你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
评审并修正终结点检测和响应建议 (MMA)
Microsoft Defender for Cloud 提供 Endpoint Protection 解决方案受支持版本的运行状况评估。 本文介绍引导 Defender for Cloud 生成以下两条建议的方案:
- 应在计算机上安装终结点保护
- 应在计算机上解决 Endpoint Protection 运行状况问题
注意
由于 Log Analytics 代理(也称为 MMA)将于 2024 年 8 月停用,因此当前依赖它的所有 Defender for Servers 功能(包括本页所述的功能)都将在停用日之前通过 Microsoft Defender for Endpoint 集成或无代理扫描提供。 有关当前依赖于 Log Analytics 代理的每个功能的路线图详细信息,请参阅此公告。
提示
2021 年底,我们修订了安装终结点保护的建议。 其中一项更改会影响建议如何显示已关闭电源的计算机。 在以前的版本中,已关闭的机器出现在“不适用”列表中。 在最新的建议中,它们不会出现在任何资源列表中(正常、不正常或不适用)。
Windows Defender
下表介绍了引导 Defender for Cloud 为 Windows Defender 生成以下两条建议的方案:
| 建议 | 出现时间 |
|---|---|
| 应在计算机上安装 Endpoint Protection | Get-MpComputerStatus 会运行,结果为 AMServiceEnabled: False |
| 应在计算机上解决 Endpoint Protection 运行状况问题 | Get-MpComputerStatus 会运行,并发生以下任一情况: 以下任一属性为 false: - AMServiceEnabled - AntispywareEnabled - RealTimeProtectionEnabled - BehaviorMonitorEnabled - IoavProtectionEnabled - OnAccessProtectionEnabled 如果下列一个或两个属性大于或等于 7: - AntispywareSignatureAge - AntivirusSignatureAge |
Microsoft System Center Endpoint Protection
下表介绍了引导 Defender for Cloud 为 Microsoft System Center 终结点保护生成以下两条建议的方案:
| 建议 | 出现时间 |
|---|---|
| 应在计算机上安装 Endpoint Protection | 安导入 SCEPMpModule ("$env:ProgramFiles\Microsoft Security Client\MpProvider\MpProvider.psd1") 并运行Get-MProtComputerStatus 会导致 AMServiceEnabled = false |
| 应在计算机上解决 Endpoint Protection 运行状况问题 | Get-MprotComputerStatus 会运行,并发生以下任一情况: 以下属性至少一个为 false: - AMServiceEnabled - AntispywareEnabled - RealTimeProtectionEnabled - BehaviorMonitorEnabled - IoavProtectionEnabled - OnAccessProtectionEnabled 如果以下一个或两个签名更新大于或等于 7: - AntispywareSignatureAge - AntivirusSignatureAge |
Trend Micro
下表介绍了引导 Defender for Cloud 为 Trend Micro 生成以下两条建议的方案:
| 建议 | 出现时间 |
|---|---|
| 应在计算机上安装 Endpoint Protection | 不满足以下任一检查: 存在 - HKLM:\SOFTWARE\TrendMicro\Deep Security Agent 存在 HKLM:\SOFTWARE\TrendMicro\Deep Security Agent\InstallationFolder- - 在安装文件夹中找到 dsa_query.cmd 文件 运行 dsa_query.cmd 结果且 Component.AM.mode 为“启用”- 检测到 Trend Micro Deep Security Agent |
Symantec 终结点保护
下表介绍了引导 Defender for Cloud 为 Symantec 终结点保护生成以下两条建议的方案:
| 建议 | 出现时间 |
|---|---|
| 应在计算机上安装 Endpoint Protection | 不满足以下任一检查: HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection" HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1 或 HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection" HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1 |
