Avaliar e corrigir recomendações de detecção e resposta de ponto de extremidade (MMA)
O Microsoft Defender para Nuvem fornece avaliações de integridade de versões das soluções de proteção de ponto de extremidadecompatíveis. Este artigo explica os cenários que levam o Defender para Nuvem a gerar as duas recomendações a seguir:
- As soluções de proteção de pontos de extremidade devem ser instaladas nos seus computadores
- Os problemas de integridade do Endpoint protection devem ser resolvidos nos seus computadores
Observação
Como o agente do Log Analytics (também conhecido como MMA) está definido para ser desativado em agosto de 2024, todos os recursos do Defender para servidores que atualmente dependem dele, incluindo os descritos nesta página, estarão disponíveis pela Integração do Ponto de Extremidade do Microsoft Defender ou da verificação sem agente, antes da data de desativação. Para obter mais informações sobre o roteiro de cada recurso que atualmente depende do Agente do Log Analytics, consulte este comunicado.
Dica
No final de 2021, revisamos a recomendação que instala o Endpoint Protection. Uma das alterações afeta a maneira como a recomendação exibe computadores desligados. Na versão anterior, os computadores que foram desativados apareciam na lista " não aplicável". Na recomendação mais recente, eles não aparecem em nenhuma das listas de recursos (íntegro, não íntegro ou não aplicável).
Windows Defender
A tabela explica os cenários que levam o Defender para Nuvem a gerar as duas recomendações a seguir para o Windows Defender:
| Recomendação | Aparece quando |
|---|---|
| O Endpoint Protection deve ser instalado nos computadores | Get-MpComputerStatus é executado e o resultado é AMServiceEnabled: False |
| Os problemas de integridade do Endpoint protection devem ser resolvidos nos seus computadores | Get-MpComputerStatus é executado e qualquer um dos seguintes ocorre: Qualquer uma das propriedades seguintes for falsa: - AMServiceEnabled - AntispywareEnabled - RealTimeProtectionEnabled - BehaviorMonitorEnabled - IoavProtectionEnabled - OnAccessProtectionEnabled Se uma das propriedades a seguir ou ambas forem 7 ou mais: - AntispywareSignatureAge - AntivirusSignatureAge |
Proteção de ponto de extremidade Microsoft System Center
A tabela explica os cenários que levam o Defender para Nuvem a gerar as duas recomendações a seguir para a proteção do ponto de extremidade do Microsoft System Center:
| Recomendação | Aparece quando |
|---|---|
| O Endpoint Protection deve ser instalado nos computadores | importar SCEPMpModule ("$env:ProgramFiles\Microsoft Security Client\MpProvider\MpProvider.psd1") e executar Get-MProtComputerStatus resulta em AMServiceEnabled = false |
| Os problemas de integridade do Endpoint protection devem ser resolvidos nos seus computadores | Get-MprotComputerStatus é executado e qualquer um dos seguintes ocorre: Pelo menos uma das propriedades a seguir for falsa: - AMServiceEnabled - AntispywareEnabled - RealTimeProtectionEnabled - BehaviorMonitorEnabled - IoavProtectionEnabled - OnAccessProtectionEnabled Se uma ou ambas as atualizações de assinatura a seguir forem maiores ou iguais a 7: - AntispywareSignatureAge - AntivirusSignatureAge |
Trend Micro
Este artigo explica os cenários que levam o Defender para Nuvem a gerar as duas recomendações a seguir para a Trend Micro:
| Recomendação | Aparece quando |
|---|---|
| O Endpoint Protection deve ser instalado nos computadores | alguma das seguintes verificações não é atendida: - HKLM:\SOFTWARE\TrendMicro\Deep Security Agent existe - HKLM:\SOFTWARE\TrendMicro\Deep Security Agent\InstallationFolder existe — O arquivo dsa_query.cmd é encontrado na Pasta Instalação — Executar dsa_query.cmd resulta na detecção do Component.AM.mode: on - Trend Micro Deep Security Agent |
Proteção de ponto de extremidade da Symantec
A tabela explica os cenários que levam o Defender para Nuvem a gerar as duas recomendações a seguir para a proteção do ponto de extremidade da Symantec:
| Recomendação | Aparece quando |
|---|---|
| O Endpoint Protection deve ser instalado nos computadores | alguma das seguintes verificações não é atendida: - HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection" - HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1 Ou - HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection" - HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1 |
