端點偵測及回應 解決方案的評估檢查 (MMA)
適用於雲端的 Microsoft Defender 提供端點保護解決方案支援版本的健康情況評估。 本文說明導致 適用於雲端的 Defender 產生下列兩個建議的案例:
注意
由於 Log Analytics 代理程式(也稱為 MMA)將於 2024 年 8 月淘汰,目前相依於該代理程式的所有 Defender for Servers 功能,包括此頁面所述的功能,都可以在淘汰日期之前透過 適用於端點的 Microsoft Defender 整合或無代理程式掃描來取得。 如需目前依賴Log Analytics代理程式之每個功能的藍圖詳細資訊,請參閱 此公告。
提示
在 2021 年底,我們修訂了安裝 Endpoint Protection 的建議。 其中一項變更會影響建議顯示已關閉電源的計算機的方式。 在舊版中,已關閉的計算機會出現在 [不適用] 清單中。 在較新的建議中,它們不會出現在任何資源清單中(狀況良好、狀況不良或不適用)。
Windows Defender
下表說明導致 適用於雲端的 Defender 產生下列兩個 Windows Defender 建議的案例:
建議 | 出現時機 |
---|---|
您的機器上應安裝端點保護 | Get-MpComputerStatus 執行,結果為 AMServiceEnabled: False |
應解決您機器上端點保護健康情況的問題 | Get-MpComputerStatus 執行,併發生下列任何一項: 下列任何屬性都是 false: - AMServiceEnabled - AntispywareEnabled - RealTimeProtectionEnabled - BehaviorMonitorEnabled - IoavProtectionEnabled - OnAccessProtectionEnabled 如果下列其中一個或兩個屬性都是 7 個以上: - AntispywareSignatureAge - AntivirusSignatureAge |
Microsoft System Center 端點保護
下表說明導致 適用於雲端的 Defender 產生下列兩個 Microsoft System Center 端點保護建議的案例:
建議 | 出現時機 |
---|---|
您的機器上應安裝端點保護 | 匯入 SCEPMpModule (“$env:ProgramFiles\Microsoft Security Client\MpProvider\MpProvider.psd1”) 並執行 Get-MProtComputerStatus 會導致 AMServiceEnabled = false |
應解決您機器上端點保護健康情況的問題 | Get-MprotComputerStatus 執行,併發生下列任何一項: 至少下列其中一個屬性為 false: - AMServiceEnabled - AntispywareEnabled - RealTimeProtectionEnabled - BehaviorMonitorEnabled - IoavProtectionEnabled - OnAccessProtectionEnabled 如果下列其中一個或兩個簽章 更新 大於或等於 7: - AntispywareSignatureAge - AntivirusSignatureAge |
Trend Micro
下表說明導致 適用於雲端的 Defender 產生下列兩個趨勢微建議的案例:
建議 | 出現時機 |
---|---|
您的機器上應安裝端點保護 | 不符合下列任何檢查: - HKLM:\SOFTWARE\TrendMicro\Deep Security 代理程式 存在 - HKLM:\SOFTWARE\TrendMicro\Deep Security Agent\InstallationFolder 存在 - dsa_query.cmd檔案位於安裝資料夾中 - 使用 Component.AM.mode 執行dsa_query.cmd結果:on - 偵測到 Trend Micro Deep Security 代理程式 |
Symantec Endpoint Protection
下表說明導致 適用於雲端的 Defender 產生下列兩個 Symantec 端點保護建議的案例:
建議 | 出現時機 |
---|---|
您的機器上應安裝端點保護 | 不符合下列任何檢查: - HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = “Symantec Endpoint Protection” - HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1 或 - HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = “Symantec Endpoint Protection” - HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1 |
應解決您機器上端點保護健康情況的問題 | 不符合下列任何檢查: - 檢查 Symantec 版本 >= 12:登錄位置: HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion“ -Value ”PRODUCTVERSION” - 檢查實時保護狀態:HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\AV\儲存體 s\Filesystem\RealTimeScan\OnOff == 1 - 檢查簽章更新狀態: HKLM\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LatestVirusDefsDate <= 7 天 - 檢查完整掃描狀態: HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LastSuccessfulScanDateTime <= 7 天 - 尋找 Symantec 12 簽章版本的簽章版本路徑: 登錄路徑+ “CurrentVersion\SharedDefs” -Value “SRTSP” - Symantec 14 的簽章版本路徑: 登錄路徑+ “CurrentVersion\SharedDefs\SDSDefs” -Value “SRTSP” 登入路徑: - “HKLM:\Software\Symantec\Symantec\Symantec Endpoint Protection” + $Path; - “HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection” + $Path |
