Kontrola a náprava doporučení detekce a reakce u koncových bodů (MMA)
Microsoft Defender pro cloud poskytuje posouzení stavu podporovaných verzí řešení ochrany koncových bodů. Tento článek vysvětluje scénáře, které vedou Defender for Cloud k vygenerování následujících dvou doporučení:
- Ochrana koncových bodů by měla být nainstalovaná na vašich počítačích.
- Problémy se stavem služby Endpoint Protection by se měly vyřešit na vašich počítačích.
Poznámka:
Vzhledem k tomu, že agent Log Analytics (označovaný také jako MMA) je nastavený na vyřazení z provozu v srpnu 2024, budou všechny funkce Defenderu pro servery, které na ní aktuálně závisejí, včetně funkcí popsaných na této stránce, k dispozici prostřednictvím integrace microsoft Defenderu pro koncové body nebo kontroly bez agentů před datem vyřazení z provozu. Další informace o roadmapě jednotlivých funkcí, které jsou aktuálně závislé na agentu Log Analytics, najdete v tomto oznámení.
Tip
Na konci roku 2021 jsme upravili doporučení, které nainstaluje ochranu koncových bodů. Jedna ze změn má vliv na to, jak doporučení zobrazuje počítače, které jsou vypnuté. V předchozí verzi se počítače, které byly vypnuté, zobrazily v seznamu Nepoužitelné. V novějším doporučení se nezobrazují v žádných seznamech prostředků (v pořádku, není v pořádku nebo není k dispozici).
Windows Defender
Tabulka vysvětluje scénáře, které vedou defender pro cloud, aby vygenerovaly následující dvě doporučení pro Windows Defender:
| Doporučení | Zobrazí se, když |
|---|---|
| Ochrana koncových bodů by měla být nainstalovaná na vašich počítačích. | Spustí se Get-MpComputerStatus a výsledkem je AMServiceEnabled: False |
| Problémy se stavem služby Endpoint Protection by se měly vyřešit na vašich počítačích. | Get-MpComputerStatus se spustí a dojde k některé z následujících situací: Některé z následujících vlastností jsou false: - AMServiceEnabled - AntispywareEnabled - RealTimeProtectionEnabled - BehaviorMonitorEnabled - IoavProtectionEnabled - OnAccessProtectionEnabled Pokud jedna nebo obě z následujících vlastností jsou 7 nebo více: - AntispywareSignatureAge - AntivirusSignatureAge |
Microsoft System Center Endpoint Protection
Tabulka vysvětluje scénáře, které vedou defender for Cloud, aby vygenerovaly následující dvě doporučení pro ochranu koncových bodů microsoft System Center:
| Doporučení | Zobrazí se, když |
|---|---|
| Ochrana koncových bodů by měla být nainstalovaná na vašich počítačích. | import SCEPMpModule ("$env:ProgramFiles\Microsoft Security Client\MpProvider\MpProvider.psd1") a spuštění rutiny Get-MProtComputerStatus má za následek AMServiceEnabled = false |
| Problémy se stavem služby Endpoint Protection by se měly vyřešit na vašich počítačích. | Get-MprotComputerStatus běží a dojde k některé z následujících situací: Nejméně jedna z následujících vlastností je false: - AMServiceEnabled - AntispywareEnabled - RealTimeProtectionEnabled - BehaviorMonitorEnabled - IoavProtectionEnabled - OnAccessProtectionEnabled Pokud je jedna nebo obě následující aktualizace podpisu větší nebo rovny 7: - AntispywareSignatureAge - AntivirusSignatureAge |
Trend Micro
Tabulka vysvětluje scénáře, které vedou Defender for Cloud, aby vygenerovaly následující dvě doporučení pro Trend Micro:
| Doporučení | Zobrazí se, když |
|---|---|
| Ochrana koncových bodů by měla být nainstalovaná na vašich počítačích. | Nejsou splněny některé z následujících kontrol: - HKLM:\SOFTWARE\TrendMicro\Deep Security Agent existuje. - HKLM:\SOFTWARE\TrendMicro\Deep Security Agent\InstallationFolder existuje - Soubor dsa_query.cmd se nachází ve složce Instalace. – Spuštění dsa_query.cmd výsledků s komponentou.AM.mode : zapnuto – Trend Micro Deep Security Agent zjistil |
Ochrana koncových bodů Symantec
Tabulka vysvětluje scénáře, které vedou Defender for Cloud, aby vygenerovaly následující dvě doporučení pro ochranu koncových bodů Symantec:
| Doporučení | Zobrazí se, když |
|---|---|
| Ochrana koncových bodů by měla být nainstalovaná na vašich počítačích. | Nejsou splněny některé z následujících kontrol: - HKLM:\Software\Symantec\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection" - HKLM:\Software\Symantec\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1 Nebo - HKLM:\Software\Wow6432Node\Symantec\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection" - HKLM:\Software\Wow6432Node\Symantec\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1 |
