分享方式:


檢閱並補救端點偵測及回應建議 (無代理程式)

適用於雲端的 Microsoft Defender 提供保護及設定端點偵測及回應解決方案的建議。 藉由補救這些建議,您可以確定端點偵測及回應解決方案在所有環境中都符合規範且安全。

端點偵測及回應建議可讓您:

  • 識別端點偵測及回應解決方案是否已安裝在您的多雲端電腦上

  • 識別任何探索到端點偵測及回應解決方案的安全性組態缺口

  • 補救安全性組態中偵測到的缺口

必要條件

只有在您具備下列必要條件時,才能使用本文中所述的建議:

注意

此頁面所述的功能是 MMA 型功能的取代功能,此功能將在 2024 年 8 月與 MMA 一起淘汰。

深入了解移轉和端點保護相關建議的取代程序

檢閱並補救端點偵測及回應探索建議

當適用於雲端的 Defender 在您的 VM 上探索支援的端點偵測及回應解決方案時,無代理程式電腦掃描器會執行下列檢查,以查看:

  • 支援的端點偵測及回應解決方案是否已啟用
  • 您的訂用帳戶和相關聯 VM 上是否已啟用適用於伺服器的 Defender 方案 2
  • 是否已成功安裝支援的解決方案

如果這些檢查存在問題,建議會提供不同的補救步驟,以確保您的 VM 受到支援的端點偵測及回應解決方案保護,並解決任何安全性缺口。

支援的解決方案和平台

適用於雲端的 Defender 支援下列端點偵測及回應解決方案:

端點偵測及回應解決方案 支援的平台
Windows 版適用於端點的 Microsoft Defender Windows
Linux 版適用於端點的 Microsoft Defender Linux
適用於端點的 Microsoft Defender 整合解決方案 Windows Server 2012 R2 與 Windows 2016
CrowdStrike (Falcon) Windows 與 Linux
Trellix Windows 與 Linux
Symantec Windows 與 Linux
Sophos Windows 與 Linux
Singularity Platform (由 SentinelOne 開發) Windows 與 Linux
Cortex XDR Windows 與 Linux

識別已在 VM 上啟用哪個端點偵測及回應解決方案

適用於雲端的 Microsoft Defender 能夠告訴您您是否已在虛擬機器 (VM) 上啟用支援的端點偵測及回應解決方案,以及其為哪個版本。

若要識別已在 VM 上啟用哪個解決方案

  1. 登入 Azure 入口網站

  2. 瀏覽至 [適用於雲端的 Microsoft Defender]>[建議]

  3. 搜尋並選取下列其中一個建議:

    • EDR solution should be installed on Virtual Machines
    • EDR solution should be installed on EC2s
    • EDR solution should be installed on Virtual Machines (GCP)
  4. 選取 [狀況良好的資源] 索引標籤。

  5. 探索到的端點偵測及回應資料行會顯示偵測到的解決方案。

    [狀況良好的資源] 索引標籤的螢幕擷取畫面,其中顯示您電腦上已啟用哪個端點偵測及回應解決方案。

檢閱和修復探索建議

  1. 登入 Azure 入口網站

  2. 瀏覽至 [適用於雲端的 Microsoft Defender]>[建議]

  3. 搜尋並選取下列其中一個建議:

    • EDR solution should be installed on Virtual Machines
    • EDR solution should be installed on EC2s
    • EDR solution should be installed on Virtual Machines (GCP)

    [建議] 頁面的螢幕擷取畫面,其中顯示已識別的端點解決方案建議。

  4. 選取相關建議。

  5. 建議會在每部已連結電腦上提供多個用來解決的建議動作,選取相關動作以查看補救步驟:

啟用適用於端點的 Microsoft Defender 整合 (部分機器翻譯)

在下列情況時,可以使用此建議動作:

