エンドポイント検出と応答ソリューションの評価チェック

  • [アーティクル]

Microsoft Defender for Cloud では、Endpoint Protection ソリューションのサポートされるバージョンの正常性評価が提供されます。 この記事では、Defender for Cloud で次の 2 つの推奨事項を生成するシナリオについて説明します。

Note

Log Analytics エージェント (MMA とも呼ばれます) は 2024 年 8 月に廃止される予定であるため、このページで説明されているものも含め、現在それに依存しているすべての Defender for Servers 機能は、廃止日の前に、Microsoft Defender for Endpoint 統合またはエージェントレス スキャンを通じて使用できるようになります。 Log Analytics エージェントに現在依存している各機能のロードマップの詳細については、この発表を参照してください。

ヒント

2021 年の終わりに、エンドポイント保護をインストールする推奨事項を変更しました。 変更の 1 つは、電源がオフになっているマシンについて推奨事項での表示方法についてです。 以前のバージョンでは、電源をオフにされたマシンは [適用できません] の一覧に表示されました。 新しい推奨事項では、どのリソース リスト (正常、異常、適用できません) にも表示されません。

Windows Defender

推奨事項 表示されるタイミング
エンドポイント保護をマシンにインストールする必要がある Get-MpComputerStatus が実行され、結果が AMServiceEnabled: False である場合
Endpoint Protection の正常性の問題を、お使いのコンピューターで解決する必要があります Get-MpComputerStatus が実行され、以下のいずれかが発生する場合。

次のプロパティのいずれかが false である場合。

- AMServiceEnabled
- AntispywareEnabled
- RealTimeProtectionEnabled
- BehaviorMonitorEnabled
- IoavProtectionEnabled
- OnAccessProtectionEnabled

次のプロパティの一方または両方が 7 以上である場合。

- AntispywareSignatureAge
- AntivirusSignatureAge

Microsoft System Center Endpoint Protection

推奨事項 表示されるタイミング
エンドポイント保護をマシンにインストールする必要がある SCEPMpModule ("$env:ProgramFiles\Microsoft Security Client\MpProvider\MpProvider.psd1") をインポートし、Get-MProtComputerStatus を実行した結果が、AMServiceEnabled = false である場合
Endpoint Protection の正常性の問題を、お使いのコンピューターで解決する必要があります Get-MprotComputerStatus が実行され、以下のいずれかが発生する場合。

次のプロパティの少なくとも 1 つが false である。

- AMServiceEnabled
- AntispywareEnabled
- RealTimeProtectionEnabled
- BehaviorMonitorEnabled
- IoavProtectionEnabled
- OnAccessProtectionEnabled

次のシグネチャの更新のいずれかまたは両方が 7 以上である場合。

- AntispywareSignatureAge
- AntivirusSignatureAge

Trend Micro

推奨事項 表示されるタイミング
エンドポイント保護をマシンにインストールする必要がある 以下のチェックのいずれかが満たされていない場合。

- HKLM:\SOFTWARE\TrendMicro\Deep Security Agent が存在する
- HKLM:\SOFTWARE\TrendMicro\Deep Security Agent\InstallationFolder が存在する
- インストール フォルダーで dsa_query.cmd ファイルが見つかる
- dsa_query.cmd の実行結果が Component.AM.mode: on - Trend Micro Deep Security Agent detected である

Symantec Endpoint Protection

推奨事項 表示されるタイミング
エンドポイント保護をマシンにインストールする必要がある 以下のチェックのいずれかが満たされていない場合。

- HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection"
- HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1
または
- HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection"
- HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1
Endpoint Protection の正常性の問題を、お使いのコンピューターで解決する必要があります 以下のチェックのいずれかが満たされていない場合。

- Symantec バージョン >= 12 のチェック: レジストリの場所: HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion" -Value "PRODUCTVERSION"
- リアルタイム保護状態のチェック: HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\AV\Storages\Filesystem\RealTimeScan\OnOff == 1
- シグネチャ更新状態のチェック: HKLM\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LatestVirusDefsDate <= 7 days
- フル スキャン状態のチェック: HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LastSuccessfulScanDateTime <= 7 days
- Symantec 12 のシグネチャ バージョンへのシグネチャ バージョン番号パスの検出: Registry Paths+ "CurrentVersion\SharedDefs" -Value "SRTSP"
- Symantec 14 のシグネチャ バージョンへのパス: Registry Paths+ "CurrentVersion\SharedDefs\SDSDefs" -Value "SRTSP"

