Controlli di valutazione per le soluzioni rilevamento e reazione dagli endpoint (MMA)
Microsoft Defender per il cloud fornisce valutazioni dell'integrità delle versioni supportate delle soluzioni di Endpoint Protection. Questo articolo illustra gli scenari che portano Defender per il cloud generare le due raccomandazioni seguenti:
- Endpoint Protection deve essere installato nei computer
- È consigliabile risolvere i problemi di integrità di Endpoint Protection nei computer
Nota
Poiché l'agente di Log Analytics (noto anche come MMA) è impostato su ritiro nel mese di agosto 2024, tutte le funzionalità di Defender per server che attualmente dipendono da essa, incluse quelle descritte in questa pagina, saranno disponibili tramite l'integrazione Microsoft Defender per endpoint o l'analisi senza agente, prima della data di ritiro. Per altre informazioni sulla roadmap per ognuna delle funzionalità attualmente basate sull'agente di Log Analytics, vedere questo annuncio.
Suggerimento
Alla fine del 2021 è stata modificata la raccomandazione che installa Endpoint Protection. Una delle modifiche influisce sul modo in cui la raccomandazione visualizza i computer spenti. Nella versione precedente, i computer disattivati sono stati visualizzati nell'elenco "Non applicabile". Nella raccomandazione più recente non vengono visualizzate in nessuno degli elenchi di risorse (integro, non integro o non applicabile).
Windows Defender
La tabella illustra gli scenari che Defender per il cloud generare i due consigli seguenti per Windows Defender:
| Elemento consigliato | Viene visualizzato quando |
|---|---|
| Endpoint Protection deve essere installato nei computer | Get-MpComputerStatus viene eseguito e il risultato è AMServiceEnabled: False |
| È consigliabile risolvere i problemi di integrità di Endpoint Protection nei computer | Get-MpComputerStatus viene eseguito e si verifica una delle operazioni seguenti: Una delle proprietà seguenti è false: - AMServiceEnabled - AntispywareEnabled - RealTimeProtectionEnabled - BehaviorMonitorEnabled - IoavProtectionEnabled - OnAccessProtectionEnabled Se una o entrambe le proprietà seguenti sono 7 o più: - AntispywareSignatureAge - AntivirusSignatureAge |
Microsoft System Center Endpoint Protection
La tabella illustra gli scenari che portano Defender per il cloud a generare le due raccomandazioni seguenti per Microsoft System Center Endpoint Protection:
| Elemento consigliato | Viene visualizzato quando |
|---|---|
| Endpoint Protection deve essere installato nei computer | importazione di SCEPMpModule ("$env:ProgramFiles\Microsoft Security Client\MpProvider\MpProvider.psd1") e l'esecuzione di Get-MProtComputerStatus restituisce AMServiceEnabled = false |
| È consigliabile risolvere i problemi di integrità di Endpoint Protection nei computer | Get-MprotComputerStatus viene eseguito e si verifica una delle operazioni seguenti: Almeno una delle proprietà seguenti è false: - AMServiceEnabled - AntispywareEnabled - RealTimeProtectionEnabled - BehaviorMonitorEnabled - IoavProtectionEnabled - OnAccessProtectionEnabled Se uno o entrambi i seguenti Aggiornamenti signature sono maggiori o uguali a 7: - AntispywareSignatureAge - AntivirusSignatureAge |
Trend Micro
La tabella illustra gli scenari che portano Defender per il cloud a generare le due raccomandazioni seguenti per Trend Micro:
| Elemento consigliato | Viene visualizzato quando |
|---|---|
| Endpoint Protection deve essere installato nei computer | non vengono soddisfatti i controlli seguenti: - HKLM:\SOFTWARE\TrendMicro\Deep Security Agent esiste - HKLM:\SOFTWARE\TrendMicro\Deep Security Agent\InstallationFolder esiste - Il file dsa_query.cmd si trova nella cartella di installazione - Esecuzione di risultati dsa_query.cmd con Component.AM.mode: in - Rilevato Agente di sicurezza avanzata di tendenza |
Symantec Endpoint Protection
La tabella illustra gli scenari che Defender per il cloud generare le due raccomandazioni seguenti per Symantec Endpoint Protection:
| Elemento consigliato | Viene visualizzato quando |
|---|---|
| Endpoint Protection deve essere installato nei computer | non vengono soddisfatti i controlli seguenti: - HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection" - HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1 Oppure - HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection" - HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1 |