若要在受影響的 VM 上啟用適用於端點的 Defender 整合

  1. 選取受影響的電腦。

  2. (選擇性) 選取具有 Enable Microsoft Defender for Endpoint integration 建議動作的多部受影響電腦。

  3. 選取 [修正]

    顯示修正按鈕所在位置的螢幕擷取畫面。

  4. 選取啟用

    顯示快顯視窗的螢幕擷取畫面,從其中啟用適用於端點的 Defender 整合。

適用於端點的 Defender 會套用至訂用帳戶內的所有 Windows 和 Linux 伺服器。 程序完成之後,最多可能需要 24 小時的時間,您的電腦才會出現在 [狀況良好的資源] 索引標籤中。

升級 Defender 方案

在下列情況時,可以使用此建議動作:

若要在受影響 VM 的適用於伺服器的 Defender 方案上啟用適用於端點的 Defender 整合

  1. 選取受影響的電腦。

  2. (選擇性) 選取具有 Upgrade Defender plan 建議動作的多部受影響電腦。

  3. 選取 [修正]

    顯示修正按鈕在畫面中位置的螢幕擷取畫面。

  4. 在下拉式功能表中選取方案。 每個方案都有成本,若要深入了解,請參閱適用於雲端的 Defender 定價頁面

  5. 選取啟用

    顯示快顯視窗的螢幕擷取畫面,可讓您選取要在訂用帳戶上啟用哪個適用於伺服器的 Defender 方案。

程序完成之後,最多可能需要 24 小時的時間,您的電腦才會出現在 [狀況良好的資源] 索引標籤中。

針對未成功的安裝進行疑難排解

在下列情況時,可以使用此建議動作:

  • 在您的電腦上偵測到適用於端點的 Defender,但安裝失敗。

若要針對 VM 上的問題進行疑難排解

  1. 選取受影響的資源。

  2. 選取 [補救步驟]

    顯示建議中補救步驟所在位置的螢幕擷取畫面。

  3. 請遵循指示,針對 WindowsLinux 的適用於端點的 Microsoft Defender 上線問題進行疑難排解。

程序完成之後,最多可能需要 24 小時的時間,您的電腦才會出現在 [狀況良好的資源] 索引標籤中。

檢閱並補救端點偵測及回應設定錯誤建議

當適用於雲端的 Defender 在您的端點偵測及回應解決方案中找到設定錯誤時,建議會出現在建議頁面上。 此建議僅適用於已啟用適用於端點的 Defender 的 VM。 這些建議會檢查下列安全性檢查:

  • Both full and quick scans are out of 7 days
  • Signature out of date
  • Anti-virus is off or partially configured

若要在端點偵測及回應解決方案中偵測設定錯誤

  1. 登入 Azure 入口網站

  2. 瀏覽至 [適用於雲端的 Microsoft Defender]>[建議]

  3. 搜尋並選取下列其中一個建議:

    • EDR configuration issues should be resolved on virtual machines
    • EDR configuration issues should be resolved on EC2s
    • EDR configuration issues should be resolved on GCP virtual machines

    顯示建議的螢幕擷取畫面,該建議會設定端點偵測和解決方案並補救設定錯誤。

  4. 選取相關建議。

  5. 選取安全性檢查以檢閱受影響的資源。

    顯示所選取安全性檢查和受影響資源的螢幕擷取畫面。

  6. 選取每個安全性檢查以檢閱所有受影響的資源。

  7. 展開受影響的資源區段。

    顯示您需要在畫面上選取哪個位置以展開受影響資源區段的螢幕擷取畫面。

  8. 選取狀況不良的資源以檢閱其結果。

    顯示受影響狀況不良資源結果的螢幕擷取畫面。

  9. 選取安全性檢查以查看其他資訊和補救步驟。

    顯示其他詳細資料區段的螢幕擷取畫面。

  10. 遵循補救步驟。

程序完成之後,最多可能需要 24 小時的時間,您的電腦才會出現在 [狀況良好的資源] 索引標籤中。

後續步驟