Просмотр и исправление рекомендаций обнаружение и нейтрализация атак на конечные точки (MMA)

Microsoft Defender для облака обеспечивает оценку работоспособности поддерживаемых версий решений для защиты конечных точек. В этой статье описываются сценарии, позволяющие с помощью Defender для облака создать следующие две рекомендации:

Примечание.

Так как агент Log Analytics (также известный как MMA) установлен на пенсию в августе 2024 года, все функции Defender для серверов, которые в настоящее время зависят от него, включая описанные на этой странице, будут доступны через Microsoft Defender для конечной точки интеграцию или проверку без агента до даты выхода на пенсию. Дополнительные сведения о схеме развития для каждой из функций, которые в настоящее время зависят от агента Log Analytics, см . в этом объявлении.

Совет

В конце 2021 года мы изменили рекомендацию, которая устанавливает защиту конечных точек. Одно из изменений влияет на то, как в рекомендации отображаются компьютеры, которые выключены. В предыдущей версии компьютеры, которые были выключены, отображались в списке "Неприменимо". В новой рекомендации они не отображаются ни в одном из списков ресурсов (работоспособных, неработоспособных или неприменимых).

Защитник Windows

В таблице описываются сценарии, которые приводят к Defender для облака для создания следующих двух рекомендаций для Защитника Windows:

Рекомендация Отображается, когда
Необходимо установить Endpoint Protection на ваших компьютерах Выполняется Get-MpComputerStatus , и результатом является AMServiceEnabled: False
Необходимо устранить проблемы работоспособности защиты конечных точек на компьютерах Выполняется Get-MpComputerStatus и выполняется любое из следующих действий:

Любое из следующих свойств равно false:

- AMServiceEnabled
- AntispywareEnabled
- RealTimeProtectionEnabled
- BehaviorMonitorEnabled
- IoavProtectionEnabled
- OnAccessProtectionEnabled

Если одно или оба из следующих свойств имеют значение 7 или более:

- AntispywareSignatureAge
- AntivirusSignatureAge

Защита конечных точек Microsoft System Center

В таблице описываются сценарии, которые приводят к Defender для облака для создания следующих двух рекомендаций по защите конечных точек Microsoft System Center:

Рекомендация Отображается, когда
Необходимо установить Endpoint Protection на ваших компьютерах импорт SCEPMpModule ("$env:ProgramFiles\Microsoft Security Client\MpProvider\MpProvider.psd1") и запуск Get-MProtComputerStatus приводит к значению AMServiceEnabled = false
Необходимо устранить проблемы работоспособности защиты конечных точек на компьютерах Выполняется Get-MprotComputerStatus и выполняется любое из следующих действий:

По крайней мере одно из следующих свойств имеет значение false:

- AMServiceEnabled
- AntispywareEnabled
- RealTimeProtectionEnabled
- BehaviorMonitorEnabled
- IoavProtectionEnabled
- OnAccessProtectionEnabled

Если одно или оба из следующих обновлений подписи больше или равно 7:

- AntispywareSignatureAge
- AntivirusSignatureAge

Trend Micro

В таблице описываются сценарии, которые приводят к Defender для облака для создания следующих двух рекомендаций для Trend Micro:

Рекомендация Отображается, когда
Необходимо установить Endpoint Protection на ваших компьютерах Ни один из следующих проверок не выполняется:

- HKLM:\SOFTWARE\TrendMicro\Deep Security Agent существует
- HKLM:\SOFTWARE\TrendMicro\Deep Security Agent\InstallationFolder существует
— файл dsa_query.cmd находится в папке установки
— Выполнение dsa_query.cmd результатов с помощью Component.AM.mode: on - Trend Micro Deep Security Agent обнаружен

Защита конечных точек Symantec

В таблице описываются сценарии, которые приводят к Defender для облака для создания следующих двух рекомендаций по защите конечных точек Symantec:

Рекомендация Отображается, когда
Необходимо установить Endpoint Protection на ваших компьютерах Ни один из следующих проверок не выполняется:

- HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection"
- HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1
Или
- HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection"
- HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1
Необходимо устранить проблемы работоспособности защиты конечных точек на компьютерах Ни один из следующих проверок не выполняется:

— Проверка версии >Symantec = 12: расположение реестра: HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion" -Value "PRODUCTVERSION"
— Проверка состояния защиты в реальном времени: HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\AV\Storages\Filesystem\RealTimeScan\OnOff == 1
— Проверка состояния обновления подписи: HKLM\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\Latest VirusDefsDate <= 7 дней
— Проверка состояния полной проверки: HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LastSuccessfulScanDateTime <= 7 дней
— Поиск пути номера версии подписи к версии подписи для Symantec 12: Путь к реестру+ "CurrentVersion\SharedDefs" -Value "SRTSP"
— Путь к версии подписи для Symantec 14: Путь к реестру+ "CurrentVersion\SharedDefs\SDSDefs" -Value "SRTSP"

