檢閱並補救端點偵測及回應建議 (無代理程式)
適用於雲端的 Microsoft Defender 提供保護及設定端點偵測及回應解決方案的建議。 藉由補救這些建議,您可以確定端點偵測及回應解決方案在所有環境中都符合規範且安全。
端點偵測及回應建議可讓您:
識別端點偵測及回應解決方案是否已安裝在您的多雲端電腦上
識別任何探索到端點偵測及回應解決方案的安全性組態缺口
補救安全性組態中偵測到的缺口
必要條件
只有在您具備下列必要條件時,才能使用本文中所述的建議:
適用於雲端的 Defender 已在您的 Azure 帳戶上啟用。
您必須在訂用帳戶上已啟用適用於雲端的 Defender 上啟用下列其中一個方案:
您必須啟用虛擬機器的無代理程式掃描。
檢閱並補救端點偵測及回應探索建議
當適用於雲端的 Defender 在您的 VM 上探索支援的端點偵測及回應解決方案時,無代理程式電腦掃描器會執行下列檢查,以查看:
- 支援的端點偵測及回應解決方案是否已啟用
- 您的訂用帳戶和相關聯 VM 上是否已啟用適用於伺服器的 Defender 方案 2
- 是否已成功安裝支援的解決方案
如果這些檢查存在問題,建議會提供不同的補救步驟,以確保您的 VM 受到支援的端點偵測及回應解決方案保護,並解決任何安全性缺口。
支援的解決方案和平台
適用於雲端的 Defender 支援下列端點偵測及回應解決方案:
端點偵測及回應解決方案 | 支援的平台 |
---|---|
Windows 版適用於端點的 Microsoft Defender | Windows |
Linux 版適用於端點的 Microsoft Defender | Linux |
適用於端點的 Microsoft Defender 整合解決方案 | Windows Server 2012 R2 與 Windows 2016 |
CrowdStrike (Falcon) | Windows 與 Linux |
Trellix | Windows 與 Linux |
Symantec | Windows 與 Linux |
Sophos | Windows 與 Linux |
Singularity Platform (由 SentinelOne 開發) | Windows 與 Linux |
Cortex XDR | Windows 與 Linux |
識別已在 VM 上啟用哪個端點偵測及回應解決方案
適用於雲端的 Microsoft Defender 能夠告訴您您是否已在虛擬機器 (VM) 上啟用支援的端點偵測及回應解決方案,以及其為哪個版本。
若要識別已在 VM 上啟用哪個解決方案:
登入 Azure 入口網站。
瀏覽至 [適用於雲端的 Microsoft Defender]>[建議]。
搜尋並選取下列其中一個建議:
EDR solution should be installed on Virtual Machines
EDR solution should be installed on EC2s
EDR solution should be installed on Virtual Machines (GCP)
選取 [狀況良好的資源] 索引標籤。
探索到的端點偵測及回應資料行會顯示偵測到的解決方案。
檢閱和修復探索建議
登入 Azure 入口網站。
瀏覽至 [適用於雲端的 Microsoft Defender]>[建議]。
搜尋並選取下列其中一個建議:
EDR solution should be installed on Virtual Machines
EDR solution should be installed on EC2s
EDR solution should be installed on Virtual Machines (GCP)
選取相關建議。
建議會在每部已連結電腦上提供多個用來解決的建議動作,選取相關動作以查看補救步驟:
- 啟用適用於端點的 Microsoft Defender 整合。 或者,您可以藉由在虛擬機器上安裝任何支援的端點偵測及回應解決方案,以補救此建議
- 升級 Defender 方案
- 針對問題進行疑難排解
啟用適用於端點的 Microsoft Defender 整合 (部分機器翻譯)
在下列情況時,可以使用此建議動作:
VM 上未偵測到其中一個支援的端點偵測及回應解決方案。
VM 可安裝適用於端點的 Microsoft Defender,作為適用於伺服器的 Defender 隨附供應項目的一部分。
若要在受影響的 VM 上啟用適用於端點的 Defender 整合:
選取受影響的電腦。
(選擇性) 選取具有
Enable Microsoft Defender for Endpoint integration
建議動作的多部受影響電腦。選取 [修正]。
選取啟用。
適用於端點的 Defender 會套用至訂用帳戶內的所有 Windows 和 Linux 伺服器。 程序完成之後,最多可能需要 24 小時的時間,您的電腦才會出現在 [狀況良好的資源] 索引標籤中。
升級 Defender 方案
在下列情況時,可以使用此建議動作:
VM 上未偵測到其中一個支援的端點偵測及回應解決方案。
適用於伺服器的 Defender 方案 2 未在 VM 上啟用。
若要在受影響 VM 的適用於伺服器的 Defender 方案上啟用適用於端點的 Defender 整合:
選取受影響的電腦。
(選擇性) 選取具有
Upgrade Defender plan
建議動作的多部受影響電腦。選取 [修正]。
在下拉式功能表中選取方案。 每個方案都有成本,若要深入了解,請參閱適用於雲端的 Defender 定價頁面。
選取啟用。
程序完成之後,最多可能需要 24 小時的時間,您的電腦才會出現在 [狀況良好的資源] 索引標籤中。
針對未成功的安裝進行疑難排解
在下列情況時,可以使用此建議動作:
- 在您的電腦上偵測到適用於端點的 Defender,但安裝失敗。
若要針對 VM 上的問題進行疑難排解:
程序完成之後,最多可能需要 24 小時的時間,您的電腦才會出現在 [狀況良好的資源] 索引標籤中。
檢閱並補救端點偵測及回應設定錯誤建議
當適用於雲端的 Defender 在您的端點偵測及回應解決方案中找到設定錯誤時,建議會出現在建議頁面上。 此建議僅適用於已啟用適用於端點的 Defender 的 VM。 這些建議會檢查下列安全性檢查:
Both full and quick scans are out of 7 days
Signature out of date
Anti-virus is off or partially configured
若要在端點偵測及回應解決方案中偵測設定錯誤:
登入 Azure 入口網站。
瀏覽至 [適用於雲端的 Microsoft Defender]>[建議]。
搜尋並選取下列其中一個建議:
EDR configuration issues should be resolved on virtual machines
EDR configuration issues should be resolved on EC2s
EDR configuration issues should be resolved on GCP virtual machines
選取相關建議。
選取安全性檢查以檢閱受影響的資源。
選取每個安全性檢查以檢閱所有受影響的資源。
展開受影響的資源區段。
選取狀況不良的資源以檢閱其結果。
選取安全性檢查以查看其他資訊和補救步驟。
遵循補救步驟。
程序完成之後,最多可能需要 24 小時的時間,您的電腦才會出現在 [狀況良好的資源] 索引標籤中。