レジストリ パス:

- "HKLM:\Software\Symantec\Symantec Endpoint Protection" + $Path;
- "HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection" + $Path

McAfee Endpoint Protection for Windows

推奨事項 表示されるタイミング
エンドポイント保護をマシンにインストールする必要がある 以下のチェックのいずれかが満たされていない場合。

- HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion が存在する
- HKLM:\SOFTWARE\McAfee\AVSolution\MCSHIELDGLOBAL\GLOBAL\enableoas = 1
Endpoint Protection の正常性の問題を、お使いのコンピューターで解決する必要があります 以下のチェックのいずれかが満たされていない場合。

- McAfee バージョン: HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion >= 10
- シグネチャ バージョンの検出: HKLM:\Software\McAfee\AVSolution\DS\DS -Value "dwContentMajorVersion"
- シグネチャの日付の検出: HKLM:\Software\McAfee\AVSolution\DS\DS -Value "szContentCreationDate" >= 7 days
- スキャンの日付の検出: HKLM:\Software\McAfee\Endpoint\AV\ODS -Value "LastFullScanOdsRunTime" >= 7 days

Linux 向け McAfee エンドポイント セキュリティの脅威防止

推奨事項 表示されるタイミング
エンドポイント保護をマシンにインストールする必要がある 以下のチェックのいずれかが満たされていない場合。

- ファイル /opt/McAfee/ens/tp/bin/mfetpcli が存在する
- "/opt/McAfee/ens/tp/bin/mfetpcli --version" の出力: McAfee name = McAfee Endpoint Security for Linux Threat Prevention and McAfee version >= 10
Endpoint Protection の正常性の問題を、お使いのコンピューターで解決する必要があります 以下のチェックのいずれかが満たされていない場合。

- "/opt/McAfee/ens/tp/bin/mfetpcli --listtask"Quick scan、Full scan を返し、両方のスキャンが <= 7 days を満たす
- "/opt/McAfee/ens/tp/bin/mfetpcli --listtask"DAT と engine Update time を返し、それら両方が <= 7 days を満たす
- "/opt/McAfee/ens/tp/bin/mfetpcli --getoasconfig --summary" から On Access Scan の状態が返される

Linux 向け Sophos Antivirus

推奨事項 表示されるタイミング
エンドポイント保護をマシンにインストールする必要がある 以下のチェックのいずれかが満たされていない場合。

- ファイル /opt/sophos-av/bin/savdstatus が存在する、またはカスタマイズされた場所 "readlink $(which savscan)" を検索する
- "/opt/sophos-av/bin/savdstatus --version" から Sophos 名 = Sophos Anti-Virus and Sophos version >= 9 が返される
Endpoint Protection の正常性の問題を、お使いのコンピューターで解決する必要があります 以下のチェックのいずれかが満たされていない場合。

- "/opt/sophos-av/bin/savlog --maxage=7 | grep -i "Scheduled scan .* completed" | tail -1", が値を返す
- "/opt/sophos-av/bin/savlog --maxage=7 | grep "scan finished" | tail -1", が値を返す
- "/opt/sophos-av/bin/savdstatus --lastupdate" が lastUpdate を返し、これが <= 7 days を満たす
- "/opt/sophos-av/bin/savdstatus -v""On-access scanning is running" に等しい
- "/opt/sophos-av/bin/savconfig get LiveProtection" から有効が返される

トラブルシューティングとサポート

トラブルシューティング

Microsoft Antimalware 拡張機能のログは、 %Systemdrive%\WindowsAzure\Logs\Plugins\Microsoft.Azure.Security.IaaSAntimalware(または PaaSAntimalware)\1.5.5.x(バージョン #)\CommandExecution.log で入手できます

サポート

追加のサポートが必要な場合、「Azure コミュニティ サポート」から Azure エキスパートにお問い合わせください。 または、Azure サポート インシデントを送信します。 その場合は、Azure サポートのサイトに移動して、[サポートの要求] をクリックします。 Azure サポートの使用方法の詳細については、Microsoft Azure サポートに関する一般的な質問に関するページを参照してください。