Értékelési ellenőrzések végponti észlelés és reagálás megoldásokhoz (MMA)
Felhőhöz készült Microsoft Defender az Endpoint Protection-megoldások támogatott verzióinak állapotfelmérését biztosítja. Ez a cikk azokat a forgatókönyveket ismerteti, amelyek a következő két javaslat létrehozásához vezetnek Felhőhöz készült Defender:
- A végpontvédelmet telepíteni kell a gépekre
- A végpontvédelmi állapottal kapcsolatos problémákat meg kell oldani a gépeken
Feljegyzés
Mivel a Log Analytics-ügynök (más néven MMA) 2024 augusztusában megszűnik, a jelenleg attól függő Defender for Servers összes funkciója, beleértve az ezen az oldalon ismertetetteket is, a kivonási dátum előtt Végponthoz készült Microsoft Defender integrációval vagy ügynök nélküli vizsgálatokkal lesz elérhető. A Jelenleg a Log Analytics-ügynökre támaszkodó összes funkció ütemtervével kapcsolatos további információkért tekintse meg ezt a közleményt.
Tipp.
2021 végén felülvizsgáltuk a végpontvédelmet telepítő javaslatot. Az egyik módosítás hatással van arra, hogy a javaslat hogyan jeleníti meg a kikapcsolt gépeket. Az előző verzióban a kikapcsolt gépek a "Nem alkalmazható" listában jelentek meg. Az újabb javaslatban nem jelennek meg egyik erőforráslistában sem (kifogástalan, nem megfelelő vagy nem alkalmazható).
Windows Defender
A táblázat ismerteti azokat a forgatókönyveket, amelyek Felhőhöz készült Defender a Windows Defenderhez az alábbi két javaslat létrehozásához vezetnek:
| Ajánlás | Akkor jelenik meg, amikor |
|---|---|
| A végpontvédelmet telepíteni kell a gépekre | Get-MpComputerStatus fut, és az eredmény AMServiceEnabled : False |
| A végpontvédelmi állapottal kapcsolatos problémákat meg kell oldani a gépeken | A Get-MpComputerStatus fut, és az alábbiak bármelyike történik: Az alábbi tulajdonságok bármelyike hamis: - AMServiceEnabled - AntispywareEnabled - RealTimeProtectionEnabled - BehaviorMonitorEnabled - IoavProtectionEnabled - OnAccessProtectionEnabled Ha az alábbi tulajdonságok egyike vagy mindkét tulajdonsága 7 vagy több: - AntispywareSignatureAge - AntivirusSignatureAge |
Microsoft System Center végpontvédelem
A táblázat azokat a forgatókönyveket ismerteti, amelyek Felhőhöz készült Defender a Microsoft System Center végpontvédelmére vonatkozó alábbi két javaslat létrehozásához vezetnek:
| Ajánlás | Akkor jelenik meg, amikor |
|---|---|
| A végpontvédelmet telepíteni kell a gépekre | SCEPMpModule ($env:ProgramFiles\Microsoft Security Client\MpProvider\MpProvider.psd1) importálása és a Get-MProtComputerStatus-eredményekfuttatása amServiceEnabled = false |
| A végpontvédelmi állapottal kapcsolatos problémákat meg kell oldani a gépeken | A Get-MprotComputerStatus fut, és az alábbiak bármelyike történik: Az alábbi tulajdonságok közül legalább egy hamis: - AMServiceEnabled - AntispywareEnabled - RealTimeProtectionEnabled - BehaviorMonitorEnabled - IoavProtectionEnabled - OnAccessProtectionEnabled Ha az alábbi aláírási Frissítések egyike vagy mindkettő nagyobb vagy egyenlő 7-nek: - AntispywareSignatureAge - AntivirusSignatureAge |
Trend Micro
A táblázat azokat a forgatókönyveket ismerteti, amelyek Felhőhöz készült Defender a Trend Micro következő két javaslatának létrehozásához vezetnek:
| Ajánlás | Akkor jelenik meg, amikor |
|---|---|
| A végpontvédelmet telepíteni kell a gépekre | az alábbi ellenőrzések egyikét sem teljesíti a következő: - HKLM:\SOFTWARE\TrendMicro\Deep Security Agent létezik - HKLM:\SOFTWARE\TrendMicro\Deep Security Agent\InstallationFolder létezik – A dsa_query.cmd fájl a telepítési mappában található - Dsa_query.cmd eredmények futtatása Component.AM.mode:on – Trend Micro Deep Security Agent észlelve |
Symantec-végpontvédelem
A táblázat azokat a forgatókönyveket ismerteti, amelyek Felhőhöz készült Defender a Symantec-végpontvédelemhez a következő két javaslat létrehozásához vezetnek:
| Ajánlás | Akkor jelenik meg, amikor |
|---|---|
| A végpontvédelmet telepíteni kell a gépekre | az alábbi ellenőrzések egyikét sem teljesíti a következő: - HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection" - HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1 Vagy - HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection" - HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1 |
