Utvärderingskontroller för identifiering och åtgärd på slutpunkt lösningar (MMA)
Microsoft Defender för molnet tillhandahåller hälsoutvärderingar av versioner av Endpoint Protection-lösningar som stöds. I den här artikeln beskrivs de scenarier som leder Defender för molnet att generera följande två rekommendationer:
- Slutpunktsskydd ska installeras på dina datorer
- Problem med slutpunktsskyddshälsa bör lösas på dina datorer
Kommentar
Eftersom Log Analytics-agenten (även kallad MMA) är inställd på att tas ur bruk i augusti 2024 kommer alla Defender för servrar-funktioner som för närvarande är beroende av den, inklusive de som beskrivs på den här sidan, att vara tillgängliga via antingen Microsoft Defender för Endpoint-integrering eller agentlös genomsökning före slutdatumet. Mer information om översikten för var och en av de funktioner som för närvarande är beroende av Log Analytics-agenten finns i det här meddelandet.
Dricks
I slutet av 2021 ändrade vi rekommendationen som installerar slutpunktsskydd. En av ändringarna påverkar hur rekommendationen visar datorer som är avstängda. I den tidigare versionen visades datorer som stängdes av i listan "Ej tillämpligt". I den nyare rekommendationen visas de inte i någon av resurslistorna (felfri, felaktig eller inte tillämplig).
Windows Defender
Tabellen förklarar de scenarier som leder Defender för molnet att generera följande två rekommendationer för Windows Defender:
| Rekommendation | Visas när |
|---|---|
| Slutpunktsskydd ska installeras på dina datorer | Get-MpComputerStatus körs och resultatet är AMServiceEnabled: False |
| Problem med slutpunktsskyddshälsa bör lösas på dina datorer | Get-MpComputerStatus körs och något av följande inträffar: Någon av följande egenskaper är false: - AMServiceEnabled - AntispywareEnabled - RealTimeProtectionEnabled - BehaviorMonitorEnabled - IoavProtectionEnabled - OnAccessProtectionEnabled Om en eller båda av följande egenskaper är 7 eller fler: - AntispywareSignatureAge - AntivirusSignatureAge |
Slutpunktsskydd för Microsoft System Center
Tabellen beskriver de scenarier som leder Defender för molnet att generera följande två rekommendationer för Microsoft System Center-slutpunktsskydd:
| Rekommendation | Visas när |
|---|---|
| Slutpunktsskydd ska installeras på dina datorer | importera SCEPMpModule ("$env:ProgramFiles\Microsoft Security Client\MpProvider\MpProvider.psd1") och köra Get-MProtComputerStatus resulterar i AMServiceEnabled = false |
| Problem med slutpunktsskyddshälsa bör lösas på dina datorer | Get-MprotComputerStatus körs och något av följande inträffar: Minst en av följande egenskaper är false: - AMServiceEnabled - AntispywareEnabled - RealTimeProtectionEnabled - BehaviorMonitorEnabled - IoavProtectionEnabled - OnAccessProtectionEnabled Om en eller båda av följande signatur Uppdateringar är större eller lika med 7: - AntispywareSignatureAge - AntivirusSignatureAge |
Trend Micro
Tabellen beskriver de scenarier som leder Defender för molnet att generera följande två rekommendationer för Trend Micro:
| Rekommendation | Visas när |
|---|---|
| Slutpunktsskydd ska installeras på dina datorer | någon av följande kontroller uppfylls inte: - HKLM:\SOFTWARE\TrendMicro\Deep Security Agent finns - HKLM:\SOFTWARE\TrendMicro\Deep Security Agent\InstallationFolder finns – Filen dsa_query.cmd finns i installationsmappen – Köra dsa_query.cmd resultat med Component.AM.mode: på – Trend Micro Deep Security Agent har identifierats |
Symantec-slutpunktsskydd
Tabellen beskriver de scenarier som leder Defender för molnet att generera följande två rekommendationer för Symantec-slutpunktsskydd:
| Rekommendation | Visas när |
|---|---|
| Slutpunktsskydd ska installeras på dina datorer | någon av följande kontroller uppfylls inte: - HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection" - HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1 Eller - HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection" - HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1 |