| È consigliabile risolvere i problemi di integrità di Endpoint Protection nei computer | non vengono soddisfatti i controlli seguenti: - Controllare symantec versione >= 12: percorso del Registro di sistema: HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion" -Value "PRODUCTVERSION" - Controllare lo stato della protezione in tempo reale: HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\AV\Archiviazione s\Filesystem\RealTimeScan\OnOff == 1 - Controllare lo stato dell'aggiornamento della firma: HKLM\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LatestVirusDefsDate <= 7 giorni - Controllare lo stato dell'analisi completa: HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LastSuccessfulScanDateTime <= 7 giorni - Trovare il numero di versione della firma Percorso della versione della firma per Symantec 12: Percorsi del Registro di sistema+ "CurrentVersion\SharedDefs" -Valore "SRTSP" - Percorso della versione della firma per Symantec 14: Percorsi del Registro di sistema+ "CurrentVersion\SharedDefs\SDSDefs" -Value "SRTSP" Percorsi del Registro di sistema: - "HKLM:\Software\Symantec\Symantec Endpoint Protection" + $Path; - "HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection" + $Path |
McAfee Endpoint Protection per Windows
La tabella illustra gli scenari che Defender per il cloud generare le due raccomandazioni seguenti per McAfee Endpoint Protection per Windows:
| Elemento consigliato | Viene visualizzato quando |
|---|---|
| Endpoint Protection deve essere installato nei computer | non vengono soddisfatti i controlli seguenti: - HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion esiste - HKLM:\SOFTWARE\McAfee\AVSolution\MCSHIELDGLOBAL\GLOBAL\enableoas = 1 |
| È consigliabile risolvere i problemi di integrità di Endpoint Protection nei computer | non vengono soddisfatti i controlli seguenti: - Versione mcAfee: HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion >= 10 - Trova la versione della firma: HKLM:\Software\McAfee\AVSolution\DS\DS -Value "dwContentMajorVersion" - Trova data firma: HKLM:\Software\McAfee\AVSolution\DS\DS -Value "szContentCreationDate" >= 7 giorni - Trova la data di analisi: HKLM:\Software\McAfee\Endpoint\AV\ODS -Value "LastFullScanOdsRunTime" >= 7 giorni |
McAfee Endpoint Security for Linux Threat Prevention
La tabella illustra gli scenari che portano Defender per il cloud a generare le due raccomandazioni seguenti per McAfee Endpoint Security per Linux Threat Prevention:
| Elemento consigliato | Viene visualizzato quando |
|---|---|
| Endpoint Protection deve essere installato nei computer | non vengono soddisfatti i controlli seguenti: - Esiste il file /opt/McAfee/ens/tp/bin/mfetpcli - L'output "/opt/McAfee/ens/tp/bin/mfetpcli --version" è: McAfee Endpoint Security per Linux Threat Prevention e McAfee version >= 10 |
| È consigliabile risolvere i problemi di integrità di Endpoint Protection nei computer | non vengono soddisfatti i controlli seguenti: - "/opt/McAfee/ens/tp/bin/mfetpcli --listtask" restituisce Analisi rapida, Analisi completa e entrambe le analisi <= 7 giorni - "/opt/McAfee/ens/tp/bin/mfetpcli --listtask" restituisce DAT e l'ora di aggiornamento del <motore e entrambi = 7 giorni - "/opt/McAfee/ens/tp/bin/mfetpcli --getoasconfig --summary" restituisce lo stato di Analisi di accesso |
Antivirus Sophos per Linux
La tabella illustra gli scenari che portano Defender per il cloud a generare le due raccomandazioni seguenti per Sophos Antivirus per Linux:
| Elemento consigliato | Viene visualizzato quando |
|---|---|
| Endpoint Protection deve essere installato nei computer | non vengono soddisfatti i controlli seguenti: - File /opt/sophos-av/bin/savdstatus exits o cercare la posizione personalizzata "readlink $(which savscan)" - "/opt/sophos-av/bin/savdstatus --version" restituisce Sophos name = Sophos Anti-Virus e Sophos version >= 9 |
| È consigliabile risolvere i problemi di integrità di Endpoint Protection nei computer | non vengono soddisfatti i controlli seguenti: - "/opt/sophos-av/bin/savlog --maxage=7 | grep -i "Scheduled scan .* completed" | tail -1", restituisce un valore - "/opt/sophos-av/bin/savlog --maxage=7 | grep "scan finished" | tail -1", restituisce un valore - "/opt/sophos-av/bin/savdstatus --lastupdate" restituisce lastUpdate, che deve essere <= 7 giorni - "/opt/sophos-av/bin/savdstatus -v" è uguale a "L'analisi all'accesso è in esecuzione" - "/opt/sophos-av/bin/savconfig get LiveProtection" restituisce abilitato |
Risoluzione dei problemi e supporto
Risoluzione dei problemi
I log dell'estensione Microsoft Antimalware sono disponibili all'indirizzo: %Systemdrive%\WindowsAzure\Logs\Plugins\Microsoft.Azure.Security.IaaSAntimalware(Or PaaSAntimalware)\1.5.5.x(version#)\CommandExecution.log
Supporto tecnico
Per altre informazioni, contattare gli esperti di Azure nel supporto della community di Azure. Oppure inviare un evento imprevisto supporto tecnico di Azure. Accedere al sito del supporto di Azure e selezionare l'opzione desiderata per ottenere supporto. Per informazioni sull'uso del supporto tecnico di Azure, leggere le domande comuni su Microsoft supporto tecnico di Azure.