| A végpontvédelmi állapottal kapcsolatos problémákat meg kell oldani a gépeken | az alábbi ellenőrzések egyikét sem teljesíti a következő: - Ellenőrizze a Symantec verzió >= 12: Beállításjegyzék helyét: HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion" -Value "PRODUCTVERSION" - Ellenőrizze a valós idejű védelem állapotát: HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\AV\Storages\Filesystem\RealTimeScan\OnOff == 1 - Ellenőrizze az aláírás frissítésének állapotát: HKLM\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LatestVirusDefsDate <= 7 nap - Ellenőrizze a teljes vizsgálat állapotát: HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LastSuccessfulScanDateTime <= 7 nap - Aláírási verziószám keresése A Symantec 12 aláírási verziójának elérési útja: Beállításjegyzék elérési útjai+ "CurrentVersion\SharedDefs" -Value "SRTSP" - A Symantec 14 aláírási verziójának elérési útja: Registry Paths+ "CurrentVersion\SharedDefs\SDSDefs" -Value "SRTSP" Beállításjegyzék elérési útjai: - "HKLM:\Software\Symantec\Symantec Endpoint Protection" + $Path; - "HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection" + $Path |
McAfee-végpontvédelem Windowshoz
A táblázat azokat a forgatókönyveket ismerteti, amelyek Felhőhöz készült Defender a Következő két javaslat létrehozását eredményezik a Windows McAfee-végpontvédelemhez:
| Ajánlás | Akkor jelenik meg, amikor |
|---|---|
| A végpontvédelmet telepíteni kell a gépekre | az alábbi ellenőrzések egyikét sem teljesíti a következő: - HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion létezik - HKLM:\SOFTWARE\McAfee\AVSolution\MCSHIELDGLOBAL\GLOBAL\enableoas = 1 |
| A végpontvédelmi állapottal kapcsolatos problémákat meg kell oldani a gépeken | az alábbi ellenőrzések egyikét sem teljesíti a következő: - McAfee verzió: HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion >= 10 - Aláírási verzió keresése: HKLM:\Software\McAfee\AVSolution\DS\DS -Value "dwContentMajorVersion" - Aláírás dátuma: HKLM:\Software\McAfee\AVSolution\DS\DS -Value "szContentCreationDate" >= 7 nap - Keresés dátuma: HKLM:\Software\McAfee\Endpoint\AV\ODS -Value "LastFullScanOdsRunTime" >= 7 nap |
McAfee Endpoint Security linuxos fenyegetésmegelőzéshez
A táblázat azokat a forgatókönyveket ismerteti, amelyek alapján Felhőhöz készült Defender a következő két javaslatot generálják a McAfee Endpoint Security for Linux Threat Prevention számára:
| Ajánlás | Akkor jelenik meg, amikor |
|---|---|
| A végpontvédelmet telepíteni kell a gépekre | az alábbi ellenőrzések egyikét sem teljesíti a következő: - Fájl /opt/McAfee/ens/tp/bin/mfetpcli létezik - "/opt/McAfee/ens/tp/bin/mfetpcli --version" kimenet: McAfee name = McAfee Endpoint Security for Linux Threat Prevention and McAfee version >= 10 |
| A végpontvédelmi állapottal kapcsolatos problémákat meg kell oldani a gépeken | az alábbi ellenőrzések egyikét sem teljesíti a következő: - "/opt/McAfee/ens/tp/bin/mfetpcli --listtask" a gyors vizsgálat, a teljes vizsgálat és mindkét vizsgálat <= 7 nap - "/opt/McAfee/ens/tp/bin/mfetpcli --listtask" a DAT és a motor frissítési <idejét adja vissza, és mindkettő = 7 nap - A "/opt/McAfee/ens/tp/bin/mfetpcli --getoasconfig --summary" az Access-vizsgálat állapotát adja vissza |
Sophos Víruskereső Linuxhoz
A táblázat azokat a forgatókönyveket ismerteti, amelyek Felhőhöz készült Defender a Következő két javaslat létrehozásához a Linuxhoz készült Sophos Víruskeresőhöz:
| Ajánlás | Akkor jelenik meg, amikor |
|---|---|
| A végpontvédelmet telepíteni kell a gépekre | az alábbi ellenőrzések egyikét sem teljesíti a következő: - File /opt/sophos-av/bin/savdstatus exits or searchd testreszabott hely "readlink $(melyik savscan)" - "/opt/sophos-av/bin/savdstatus --version" a Sophos nevét = Sophos Anti-Virus és Sophos version >= 9 |
| A végpontvédelmi állapottal kapcsolatos problémákat meg kell oldani a gépeken | az alábbi ellenőrzések egyikét sem teljesíti a következő: - "/opt/sophos-av/bin/savlog --maxage=7 | grep -i "Ütemezett vizsgálat .* befejezve" | tail -1", egy értéket ad vissza - "/opt/sophos-av/bin/savlog --maxage=7 | grep "scan finished" | tail -1", egy értéket ad vissza - A "/opt/sophos-av/bin/savdstatus --lastupdate" a lastUpdate értéket adja vissza, amelynek = 7 napnak kell lennie < - "/opt/sophos-av/bin/savdstatus -v" egyenlő " A hozzáférésen belüli vizsgálat fut" - "/opt/sophos-av/bin/savconfig get LiveProtection" visszatérés engedélyezve |
Hibaelhárítás és támogatás
Hibaelhárítás
A Microsoft Antimalware bővítménynaplói a következő címen érhetők el: %Systemdrive%\WindowsAzure\Logs\Plugins\Microsoft.Azure.Security.IaaSAntimalware(Or PaaSAntimalware)\1.5.5.x(version#)\CommandExecution.log
Támogatás
További segítségért forduljon az Azure-szakértőkhöz az Azure közösségi támogatási szolgálatában. Vagy Azure-támogatás incidenst. Lépjen a Azure-támogatás webhelyre, és válassza a Támogatás kérése lehetőséget. Az Azure-támogatás használatával kapcsolatos információkért olvassa el a Microsoft Azure-támogatás gyakori kérdéseket.