| Problémy se stavem služby Endpoint Protection by se měly vyřešit na vašich počítačích. | Nejsou splněny některé z následujících kontrol: – Kontrola verze >Symantec = 12: Umístění registru: HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion - Value "PRODUCTVERSION" - Kontrola stavu ochrany v reálném čase: HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\AV\Storages\Filesystem\RealTimeScan\OnOff == 1 - Kontrola stavu aktualizace podpisu: HKLM\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LatestVirusDefsDate <= 7 dní - Kontrola stavu úplné kontroly: HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LastSuccessfulScanDateTime <= 7 dní - Vyhledání cesty k verzi verze podpisu pro Symantec 12: Cesty registru+ CurrentVersion\SharedDefs -Value "SRTSP" – Cesta k verzi podpisu pro Symantec 14: Cesty registru+ CurrentVersion\SharedDefs\SDSDefs -Value "SRTSP" Cesty registru: - "HKLM:\Software\Symantec\Symantec\Symantec Endpoint Protection" + $Path; - "HKLM:\Software\Wow6432Node\Symantec\Symantec\Symantec Endpoint Protection" + $Path |
Ochrana koncových bodů McAfee pro Windows
V tabulce jsou vysvětlené scénáře, které vedou defender for Cloud k vygenerování následujících dvou doporučení pro ochranu koncových bodů McAfee pro Windows:
| Doporučení | Zobrazí se, když |
|---|---|
| Ochrana koncových bodů by měla být nainstalovaná na vašich počítačích. | Nejsou splněny některé z následujících kontrol: - HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion existuje - HKLM:\SOFTWARE\McAfee\AVSolution\MCSHIELDGLOBAL\GLOBAL\enableoas = 1 |
| Problémy se stavem služby Endpoint Protection by se měly vyřešit na vašich počítačích. | Nejsou splněny některé z následujících kontrol: - McAfee Verze: HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion >= 10 - Najít podpis verze: HKLM:\Software\McAfee\AVSolution\DS\DS -Value "dwContentMajorVersion" - Najít datum podpisu: HKLM:\Software\McAfee\AVSolution\DS\DS -Value "szContentCreationDate" >= 7 dní - Najít datum kontroly: HKLM:\Software\McAfee\Endpoint\AV\ODS -Value "LastFullScanOdsRunTime" >= 7 dní |
McAfee Endpoint Security for Linux Threat Prevention
Tabulka vysvětluje scénáře, které vedou Defender for Cloud k vygenerování následujících dvou doporučení pro Ochranu před internetovými útoky McAfee Endpoint Security pro Linux:
| Doporučení | Zobrazí se, když |
|---|---|
| Ochrana koncových bodů by měla být nainstalovaná na vašich počítačích. | Nejsou splněny některé z následujících kontrol: - Soubor /opt/McAfee/ens/tp/bin/mfetpcli existuje. - Výstup /opt/McAfee/ens/tp/bin/mfetpcli --version je: McAfee name = McAfee Endpoint Security for Linux Threat Prevention a McAfee version >= 10 |
| Problémy se stavem služby Endpoint Protection by se měly vyřešit na vašich počítačích. | Nejsou splněny některé z následujících kontrol: - "/opt/McAfee/ens/tp/bin/mfetpcli --listtask" vrátí rychlou kontrolu, úplnou kontrolu a obě kontroly <= 7 dní. - "/opt/McAfee/ens/tp/bin/mfetpcli --listtask" vrátí dat a čas aktualizace modulu a oba dva z nich <= 7 dnů - "/opt/McAfee/ens/tp/bin/mfetpcli --getoasconfig --summary" vrátí stav kontroly přístupu. |
Sophos Antivirus pro Linux
Tabulka vysvětluje scénáře, které vedou Defender for Cloud k vygenerování následujících dvou doporučení pro Sophos Antivirus pro Linux:
| Doporučení | Zobrazí se, když |
|---|---|
| Ochrana koncových bodů by měla být nainstalovaná na vašich počítačích. | Nejsou splněny některé z následujících kontrol: - File /opt/sophos-av/bin/savdstatus exits or search for customized location "readlink $(which savscan)" - "/opt/sophos-av/bin/savdstatus --version" vrátí název Sophos = Sophos Anti-Virus a Sophos verze >= 9 |
| Problémy se stavem služby Endpoint Protection by se měly vyřešit na vašich počítačích. | Nejsou splněny některé z následujících kontrol: - "/opt/sophos-av/bin/savlog --maxage=7 | grep -i "Naplánovaná kontrola .* dokončena" | tail -1" vrátí hodnotu. - "/opt/sophos-av/bin/savlog --maxage=7 | Grep "scan finished" | tail -1, vrátí hodnotu. - Výraz /opt/sophos-av/bin/savdstatus --lastupdate vrátí lastUpdate, což by mělo být <= 7 dnů. - "/opt/sophos-av/bin/savdstatus -v" se rovná kontrole přístupu. - Vrátí povolenou hodnotu /opt/sophos-av/bin/savconfig get LiveProtection. |
Řešení potíží a podpora
Odstraňování potíží
Protokoly rozšíření Microsoft Antimalware jsou k dispozici na adrese: %Systemdrive%\WindowsAzure\Logs\Plugins\Microsoft.Azure.Security.IaaSAntimalware(Or PaaSAntimalware)\1.5.5.x(verze#)\CommandExecution.log
Technická podpora
Pokud potřebujete další pomoc, obraťte se na odborníky na Azure v podpoře komunity Azure. Nebo vytvořte podpora Azure incident. Přejděte na web podpora Azure a vyberte Získat podporu. Informace o používání podpory Azure najdete v běžných dotazech k Microsoftu podpora Azure.