Rever e corrigir recomendações de deteção e resposta a parâmetros (MMA)

O Microsoft Defender for Cloud fornece avaliações de integridade de versões suportadas das soluções de proteção de ponto final. Este artigo explica os cenários que levam o Defender for Cloud a gerar as duas recomendações a seguir:

Nota

Como o agente do Log Analytics (também conhecido como MMA) está programado para se aposentar em agosto de 2024, todos os recursos do Defender for Servers que dependem dele atualmente, incluindo os descritos nesta página, estarão disponíveis por meio da integração do Microsoft Defender for Endpoint ou da verificação sem agente, antes da data de desativação. Para obter mais informações sobre o roteiro para cada um dos recursos que dependem atualmente do Log Analytics Agent, consulte este anúncio.

Gorjeta

No final de 2021, revisamos a recomendação de instalação do endpoint protection. Uma das alterações afeta a forma como a recomendação exibe as máquinas que estão desligadas. Na versão anterior, as máquinas que estavam desligadas apareciam na lista 'Não aplicável'. Na recomendação mais recente, eles não aparecem em nenhuma das listas de recursos (íntegros, não íntegros ou não aplicáveis).

Windows Defender

A tabela explica os cenários que levam o Defender for Cloud a gerar as duas recomendações a seguir para o Windows Defender:

Recomendação Aparece quando
O Endpoint Protection deve ser instalado nas suas máquinas Get-MpComputerStatus é executado e o resultado é AMServiceEnabled: False
Os problemas de integridade da proteção de endpoint devem ser resolvidos em suas máquinas Get-MpComputerStatus é executado e qualquer uma das seguintes situações ocorre:

Qualquer uma das seguintes propriedades é falsa:

- AMServiceEnabled
- AntispywareAtivado
- RealTimeProtectionEnabled
- BehaviorMonitorEnabled
- IoavProtectionEnabled
- OnAccessProtectionEnabled

Se uma ou ambas as seguintes propriedades forem 7 ou mais:

- AntispywareSignatureAge
- AntivirusSignatureAge

Proteção de ponto de extremidade do Microsoft System Center

A tabela explica os cenários que levam o Defender for Cloud a gerar as duas recomendações a seguir para a proteção de ponto de extremidade do Microsoft System Center:

Recomendação Aparece quando
O Endpoint Protection deve ser instalado nas suas máquinas importar SCEPMpModule ("$env:ProgramFiles\Microsoft Security Client\MpProvider\MpProvider.psd1") e executar Get-MProtComputerStatus resulta em AMServiceEnabled = false
Os problemas de integridade da proteção de endpoint devem ser resolvidos em suas máquinas Get-MprotComputerStatus é executado e qualquer uma das seguintes situações ocorre:

Pelo menos uma das seguintes propriedades é false:

- AMServiceEnabled
- AntispywareAtivado
- RealTimeProtectionEnabled
- BehaviorMonitorEnabled
- IoavProtectionEnabled
- OnAccessProtectionEnabled

Se uma ou ambas as seguintes Atualizações de Assinatura forem maiores ou iguais a 7:

- AntispywareSignatureAge
- AntivirusSignatureAge

Trend Micro

A tabela explica os cenários que levam o Defender for Cloud a gerar as duas recomendações a seguir para a Trend Micro:

Recomendação Aparece quando
O Endpoint Protection deve ser instalado nas suas máquinas Qualquer uma das seguintes verificações não é atendida:

- HKLM:\SOFTWARE\TrendMicro\Deep Security Agent existe
- HKLM:\SOFTWARE\TrendMicro\Deep Security Agent\InstallationFolder existe
- O arquivo dsa_query.cmd é encontrado na pasta de instalação
- Executando dsa_query.cmd resultados com Component.AM.mode: em - Trend Micro Deep Security Agent detetado

Proteção de endpoint da Symantec

A tabela explica os cenários que levam o Defender for Cloud a gerar as duas recomendações a seguir para a proteção de endpoint da Symantec:

Recomendação Aparece quando
O Endpoint Protection deve ser instalado nas suas máquinas Qualquer uma das seguintes verificações não é atendida:

- HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection"
- HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1
Ou
- HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection"
- HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1
Os problemas de integridade da proteção de endpoint devem ser resolvidos em suas máquinas Qualquer uma das seguintes verificações não é atendida:

- Verifique a versão >da Symantec = 12: Local do registro: HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion" -Value "PRODUCTVERSION"
- Verifique o status da proteção em tempo real: HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\AV\Storages\Filesystem\RealTimeScan\OnOff == 1
- Verifique o status da Atualização de Assinatura: HKLM\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LatestVirusDefsDate <= 7 dias
- Verifique o status da verificação completa: HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LastSuccessfulScanDateTime <= 7 dias
- Encontre o número da versão da assinatura Caminho para a versão da assinatura para o Symantec 12: Registry Paths+ "CurrentVersion\SharedDefs" -Value "SRTSP"
- Caminho para a versão de assinatura para Symantec 14: Registry Paths+ "CurrentVersion\SharedDefs\SDSDefs" -Value "SRTSP"