| Problem med slutpunktsskyddshälsa bör lösas på dina datorer | någon av följande kontroller uppfylls inte: – Kontrollera Symantec-version >= 12: Registerplats: HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion" -Value "PRODUCTVERSION" – Kontrollera realtidsskyddsstatus: HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\AV\Storages\Filesystem\RealTimeScan\OnOff == 1 - Kontrollera status för signaturuppdatering: HKLM\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LatestVirusDefsDate <= 7 dagar – Kontrollera fullständig genomsökningsstatus: HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LastSuccessfulScanDateTime <= 7 dagar – Hitta signaturversionsnummer Sökväg till signaturversion för Symantec 12: Registersökvägar+ "CurrentVersion\SharedDefs" -Value "SRTSP" – Sökväg till signaturversion för Symantec 14: Registersökvägar+ "CurrentVersion\SharedDefs\SDSDefs" -Value "SRTSP" Registersökvägar: - "HKLM:\Software\Symantec\Symantec Endpoint Protection" + $Path; - "HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection" + $Path |
McAfee-slutpunktsskydd för Windows
I tabellen beskrivs de scenarier som leder Defender för molnet att generera följande två rekommendationer för McAfee-slutpunktsskydd för Windows:
| Rekommendation | Visas när |
|---|---|
| Slutpunktsskydd ska installeras på dina datorer | någon av följande kontroller uppfylls inte: - HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion finns - HKLM:\SOFTWARE\McAfee\AVSolution\MCSHIELDGLOBAL\GLOBAL\enableoas = 1 |
| Problem med slutpunktsskyddshälsa bör lösas på dina datorer | någon av följande kontroller uppfylls inte: - McAfee-version: HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion >= 10 - Hitta signaturversion: HKLM:\Software\McAfee\AVSolution\DS\DS -Value "dwContentMajorVersion" - Sök signaturdatum: HKLM:\Software\McAfee\AVSolution\DS\DS -Value "szContentCreationDate" >= 7 dagar – Sök igenom datum: HKLM:\Software\McAfee\Endpoint\AV\ODS -Value "LastFullScanOdsRunTime" >= 7 dagar |
McAfee Endpoint Security för Skydd mot Linux-hot
Tabellen beskriver de scenarier som leder Defender för molnet att generera följande två rekommendationer för McAfee Endpoint Security för Linux Threat Prevention:
| Rekommendation | Visas när |
|---|---|
| Slutpunktsskydd ska installeras på dina datorer | någon av följande kontroller uppfylls inte: - Filen /opt/McAfee/ens/tp/bin/mfetpcli finns - "/opt/McAfee/ens/tp/bin/mfetpcli --version" är: McAfee name = McAfee Endpoint Security for Linux Threat Prevention och McAfee version >= 10 |
| Problem med slutpunktsskyddshälsa bör lösas på dina datorer | någon av följande kontroller uppfylls inte: - "/opt/McAfee/ens/tp/bin/mfetpcli --listtask" returnerar snabbsökning, fullständig genomsökning och båda genomsökningarna <= 7 dagar - "/opt/McAfee/ens/tp/bin/mfetpcli --listtask" returnerar DAT- och motoruppdateringstid och båda <= 7 dagar - "/opt/McAfee/ens/tp/bin/mfetpcli --getoasconfig --summary" returnerar Status för åtkomstgenomsökning |
Sophos Antivirus för Linux
Tabellen beskriver de scenarier som leder Defender för molnet att generera följande två rekommendationer för Sophos Antivirus för Linux:
| Rekommendation | Visas när |
|---|---|
| Slutpunktsskydd ska installeras på dina datorer | någon av följande kontroller uppfylls inte: - Fil /opt/sophos-av/bin/savdstatus avslutas eller sök efter anpassad plats "readlink $(which savscan)" - "/opt/sophos-av/bin/savdstatus --version" returnerar Sophos name = Sophos Anti-Virus and Sophos version >= 9 |
| Problem med slutpunktsskyddshälsa bör lösas på dina datorer | någon av följande kontroller uppfylls inte: - "/opt/sophos-av/bin/savlog --maxage=7 | grep -i "Schemalagd genomsökning .* slutförd" | tail -1", returnerar ett värde - "/opt/sophos-av/bin/savlog --maxage=7 | grep "scan finished" | tail -1", returnerar ett värde - "/opt/sophos-av/bin/savdstatus --lastupdate" returnerar lastUpdate, som ska vara <= 7 dagar - "/opt/sophos-av/bin/savdstatus -v" är lika med "Sökning vid åtkomst körs" - "/opt/sophos-av/bin/savconfig get LiveProtection" returnerar aktiverat |
Felsökning och support
Felsöka
Microsoft Antimalware-tilläggsloggar finns på: %Systemdrive%\WindowsAzure\Logs\Plugins\Microsoft.Azure.Security.IaaSAntimalware(Or PaaSAntimalware)\1.5.5.x(version#)\CommandExecution.log
Support
Kontakta Azure-experterna i Azure Community Support om du vill ha mer hjälp. Eller skapa en Azure-supportincident. Gå till Azure-supportwebbplatsen och välj Hämta support. Information om hur du använder Azure Support finns i Vanliga frågor om Microsoft Azure-support.