適用於 Windows 的 McAfee 端點保護
下表說明導致 適用於雲端的 Defender 針對適用於 Windows 的 McAfee 端點保護產生下列兩個建議的案例:
建議 | 出現時機 |
---|---|
您的機器上應安裝端點保護 | 不符合下列任何檢查: - HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion 存在 - HKLM:\SOFTWARE\McAfee\AVSolution\MCSHIELDGLOBAL\GLOBAL\enableoas = 1 |
應解決您機器上端點保護健康情況的問題 | 不符合下列任何檢查: - McAfee 版本: HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion >= 10 - 尋找簽章版本: HKLM:\Software\McAfee\AVSolution\DS\DS -Value “dwContentMajorVersion” - 尋找簽章日期: HKLM:\Software\McAfee\AVSolution\DS\DS -Value “szContentCreationDate” >= 7 天 - 尋找掃描日期: HKLM:\Software\McAfee\Endpoint\AV\ODS -Value “LastFullScanOdsRunTime” >= 7 天 |
McAfee Endpoint Security for Linux 威脅防護
下表說明導致 適用於雲端的 Defender 針對McAfee Endpoint Security for Linux 威脅防護產生下列兩項建議的案例:
建議 | 出現時機 |
---|---|
您的機器上應安裝端點保護 | 不符合下列任何檢查: - 檔案 /opt/McAfee/ens/tp/bin/mfetpcli 存在 - “/opt/McAfee/ens/tp/bin/mfetpcli --version” 輸出為: McAfee name = McAfee Endpoint Security for Linux Threat Prevention and McAfee version >= 10 |
應解決您機器上端點保護健康情況的問題 | 不符合下列任何檢查: - “/opt/McAfee/ens/tp/bin/mfetpcli --listtask” 會傳回 快速掃描、完整掃描和兩次掃描<= 7 天 - “/opt/McAfee/ens/tp/bin/mfetpcli --listtask” 會傳 回 DAT 和引擎更新時間 ,兩者都 <= 7 天 - “/opt/McAfee/ens/tp/bin/mfetpcli --getoasconfig --summary” 會傳 回存取掃描 狀態 |
適用於Linux的Sophos防病毒軟體
下表說明導致 適用於雲端的 Defender 針對適用於Linux的 Sophos 防病毒軟體產生下列兩個建議的案例:
建議 | 出現時機 |
---|---|
您的機器上應安裝端點保護 | 不符合下列任何檢查: - 檔案 /opt/sophos-av/bin/savdstatus 結束或搜尋自定義位置 “readlink $(哪一個 savscan)” - “/opt/sophos-av/bin/savdstatus --version” 會傳回 Sophos 名稱 = Sophos 防病毒軟體和 Sophos 版本 >= 9 |
應解決您機器上端點保護健康情況的問題 | 不符合下列任何檢查: - “/opt/sophos-av/bin/savlog --maxage=7 |grep -i “Scheduled scan .* completed” |tail -1“, 會傳回值 - “/opt/sophos-av/bin/savlog --maxage=7 |grep “scan finished” | tail -1“, 會傳回值 - “/opt/sophos-av/bin/savdstatus --lastupdate” 會傳回 lastUpdate,這應該是 <= 7 天 - “/opt/sophos-av/bin/savdstatus -v” 等於 “On-access scaning is running” - “/opt/sophos-av/bin/savconfig get LiveProtection” 傳回已啟用 |
疑難排解與支援
疑難排解
Microsoft Antimalware 擴充功能記錄位於: %Systemdrive%\WindowsAzure\Logs\Plugins\Microsoft.Azure.Security.IaaSAntimalware(Or PaaSAntimalware)\1.5.5.x(version#)\CommandExecution.log
支援
如需更多協助,請連絡 Azure 社群支援中的 Azure 專家。 或提出 Azure 支援 事件。 請移至 Azure 支援網站,然後選取 [取得支援]。 如需使用 Azure 支援的相關信息,請參閱 Microsoft Azure 支援 常見問題。