分享方式:


檢閱並補救端點偵測及回應建議 (MMA)

適用於雲端的 Microsoft Defender 提供端點保護解決方案支援版本的健康情況評估。 本文說明導致適用於雲端的 Defender 產生下列兩個建議的案例:

注意

由於 Log Analytics 代理程式 (也稱為 MMA) 設定為在 2024 年 8 月淘汰,目前相依於該代理程式的所有適用於伺服器的 Defender 功能,包括此頁面上所述的功能,在淘汰日期之前都可以透過適用於端點的 Microsoft Defender 整合無代理程式掃描取用。 如需目前依賴 Log Analytics 代理程式的每項功能藍圖詳細資訊,請參閱此公告

提示

2021 年底,我們修訂了安裝端點保護的建議。 其中一項變更會影響建議如何顯示已關閉電源的電腦。 在舊版中,已關閉的電腦會出現在 [不適用] 清單中。 在新的建議中,這些電腦不會出現在任何資源清單中 (狀況良好、狀況不良或不適用)。

Windows Defender

資料表說明導致適用於雲端的 Defender 產生下列兩個 Windows Defender 建議的案例:

建議 出現時間
您的機器上應安裝端點保護 Get-MpComputerStatus 會執行且結果是 AMServiceEnabled:False
應解決您機器上端點保護健康情況的問題 Get-MpComputerStatus 會執行且發生以下任何情形:

下列任何屬性皆為 false:

- AMServiceEnabled
- AntispywareEnabled
- RealTimeProtectionEnabled
- BehaviorMonitorEnabled
- IoavProtectionEnabled
- OnAccessProtectionEnabled

如果下列其中一個或兩個屬性都是 7 或以上的值:

- AntispywareSignatureAge
- AntivirusSignatureAge

Microsoft System Center 端點保護

資料表說明導致適用於雲端的 Defender 產生下列兩個 Microsoft System Center Endpoint Protection 建議的案例:

建議 出現時間
您的機器上應安裝端點保護 匯入 SCEPMpModule ("$env:ProgramFiles\Microsoft Security Client\MpProvider\MpProvider.psd1") 並執行 Get-MProtComputerStatus 導致 AMServiceEnabled = false
應解決您機器上端點保護健康情況的問題 Get-MprotComputerStatus 會執行且發生以下任何情形:

至少下列其中一項屬性為 false:

- AMServiceEnabled
- AntispywareEnabled
- RealTimeProtectionEnabled
- BehaviorMonitorEnabled
- IoavProtectionEnabled
- OnAccessProtectionEnabled

如果下列其中一個或兩個簽章更新大於或等於 7:

- AntispywareSignatureAge
- AntivirusSignatureAge

Trend Micro

資料表說明導致適用於雲端的 Defender 產生下列兩個 Trend Micro 建議的案例:

建議 出現時間
您的機器上應安裝端點保護 不符合下列任何檢查:

- HKLM:\SOFTWARE\TrendMicro\Deep Security Agent 存在
- HKLM:\SOFTWARE\TrendMicro\Deep Security Agent\InstallationFolder 存在
- dsa_query.cmd 檔案位於安裝資料夾
- 執行 dsa_query.cmd 的結果為 Component.AM.mode: on - Trend Micro Deep Security Agent detected

Symantec 端點保護

資料表說明導致適用於雲端的 Defender 產生下列兩個 Symantec 端點保護建議的案例:

建議 出現時間
您的機器上應安裝端點保護 不符合下列任何檢查:

- HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection"
- HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1

- HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection"
- HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1
應解決您機器上端點保護健康情況的問題 不符合下列任何檢查:

- 檢查 Symantec 版本 >= 12:登錄位置:HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion" -Value "PRODUCTVERSION"
- 檢查即時保護狀態:HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\AV\Storages\Filesystem\RealTimeScan\OnOff == 1
- 檢查簽章更新狀態:HKLM\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LatestVirusDefsDate <= 7 天
- 檢查完整掃描狀態:HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LastSuccessfulScanDateTime <= 7 天
- 尋找 Symantec 12 簽章版本的簽章版本編號路徑:Registry Paths+ "CurrentVersion\SharedDefs" -Value "SRTSP"
- Symantec 14 的簽章版本路徑:Registry Paths+ "CurrentVersion\SharedDefs\SDSDefs" -Value "SRTSP"

