Verificações de avaliação para soluções de deteção e resposta de pontos finais (MMA)
O Microsoft Defender for Cloud fornece avaliações de integridade de versões suportadas das soluções de proteção de ponto final. Este artigo explica os cenários que levam o Defender for Cloud a gerar as duas recomendações a seguir:
- O Endpoint Protection deve ser instalado nas suas máquinas
- Os problemas de integridade da proteção de endpoint devem ser resolvidos em suas máquinas
Nota
Como o agente do Log Analytics (também conhecido como MMA) está programado para se aposentar em agosto de 2024, todos os recursos do Defender for Servers que dependem dele atualmente, incluindo os descritos nesta página, estarão disponíveis por meio da integração do Microsoft Defender for Endpoint ou da verificação sem agente, antes da data de desativação. Para obter mais informações sobre o roteiro para cada um dos recursos que dependem atualmente do Log Analytics Agent, consulte este anúncio.
Gorjeta
No final de 2021, revisamos a recomendação de instalação do endpoint protection. Uma das alterações afeta a forma como a recomendação exibe as máquinas que estão desligadas. Na versão anterior, as máquinas que estavam desligadas apareciam na lista 'Não aplicável'. Na recomendação mais recente, eles não aparecem em nenhuma das listas de recursos (íntegros, não íntegros ou não aplicáveis).
Windows Defender
A tabela explica os cenários que levam o Defender for Cloud a gerar as duas recomendações a seguir para o Windows Defender:
| Recomendação | Aparece quando |
|---|---|
| O Endpoint Protection deve ser instalado nas suas máquinas | Get-MpComputerStatus é executado e o resultado é AMServiceEnabled: False |
| Os problemas de integridade da proteção de endpoint devem ser resolvidos em suas máquinas | Get-MpComputerStatus é executado e qualquer uma das seguintes situações ocorre: Qualquer uma das seguintes propriedades é falsa: - AMServiceEnabled - AntispywareAtivado - RealTimeProtectionEnabled - BehaviorMonitorEnabled - IoavProtectionEnabled - OnAccessProtectionEnabled Se uma ou ambas as seguintes propriedades forem 7 ou mais: - AntispywareSignatureAge - AntivirusSignatureAge |
Proteção de ponto de extremidade do Microsoft System Center
A tabela explica os cenários que levam o Defender for Cloud a gerar as duas recomendações a seguir para a proteção de ponto de extremidade do Microsoft System Center:
| Recomendação | Aparece quando |
|---|---|
| O Endpoint Protection deve ser instalado nas suas máquinas | importar SCEPMpModule ("$env:ProgramFiles\Microsoft Security Client\MpProvider\MpProvider.psd1") e executar Get-MProtComputerStatus resulta em AMServiceEnabled = false |
| Os problemas de integridade da proteção de endpoint devem ser resolvidos em suas máquinas | Get-MprotComputerStatus é executado e qualquer uma das seguintes situações ocorre: Pelo menos uma das seguintes propriedades é false: - AMServiceEnabled - AntispywareAtivado - RealTimeProtectionEnabled - BehaviorMonitorEnabled - IoavProtectionEnabled - OnAccessProtectionEnabled Se uma ou ambas as seguintes Atualizações de Assinatura forem maiores ou iguais a 7: - AntispywareSignatureAge - AntivirusSignatureAge |
Trend Micro
A tabela explica os cenários que levam o Defender for Cloud a gerar as duas recomendações a seguir para a Trend Micro:
| Recomendação | Aparece quando |
|---|---|
| O Endpoint Protection deve ser instalado nas suas máquinas | Qualquer uma das seguintes verificações não é atendida: - HKLM:\SOFTWARE\TrendMicro\Deep Security Agent existe - HKLM:\SOFTWARE\TrendMicro\Deep Security Agent\InstallationFolder existe - O arquivo dsa_query.cmd é encontrado na pasta de instalação - Executando dsa_query.cmd resultados com Component.AM.mode: em - Trend Micro Deep Security Agent detetado |
Proteção de endpoint da Symantec
A tabela explica os cenários que levam o Defender for Cloud a gerar as duas recomendações a seguir para a proteção de endpoint da Symantec:
| Recomendação | Aparece quando |
|---|---|
| O Endpoint Protection deve ser instalado nas suas máquinas | Qualquer uma das seguintes verificações não é atendida: - HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection" - HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1 Ou - HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection" - HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1 |