| Os problemas de integridade do Endpoint protection devem ser resolvidos nos seus computadores | alguma das seguintes verificações não é atendida: — Verificar a Versão do Symantec >= 12: Local do registro: HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion" -Value "PRODUCTVERSION" — Verificar o status da Proteção em Tempo Real: HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\AV\Storages\Filesystem\RealTimeScan\OnOff == 1 — Verificar status de Atualização da Assinatura: HKLM\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LatestVirusDefsDate <= 7 dias — Verificar status da Verificação Completa: HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LastSuccessfulScanDateTime <= 7 dias — Localizar o Caminho do número de versão da assinatura para a versão da assinatura do Symantec 12: Registry Paths+ "CurrentVersion\SharedDefs" -Value "SRTSP" — Caminho para a versão da assinatura do Symantec 14: Registry Paths+ "CurrentVersion\SharedDefs\SDSDefs" -Value "SRTSP" Caminhos do registro: - "HKLM:\Software\Symantec\Symantec Endpoint Protection" + $Path; - "HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection" + $Path |
Proteção de ponto de extremidade McAfee para Windows
A tabela explica os cenários que levam o Defender para Nuvem a gerar as duas recomendações a seguir para a proteção de ponto de extremidade da McAfee para Windows:
| Recomendação | Aparece quando |
|---|---|
| O Endpoint Protection deve ser instalado nos computadores | alguma das seguintes verificações não é atendida: - HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion existe - HKLM:\SOFTWARE\McAfee\AVSolution\MCSHIELDGLOBAL\GLOBAL\enableoas = 1 |
| Os problemas de integridade do Endpoint protection devem ser resolvidos nos seus computadores | alguma das seguintes verificações não é atendida: — Versão do McAfee: HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion >= 10 — Localizar a Versão da assinatura: HKLM:\Software\McAfee\AVSolution\DS\DS -Value "dwContentMajorVersion" — Localizar a Data da Assinatura: HKLM:\Software\McAfee\AVSolution\DS\DS -Value "szContentCreationDate" >= 7 dias — Localizar a Data da Verificação: HKLM:\Software\McAfee\Endpoint\AV\ODS -Value "LastFullScanOdsRunTime" >= 7 dias |
Prevenção contra ameaças do McAfee Endpoint Security para Linux
A tabela explica os cenários que levam o Defender para Nuvem a gerar as duas recomendações a seguir para a Segurança de Ponto de Extremidade da McAfee para Prevenção de Ameaças do Linux:
| Recomendação | Aparece quando |
|---|---|
| O Endpoint Protection deve ser instalado nos computadores | alguma das seguintes verificações não é atendida: — O arquivo /opt/McAfee/ens/tp/bin/mfetpcli existe A saída de - "/opt/McAfee/ens/tp/bin/mfetpcli --version" é: McAfee name = McAfee Endpoint Security for Linux Threat Prevention and McAfee version >= 10 |
| Os problemas de integridade do Endpoint protection devem ser resolvidos nos seus computadores | alguma das seguintes verificações não é atendida: - "/opt/McAfee/ens/tp/bin/mfetpcli --listtask" retorna Varredura completa, Varredura rápida e ambas as varreduras <= 7 dias - "/opt/McAfee/ens/tp/bin/mfetpcli --listtask" retorna DAT e o mecanismo Atualizar tempo e para ambos <= 7 dias - "/opt/McAfee/ens/tp/bin/mfetpcli --getoasconfig --summary" retorna o status On Access Scan |
Sophos Antivirus para Linux
A tabela explica os cenários que levam o Defender para Nuvem a gerar as duas recomendações a seguir para o Sophos Antivírus para Linux:
| Recomendação | Aparece quando |
|---|---|
| O Endpoint Protection deve ser instalado nos computadores | alguma das seguintes verificações não é atendida: — Arquivo /opt/sophos-av/bin/savdstatus sai ou pesquisa um local personalizado "readlink $(which savscan)" - "/opt/sophos-av/bin/savdstatus --version" retorna Sophos name = Sophos Anti-Virus and Sophos version >= 9 |
| Os problemas de integridade do Endpoint protection devem ser resolvidos nos seus computadores | alguma das seguintes verificações não é atendida: - "/opt/sophos-av/bin/savlog --maxage=7 | grep -i "Scheduled scan .* completed" | tail -1", retorna um valor - "/opt/sophos-av/bin/savlog --maxage=7 | grep "scan finished" | tail -1", retorna um valor - "/opt/sophos-av/bin/savdstatus --lastupdate" retorna lastUpdate, que deveria ser <= 7 dias - "/opt/sophos-av/bin/savdstatus -v" é igual a "On-access scanning is running" - "/opt/sophos-av/bin/savconfig get LiveProtection" retorna como habilitado |
Solução de problemas e suporte
Solucionar problemas
Logs de extensão do Microsoft Antimalware estão disponíveis em: %Systemdrive%\WindowsAzure\Logs\Plugins\Microsoft.Azure.Security.IaaSAntimalware(Or PaaSAntimalware)\1.5.5.x(version#)\CommandExecution.log
Suporte
Para obter mais ajuda, entre em contato com os especialistas do Azure no Suporte da Comunidade do Azure. Ou registrar um incidente no Suporte do Azure. Vá para o site de suporte do Azure e selecione Obter suporte. Para saber mais sobre como usar o Suporte do Azure, leia as Perguntas frequentes sobre o Suporte do Microsoft Azure.