登錄路徑:

- "HKLM:\Software\Symantec\Symantec Endpoint Protection" + $Path;
- "HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection" + $Path

適用於 Windows 的 McAfee 端點保護

資料表說明導致適用於雲端的 Defender 產生下列兩個適用於 Windows 的 McAfee 端點保護建議的案例:

建議 出現時間
您的機器上應安裝端點保護 不符合下列任何檢查:

- HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion 存在
- HKLM:\SOFTWARE\McAfee\AVSolution\MCSHIELDGLOBAL\GLOBAL\enableoas = 1
應解決您機器上端點保護健康情況的問題 不符合下列任何檢查:

- McAfee 版本:HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion >= 10
- 尋找簽章版本:HKLM:\Software\McAfee\AVSolution\DS\DS -Value "dwContentMajorVersion"
- 尋找簽章日期:HKLM:\Software\McAfee\AVSolution\DS\DS -Value "szContentCreationDate" >= 7 天
- 尋找掃描日期:HKLM:\Software\McAfee\Endpoint\AV\ODS -Value "LastFullScanOdsRunTime" >= 7 天

適用於 Linux 威協防護的 McAfee 端點安全

資料表說明導致適用於雲端的 Defender 產生下列兩個適用於 Linux 威脅防護的 McAfee 端點安全性建議的案例:

建議 出現時間
您的機器上應安裝端點保護 不符合下列任何檢查:

- /opt/McAfee/ens/tp/bin/mfetpcli 檔案存在
- "/opt/McAfee/ens/tp/bin/mfetpcli --version" 輸出為:McAfee 名稱 = 適用於 Linux 威脅防護的 McAfee 端點安全,且 McAfee 版本 >= 10
應解決您機器上端點保護健康情況的問題 不符合下列任何檢查:

- "/opt/McAfee/ens/tp/bin/mfetpcli --listtask" 傳回 快速掃描、完整掃描,兩者皆掃描 <= 7 天
- "/opt/McAfee/ens/tp/bin/mfetpcli --listtask" 傳回 DAT 和引擎更新時間,兩者兼具 <= 7 天
- "/opt/McAfee/ens/tp/bin/mfetpcli --getoasconfig --summary" 傳回 存取時掃描的狀態

適用於 Linux 的 Sophos 防毒軟體

資料表說明導致適用於雲端的 Defender 產生下列兩個適用於 Linux 的 Sophos 防毒軟體建議的案例:

建議 出現時間
您的機器上應安裝端點保護 不符合下列任何檢查:

- 檔案 /opt/sophos-av/bin/savdstatus 存在,或搜尋自訂位置 "readlink $(which savscan)"
- "/opt/sophos-av/bin/savdstatus --version" 傳回 Sophos 名稱 = Sophos 防毒軟體且 Sophos 版本 >= 9
應解決您機器上端點保護健康情況的問題 不符合下列任何檢查:

- "/opt/sophos-av/bin/savlog --maxage=7 | grep -i "Scheduled scan .* completed" | tail -1",傳回一個值
- "/opt/sophos-av/bin/savlog --maxage=7 | grep "scan finished" | tail -1",傳回一個值
- "/opt/sophos-av/bin/savdstatus --lastupdate" 傳回 lastUpdate,應為 <= 7 天
- "/opt/sophos-av/bin/savdstatus -v" 等於「存取時掃描正在執行中」
- "/opt/sophos-av/bin/savconfig get LiveProtection" 傳回已啟用

疑難排解與支援

疑難排解

Microsoft Antimalware 延伸模組記錄位於:%Systemdrive%\WindowsAzure\Logs\Plugins\Microsoft.Azure.Security.IaaSAntimalware(Or PaaSAntimalware)\1.5.5.x(version#)\CommandExecution.log

支援

如需更多協助,請在 Azure 社群支援連絡 Azure 專家。 或提出 Azure 支援事件。 請移至 Azure 支援網站,然後選取 [取得支援]。 如需使用 Azure 支援的資訊,請參閱 Microsoft Azure 支援常見問題