Caminhos do Registro:

- "HKLM:\Software\Symantec\Symantec Endpoint Protection" + $Path;
- "HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection" + $Path

Proteção de pontos finais da McAfee para Windows

A tabela explica os cenários que levam o Defender for Cloud a gerar as duas recomendações a seguir para o McAfee endpoint protection for Windows:

Recomendação Aparece quando
O Endpoint Protection deve ser instalado nas suas máquinas Qualquer uma das seguintes verificações não é atendida:

- HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion existe
- HKLM:\SOFTWARE\McAfee\AVSolution\MCSHIELDGLOBAL\GLOBAL\enableoas = 1
Os problemas de integridade da proteção de endpoint devem ser resolvidos em suas máquinas Qualquer uma das seguintes verificações não é atendida:

- Versão McAfee: HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion >= 10
- Encontre a versão da assinatura: HKLM:\Software\McAfee\AVSolution\DS\DS -Value "dwContentMajorVersion"
- Encontrar data de assinatura: HKLM:\Software\McAfee\AVSolution\DS\DS -Value "szContentCreationDate" >= 7 dias
- Encontrar data de verificação: HKLM:\Software\McAfee\Endpoint\AV\ODS -Value "LastFullScanOdsRunTime" >= 7 dias

Prevenção de ameaças do McAfee Endpoint Security para Linux

A tabela explica os cenários que levam o Defender for Cloud a gerar as duas recomendações a seguir para o McAfee Endpoint Security for Linux Threat Prevention:

Recomendação Aparece quando
O Endpoint Protection deve ser instalado nas suas máquinas Qualquer uma das seguintes verificações não é atendida:

- O arquivo /opt/McAfee/ens/tp/bin/mfetpcli existe
- A saída "/opt/McAfee/ens/tp/bin/mfetpcli --version" é: Nome da McAfee = McAfee Endpoint Security for Linux Threat Prevention e McAfee versão >= 10
Os problemas de integridade da proteção de endpoint devem ser resolvidos em suas máquinas Qualquer uma das seguintes verificações não é atendida:

- "/opt/McAfee/ens/tp/bin/mfetpcli --listtask" retorna Verificação rápida, verificação completa e ambas as verificações <= 7 dias
- "/opt/McAfee/ens/tp/bin/mfetpcli --listtask" retorna o tempo de atualização do DAT e do <mecanismo e ambos = 7 dias
- "/opt/McAfee/ens/tp/bin/mfetpcli --getoasconfig --summary" retorna o status da varredura de acesso

Sophos Antivírus para Linux

A tabela explica os cenários que levam o Defender for Cloud a gerar as duas recomendações a seguir para o Sophos Antivirus for Linux:

Recomendação Aparece quando
O Endpoint Protection deve ser instalado nas suas máquinas Qualquer uma das seguintes verificações não é atendida:

- Saídas de arquivo /opt/sophos-av/bin/savdstatus ou procure por localização personalizada "readlink $(which savscan)"
- "/opt/sophos-av/bin/savdstatus --version" retorna o nome do Sophos = Sophos Anti-Virus e Sophos versão >= 9
Os problemas de integridade da proteção de endpoint devem ser resolvidos em suas máquinas Qualquer uma das seguintes verificações não é atendida:

- "/opt/sophos-av/bin/savlog --maxage=7 | grep -i "Análise programada .* concluída" | tail -1", retorna um valor
- "/opt/sophos-av/bin/savlog --maxage=7 | grep "scan finished" | tail -1", retorna um valor
- "/opt/sophos-av/bin/savdstatus --lastupdate" retorna lastUpdate, que deve ser <= 7 dias
- "/opt/sophos-av/bin/savdstatus -v" é igual a "A varredura ao acessar está em execução"
- "/opt/sophos-av/bin/savconfig get LiveProtection" retorna ativado

Solução de problemas e suporte

Resolver problemas

Os logs de extensão do Microsoft Antimalware estão disponíveis em: %Systemdrive%\WindowsAzure\Logs\Plugins\Microsoft.Azure.Security.IaaSAntimalware(Or PaaSAntimalware)\1.5.5.x(version#)\CommandExecution.log

Suporte

Para obter mais ajuda, contacte os especialistas do Azure no Suporte da Comunidade do Azure. Ou registre um incidente de suporte do Azure. Vá para o site de suporte do Azure e selecione Obter suporte. Para obter informações sobre como usar o Suporte do Azure, leia as perguntas comuns de suporte do Microsoft Azure.