Пути к реестру:

- "HKLM:\Software\Symantec\Symantec Endpoint Protection" + $Path;
- "HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection" + $Path

Защита конечных точек McAfee для Windows

В таблице описываются сценарии, которые приводят к Defender для облака для создания следующих двух рекомендаций для защиты конечных точек McAfee для Windows:

Рекомендация Отображается, когда
Необходимо установить Endpoint Protection на ваших компьютерах Ни один из следующих проверок не выполняется:

- HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion существует
- HKLM:\SOFTWARE\McAfee\AVSolution\MCSHIELDGLOBAL\GLOBAL\enableoas = 1.
Необходимо устранить проблемы работоспособности защиты конечных точек на компьютерах Ни один из следующих проверок не выполняется:

— Версия McAfee: HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion >= 10
— Найти версию подписи: HKLM:\Software\McAfee\AVSolution\DS -Value "dwContentMajorVersion"
— Дата поиска подписи: HKLM:\Software\McAfee\AVSolution\DS -Value "szContentCreationDate" >= 7 дней
- Дата поиска: HKLM:\Software\McAfee\Endpoint\AV\ODS -Value "LastFullScanOdsRunTime" >= 7 дней

Безопасность конечных точек McAfee для предотвращения угроз в Linux

В таблице описываются сценарии, которые приводят к Defender для облака для создания следующих двух рекомендаций для McAfee Endpoint Security для защиты от угроз Linux:

Рекомендация Отображается, когда
Необходимо установить Endpoint Protection на ваших компьютерах Ни один из следующих проверок не выполняется:

- Файл /opt/McAfee/ens/tp/bin/mfetpcli существует
Результат - "/opt/McAfee/ens/tp/bin/mfetpcli --version": McAfee name = McAfee Endpoint Security for Linux Threat Prevention and McAfee version >= 10.
Необходимо устранить проблемы работоспособности защиты конечных точек на компьютерах Ни один из следующих проверок не выполняется:

- "/opt/McAfee/ens/tp/bin/mfetpcli --listtask" возвращает быструю проверку, полную проверку и оба сканирования <= 7 дней
- "/opt/McAfee/ens/tp/bin/mfetpcli --listtask" возвращает время обновления DAT и обработчика и оба из них <= 7 дней
- "/opt/McAfee/ens/tp/bin/mfetpcli --getoasconfig --summary" возвращает состояние On Access Scan (Проверка при доступе).

Антивирусная программа Sophos для Linux

В таблице описываются сценарии, которые приводят к Defender для облака для создания следующих двух рекомендаций для антивирусной программы Sophos для Linux:

Рекомендация Отображается, когда
Необходимо установить Endpoint Protection на ваших компьютерах Ни один из следующих проверок не выполняется:

— Файл /opt/sophos-av/bin/savdstatus выходит или ищет настраиваемое расположение "readlink $(который savscan)"
- "/opt/sophos-av/bin/savdstatus --version" возвращает имя Sophos = Sophos Anti-Virus and Sophos version >= 9.
Необходимо устранить проблемы работоспособности защиты конечных точек на компьютерах Ни один из следующих проверок не выполняется:

- "/opt/sophos-av/bin/savlog --maxage=7 | grep -i "Запланированное сканирование .* завершено" | tail -1", возвращает значение
- "/opt/sophos-av/bin/savlog --maxage=7 | grep "scan finished" | tail -1", возвращает значение
- "/opt/sophos-av/bin/savdstatus --lastupdate" возвращает lastUpdate, который должен быть = <7 дней
- "/opt/sophos-av/bin/savdstatus -v" равно "On-access scanning is running" (Выполняется проверка при доступе).
- "/opt/sophos-av/bin/savconfig get LiveProtection" возвращает значение включенного состояния.

Устранение неполадок и поддержка

Устранение неполадок

Журналы расширений Microsoft Antimalware можно найти в следующем расположении: %Systemdrive%\WindowsAzure\Logs\Plugins\Microsoft.Azure.Security.IaaSAntimalware(Or PaaSAntimalware)\1.5.5.x(version#)\CommandExecution.log.

Поддержка

Для получения дополнительной помощи обратитесь к экспертам Azure в службе поддержки сообщества Azure. Кроме того, можно отправить запрос в службу поддержки Azure. Перейдите на сайт поддержки Azure и щелкните "Получить поддержку". Сведения об использовании службы поддержки Azure см. в поддержка Azure распространенных вопросов майкрософт.