| 应在计算机上解决 Endpoint Protection 运行状况问题 | 不满足以下任一检查: - 检查 Symantec 版本 >= 12:注册表位置:HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion" -Value "PRODUCTVERSION" - 检查实时保护状态:HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\AV\Storages\Filesystem\RealTimeScan\OnOff == 1 - 检查签名更新状态:HKLM\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LatestVirusDefsDate <= 7 天 - 检查完全扫描状态:HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LastSuccessfulScanDateTime <= 7 天 - 查找 Symantec 12 的签名版本号路径:注册表路径+ "CurrentVersion\SharedDefs" -Value "SRTSP" - Symantec 14 的签名版本路径:注册表路径+ "CurrentVersion\SharedDefs" -Value "SRTSP" 注册表路径: "HKLM:\Software\Symantec\Symantec Endpoint Protection" + $Path; "HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection" + $Path |
适用于 Windows 的 McAfee Endpoint Protection
下表介绍了引导 Defender for Cloud 为 Windows 版 McAfee 终结点保护生成以下两条建议的方案:
| 建议 | 出现时间 |
|---|---|
| 应在计算机上安装 Endpoint Protection | 不满足以下任一检查: 存在 HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion- HKLM:\SOFTWARE\McAfee\AVSolution\MCSHIELDGLOBAL\GLOBAL\enableoas = 1 |
| 应在计算机上解决 Endpoint Protection 运行状况问题 | 不满足以下任一检查: - McAfee 版本:HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion >= 10 - 查找签名版本:HKLM:\Software\McAfee\AVSolution\DS\DS -Value "dwContentMajorVersion" - 查找签名日期:HKLM:\Software\McAfee\AVSolution\DS\DS -Value "szContentCreationDate" >= 7 天 - 查找扫描日期:HKLM:\Software\McAfee\Endpoint\AV\ODS -Value "LastFullScanOdsRunTime" >= 7 天 |
适用于 Linux 威胁防护的 McAfee 终结点安全性
下表介绍了引导 Defender for Cloud 为 McAfee Endpoint Security for Linux Threat Prevention 生成以下两条建议的方案:
| 建议 | 出现时间 |
|---|---|
| 应在计算机上安装 Endpoint Protection | 不满足以下任一检查: - 文件 /opt/McAfee/ens/tp/bin/mfetpcli 存在 /opt/McAfee/ens/tp/bin/mfetpcli --version 输出为:McAfee 名称 = 适用于 Linux 威胁防护的 McAfee 终结点安全性,并且 McAfee 版本 >= 10 |
| 应在计算机上解决 Endpoint Protection 运行状况问题 | 不满足以下任一检查: "/opt/McAfee/ens/tp/bin/mfetpcli --listtask" 返回“快速扫描”和“完全扫描”,并且两者 <= 7 天- "/opt/McAfee/ens/tp/bin/mfetpcli --listtask" 返回“DAT 和引擎更新时间”,并且两者 <= 7 天- /opt/McAfee/ens/tp/bin/mfetpcli --getoasconfig --summary 返回“访问时扫描”状态 |
适用于 Linux 的 Sophos 防病毒
下表介绍了引导 Defender for Cloud 为 Sophos Antivirus for Linux 生成以下两条建议的方案:
| 建议 | 出现时间 |
|---|---|
| 应在计算机上安装 Endpoint Protection | 不满足以下任一检查: - 存在文件 /opt/sophos-av/bin/savdstatus 或搜索自定义位置 "readlink $(which savscan)" /opt/sophos-av/bin/savdstatus --version 返回 Sophos 名称 = Sophos 防病毒,并且 Sophos 版本 >= 9 |
| 应在计算机上解决 Endpoint Protection 运行状况问题 | 不满足以下任一检查: "opt/sophos-av/bin/savlog --maxage=7 | grep -i "Scheduled scan . completed" | tail -1"返回一个值- "/opt/sophos-av/bin/savlog --maxage=7 | grep "scan finished" | tail -1" 返回一个值- "opt/sophos-av/bin/savdstatus --lastupdate" 返回 lastUpdate,它应为 <= 7 天- opt/sophos-av/bin/savdstatus -v 即为“正在运行访问时扫描” /opt/sophos-av/bin/savconfig get LiveProtection 返回“已启用” |
故障排除和支持
故障排除
%Systemdrive%\WindowsAzure\Logs\Plugins\Microsoft.Azure.Security.IaaSAntimalware(Or PaaSAntimalware)\1.5.5.x(version#)\CommandExecution.log 中提供了 Microsoft Antimalware 扩展日志
支持
如果需要更多帮助,请联系 Azure 社区支持中的 Azure 专家。 或者提交 Azure 支持事件。 请转到 Azure 支持站点并选择“获取支持”。 有关使用 Azure 支持的信息,请阅读 Microsoft Azure 支持常见问题。