檢閱並補救端點偵測及回應建議 (MMA)
適用於雲端的 Microsoft Defender 提供端點保護解決方案支援版本的健康情況評估。 本文說明導致適用於雲端的 Defender 產生下列兩個建議的案例:
注意
由於 Log Analytics 代理程式 (也稱為 MMA) 設定為在 2024 年 8 月淘汰,目前相依於該代理程式的所有適用於伺服器的 Defender 功能,包括此頁面上所述的功能,在淘汰日期之前都可以透過適用於端點的 Microsoft Defender 整合或無代理程式掃描取用。 如需目前依賴 Log Analytics 代理程式的每項功能藍圖詳細資訊,請參閱此公告。
提示
2021 年底,我們修訂了安裝端點保護的建議。 其中一項變更會影響建議如何顯示已關閉電源的電腦。 在舊版中,已關閉的電腦會出現在 [不適用] 清單中。 在新的建議中,這些電腦不會出現在任何資源清單中 (狀況良好、狀況不良或不適用)。
Windows Defender
資料表說明導致適用於雲端的 Defender 產生下列兩個 Windows Defender 建議的案例:
| 建議 | 出現時間 |
|---|---|
| 您的機器上應安裝端點保護 | Get-MpComputerStatus 會執行且結果是 AMServiceEnabled:False |
| 應解決您機器上端點保護健康情況的問題 | Get-MpComputerStatus 會執行且發生以下任何情形: 下列任何屬性皆為 false: - AMServiceEnabled - AntispywareEnabled - RealTimeProtectionEnabled - BehaviorMonitorEnabled - IoavProtectionEnabled - OnAccessProtectionEnabled 如果下列其中一個或兩個屬性都是 7 或以上的值: - AntispywareSignatureAge - AntivirusSignatureAge |
Microsoft System Center 端點保護
資料表說明導致適用於雲端的 Defender 產生下列兩個 Microsoft System Center Endpoint Protection 建議的案例:
| 建議 | 出現時間 |
|---|---|
| 您的機器上應安裝端點保護 | 匯入 SCEPMpModule ("$env:ProgramFiles\Microsoft Security Client\MpProvider\MpProvider.psd1") 並執行 Get-MProtComputerStatus 導致 AMServiceEnabled = false |
| 應解決您機器上端點保護健康情況的問題 | Get-MprotComputerStatus 會執行且發生以下任何情形: 至少下列其中一項屬性為 false: - AMServiceEnabled - AntispywareEnabled - RealTimeProtectionEnabled - BehaviorMonitorEnabled - IoavProtectionEnabled - OnAccessProtectionEnabled 如果下列其中一個或兩個簽章更新大於或等於 7: - AntispywareSignatureAge - AntivirusSignatureAge |
Trend Micro
資料表說明導致適用於雲端的 Defender 產生下列兩個 Trend Micro 建議的案例:
| 建議 | 出現時間 |
|---|---|
| 您的機器上應安裝端點保護 | 不符合下列任何檢查: - HKLM:\SOFTWARE\TrendMicro\Deep Security Agent 存在 - HKLM:\SOFTWARE\TrendMicro\Deep Security Agent\InstallationFolder 存在 - dsa_query.cmd 檔案位於安裝資料夾 - 執行 dsa_query.cmd 的結果為 Component.AM.mode: on - Trend Micro Deep Security Agent detected |
Symantec 端點保護
資料表說明導致適用於雲端的 Defender 產生下列兩個 Symantec 端點保護建議的案例:
| 建議 | 出現時間 |
|---|---|
| 您的機器上應安裝端點保護 | 不符合下列任何檢查: - HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection" - HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1 或 - HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection" - HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1 |
