Component.AM.mode: on - Trend Micro Deep Security Agent обнаружен |
Защита конечных точек Symantec
В таблице описываются сценарии, которые приводят к Defender для облака для создания следующих двух рекомендаций по защите конечных точек Symantec:
| Рекомендация | Отображается, когда |
|---|---|
| Необходимо установить Endpoint Protection на ваших компьютерах | Ни один из следующих проверок не выполняется: - HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection" - HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1 Или - HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection" - HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1 |
| Необходимо устранить проблемы работоспособности защиты конечных точек на компьютерах | Ни один из следующих проверок не выполняется: — Проверка версии >Symantec = 12: расположение реестра: HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion" -Value "PRODUCTVERSION" — Проверка состояния защиты в реальном времени: HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\AV\Storages\Filesystem\RealTimeScan\OnOff == 1 — Проверка состояния обновления подписи: HKLM\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\Latest VirusDefsDate <= 7 дней — Проверка состояния полной проверки: HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LastSuccessfulScanDateTime <= 7 дней — Поиск пути номера версии подписи к версии подписи для Symantec 12: Путь к реестру+ "CurrentVersion\SharedDefs" -Value "SRTSP" — Путь к версии подписи для Symantec 14: Путь к реестру+ "CurrentVersion\SharedDefs\SDSDefs" -Value "SRTSP" Пути к реестру: - "HKLM:\Software\Symantec\Symantec Endpoint Protection" + $Path; - "HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection" + $Path |
Защита конечных точек McAfee для Windows
В таблице описываются сценарии, которые приводят к Defender для облака для создания следующих двух рекомендаций для защиты конечных точек McAfee для Windows:
| Рекомендация | Отображается, когда |
|---|---|
| Необходимо установить Endpoint Protection на ваших компьютерах | Ни один из следующих проверок не выполняется: - HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion существует - HKLM:\SOFTWARE\McAfee\AVSolution\MCSHIELDGLOBAL\GLOBAL\enableoas = 1. |
| Необходимо устранить проблемы работоспособности защиты конечных точек на компьютерах | Ни один из следующих проверок не выполняется: — Версия McAfee: HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion >= 10 — Найти версию подписи: HKLM:\Software\McAfee\AVSolution\DS -Value "dwContentMajorVersion" — Дата поиска подписи: HKLM:\Software\McAfee\AVSolution\DS -Value "szContentCreationDate" >= 7 дней - Дата поиска: HKLM:\Software\McAfee\Endpoint\AV\ODS -Value "LastFullScanOdsRunTime" >= 7 дней |
Безопасность конечных точек McAfee для предотвращения угроз в Linux
В таблице описываются сценарии, которые приводят к Defender для облака для создания следующих двух рекомендаций для McAfee Endpoint Security для защиты от угроз Linux:
| Рекомендация | Отображается, когда |
|---|---|
| Необходимо установить Endpoint Protection на ваших компьютерах | Ни один из следующих проверок не выполняется: - Файл /opt/McAfee/ens/tp/bin/mfetpcli существует Результат - "/opt/McAfee/ens/tp/bin/mfetpcli --version": McAfee name = McAfee Endpoint Security for Linux Threat Prevention and McAfee version >= 10. |
| Необходимо устранить проблемы работоспособности защиты конечных точек на компьютерах | Ни один из следующих проверок не выполняется: - "/opt/McAfee/ens/tp/bin/mfetpcli --listtask" возвращает быструю проверку, полную проверку и оба сканирования <= 7 дней - "/opt/McAfee/ens/tp/bin/mfetpcli --listtask" возвращает время обновления DAT и обработчика и оба из них <= 7 дней - "/opt/McAfee/ens/tp/bin/mfetpcli --getoasconfig --summary" возвращает состояние On Access Scan (Проверка при доступе). |
Антивирусная программа Sophos для Linux
В таблице описываются сценарии, которые приводят к Defender для облака для создания следующих двух рекомендаций для антивирусной программы Sophos для Linux:
| Рекомендация | Отображается, когда |
|---|---|
| Необходимо установить Endpoint Protection на ваших компьютерах | Ни один из следующих проверок не выполняется: — Файл /opt/sophos-av/bin/savdstatus выходит или ищет настраиваемое расположение "readlink $(который savscan)" - "/opt/sophos-av/bin/savdstatus --version" возвращает имя Sophos = Sophos Anti-Virus and Sophos version >= 9. |
| Необходимо устранить проблемы работоспособности защиты конечных точек на компьютерах | Ни один из следующих проверок не выполняется: - "/opt/sophos-av/bin/savlog --maxage=7 | grep -i "Запланированное сканирование .* завершено" | tail -1", возвращает значение - "/opt/sophos-av/bin/savlog --maxage=7 | grep "scan finished" | tail -1", возвращает значение - "/opt/sophos-av/bin/savdstatus --lastupdate" возвращает lastUpdate, который должен быть = <7 дней - "/opt/sophos-av/bin/savdstatus -v" равно "On-access scanning is running" (Выполняется проверка при доступе). - "/opt/sophos-av/bin/savconfig get LiveProtection" возвращает значение включенного состояния. |
Устранение неполадок и поддержка
Устранение неполадок
Журналы расширений Microsoft Antimalware можно найти в следующем расположении: %Systemdrive%\WindowsAzure\Logs\Plugins\Microsoft.Azure.Security.IaaSAntimalware(Or PaaSAntimalware)\1.5.5.x(version#)\CommandExecution.log.
Поддержка
Для получения дополнительной помощи обратитесь к экспертам Azure в службе поддержки сообщества Azure. Кроме того, можно отправить запрос в службу поддержки Azure. Перейдите на сайт поддержки Azure и щелкните "Получить поддержку". Сведения об использовании службы поддержки Azure см. в поддержка Azure распространенных вопросов майкрософт.