| 應解決您機器上端點保護健康情況的問題 | 不符合下列任何檢查: - 檢查 Symantec 版本 >= 12:登錄位置:HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion" -Value "PRODUCTVERSION" - 檢查即時保護狀態:HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\AV\Storages\Filesystem\RealTimeScan\OnOff == 1 - 檢查簽章更新狀態:HKLM\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LatestVirusDefsDate <= 7 天 - 檢查完整掃描狀態:HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LastSuccessfulScanDateTime <= 7 天 - 尋找 Symantec 12 簽章版本的簽章版本編號路徑:Registry Paths+ "CurrentVersion\SharedDefs" -Value "SRTSP" - Symantec 14 的簽章版本路徑:Registry Paths+ "CurrentVersion\SharedDefs\SDSDefs" -Value "SRTSP" 登錄路徑: - "HKLM:\Software\Symantec\Symantec Endpoint Protection" + $Path; - "HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection" + $Path |
適用於 Windows 的 McAfee 端點保護
資料表說明導致適用於雲端的 Defender 產生下列兩個適用於 Windows 的 McAfee 端點保護建議的案例:
| 建議 | 出現時間 |
|---|---|
| 您的機器上應安裝端點保護 | 不符合下列任何檢查: - HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion 存在 - HKLM:\SOFTWARE\McAfee\AVSolution\MCSHIELDGLOBAL\GLOBAL\enableoas = 1 |
| 應解決您機器上端點保護健康情況的問題 | 不符合下列任何檢查: - McAfee 版本:HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion >= 10 - 尋找簽章版本:HKLM:\Software\McAfee\AVSolution\DS\DS -Value "dwContentMajorVersion" - 尋找簽章日期:HKLM:\Software\McAfee\AVSolution\DS\DS -Value "szContentCreationDate" >= 7 天 - 尋找掃描日期:HKLM:\Software\McAfee\Endpoint\AV\ODS -Value "LastFullScanOdsRunTime" >= 7 天 |
適用於 Linux 威協防護的 McAfee 端點安全
資料表說明導致適用於雲端的 Defender 產生下列兩個適用於 Linux 威脅防護的 McAfee 端點安全性建議的案例:
| 建議 | 出現時間 |
|---|---|
| 您的機器上應安裝端點保護 | 不符合下列任何檢查: - /opt/McAfee/ens/tp/bin/mfetpcli 檔案存在 - "/opt/McAfee/ens/tp/bin/mfetpcli --version" 輸出為:McAfee 名稱 = 適用於 Linux 威脅防護的 McAfee 端點安全,且 McAfee 版本 >= 10 |
| 應解決您機器上端點保護健康情況的問題 | 不符合下列任何檢查: - "/opt/McAfee/ens/tp/bin/mfetpcli --listtask" 傳回 快速掃描、完整掃描,兩者皆掃描 <= 7 天 - "/opt/McAfee/ens/tp/bin/mfetpcli --listtask" 傳回 DAT 和引擎更新時間,兩者兼具 <= 7 天 - "/opt/McAfee/ens/tp/bin/mfetpcli --getoasconfig --summary" 傳回 存取時掃描的狀態 |
適用於 Linux 的 Sophos 防毒軟體
資料表說明導致適用於雲端的 Defender 產生下列兩個適用於 Linux 的 Sophos 防毒軟體建議的案例:
| 建議 | 出現時間 |
|---|---|
| 您的機器上應安裝端點保護 | 不符合下列任何檢查: - 檔案 /opt/sophos-av/bin/savdstatus 存在,或搜尋自訂位置 "readlink $(which savscan)" - "/opt/sophos-av/bin/savdstatus --version" 傳回 Sophos 名稱 = Sophos 防毒軟體且 Sophos 版本 >= 9 |
| 應解決您機器上端點保護健康情況的問題 | 不符合下列任何檢查: - "/opt/sophos-av/bin/savlog --maxage=7 | grep -i "Scheduled scan .* completed" | tail -1",傳回一個值 - "/opt/sophos-av/bin/savlog --maxage=7 | grep "scan finished" | tail -1",傳回一個值 - "/opt/sophos-av/bin/savdstatus --lastupdate" 傳回 lastUpdate,應為 <= 7 天 - "/opt/sophos-av/bin/savdstatus -v" 等於「存取時掃描正在執行中」 - "/opt/sophos-av/bin/savconfig get LiveProtection" 傳回已啟用 |
疑難排解與支援
疑難排解
Microsoft Antimalware 延伸模組記錄位於:%Systemdrive%\WindowsAzure\Logs\Plugins\Microsoft.Azure.Security.IaaSAntimalware(Or PaaSAntimalware)\1.5.5.x(version#)\CommandExecution.log
支援
如需更多協助,請在 Azure 社群支援連絡 Azure 專家。 或提出 Azure 支援事件。 請移至 Azure 支援網站,然後選取 [取得支援]。 如需使用 Azure 支援的資訊,請參閱 Microsoft Azure 支援常見問題。