| Os problemas de integridade da proteção de endpoint devem ser resolvidos em suas máquinas | Qualquer uma das seguintes verificações não é atendida: - Verifique a versão >da Symantec = 12: Local do registro: HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion" -Value "PRODUCTVERSION" - Verifique o status da proteção em tempo real: HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\AV\Storages\Filesystem\RealTimeScan\OnOff == 1 - Verifique o status da Atualização de Assinatura: HKLM\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LatestVirusDefsDate <= 7 dias - Verifique o status da verificação completa: HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LastSuccessfulScanDateTime <= 7 dias - Encontre o número da versão da assinatura Caminho para a versão da assinatura para o Symantec 12: Registry Paths+ "CurrentVersion\SharedDefs" -Value "SRTSP" - Caminho para a versão de assinatura para Symantec 14: Registry Paths+ "CurrentVersion\SharedDefs\SDSDefs" -Value "SRTSP" Caminhos do Registro: - "HKLM:\Software\Symantec\Symantec Endpoint Protection" + $Path; - "HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection" + $Path |
Proteção de pontos finais da McAfee para Windows
A tabela explica os cenários que levam o Defender for Cloud a gerar as duas recomendações a seguir para o McAfee endpoint protection for Windows:
| Recomendação | Aparece quando |
|---|---|
| O Endpoint Protection deve ser instalado nas suas máquinas | Qualquer uma das seguintes verificações não é atendida: - HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion existe - HKLM:\SOFTWARE\McAfee\AVSolution\MCSHIELDGLOBAL\GLOBAL\enableoas = 1 |
| Os problemas de integridade da proteção de endpoint devem ser resolvidos em suas máquinas | Qualquer uma das seguintes verificações não é atendida: - Versão McAfee: HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion >= 10 - Encontre a versão da assinatura: HKLM:\Software\McAfee\AVSolution\DS\DS -Value "dwContentMajorVersion" - Encontrar data de assinatura: HKLM:\Software\McAfee\AVSolution\DS\DS -Value "szContentCreationDate" >= 7 dias - Encontrar data de verificação: HKLM:\Software\McAfee\Endpoint\AV\ODS -Value "LastFullScanOdsRunTime" >= 7 dias |
Prevenção de ameaças do McAfee Endpoint Security para Linux
A tabela explica os cenários que levam o Defender for Cloud a gerar as duas recomendações a seguir para o McAfee Endpoint Security for Linux Threat Prevention:
| Recomendação | Aparece quando |
|---|---|
| O Endpoint Protection deve ser instalado nas suas máquinas | Qualquer uma das seguintes verificações não é atendida: - O arquivo /opt/McAfee/ens/tp/bin/mfetpcli existe - A saída "/opt/McAfee/ens/tp/bin/mfetpcli --version" é: Nome da McAfee = McAfee Endpoint Security for Linux Threat Prevention e McAfee versão >= 10 |
| Os problemas de integridade da proteção de endpoint devem ser resolvidos em suas máquinas | Qualquer uma das seguintes verificações não é atendida: - "/opt/McAfee/ens/tp/bin/mfetpcli --listtask" retorna Verificação rápida, verificação completa e ambas as verificações <= 7 dias - "/opt/McAfee/ens/tp/bin/mfetpcli --listtask" retorna o tempo de atualização do DAT e do <mecanismo e ambos = 7 dias - "/opt/McAfee/ens/tp/bin/mfetpcli --getoasconfig --summary" retorna o status da varredura de acesso |
Sophos Antivírus para Linux
A tabela explica os cenários que levam o Defender for Cloud a gerar as duas recomendações a seguir para o Sophos Antivirus for Linux:
| Recomendação | Aparece quando |
|---|---|
| O Endpoint Protection deve ser instalado nas suas máquinas | Qualquer uma das seguintes verificações não é atendida: - Saídas de arquivo /opt/sophos-av/bin/savdstatus ou procure por localização personalizada "readlink $(which savscan)" - "/opt/sophos-av/bin/savdstatus --version" retorna o nome do Sophos = Sophos Anti-Virus e Sophos versão >= 9 |
| Os problemas de integridade da proteção de endpoint devem ser resolvidos em suas máquinas | Qualquer uma das seguintes verificações não é atendida: - "/opt/sophos-av/bin/savlog --maxage=7 | grep -i "Análise programada .* concluída" | tail -1", retorna um valor - "/opt/sophos-av/bin/savlog --maxage=7 | grep "scan finished" | tail -1", retorna um valor - "/opt/sophos-av/bin/savdstatus --lastupdate" retorna lastUpdate, que deve ser <= 7 dias - "/opt/sophos-av/bin/savdstatus -v" é igual a "A varredura ao acessar está em execução" - "/opt/sophos-av/bin/savconfig get LiveProtection" retorna ativado |
Solução de problemas e suporte
Resolver problemas
Os logs de extensão do Microsoft Antimalware estão disponíveis em: %Systemdrive%\WindowsAzure\Logs\Plugins\Microsoft.Azure.Security.IaaSAntimalware(Or PaaSAntimalware)\1.5.5.x(version#)\CommandExecution.log
Suporte
Para obter mais ajuda, contacte os especialistas do Azure no Suporte da Comunidade do Azure. Ou registre um incidente de suporte do Azure. Vá para o site de suporte do Azure e selecione Obter suporte. Para obter informações sobre como usar o Suporte do Azure, leia as perguntas comuns de suporte do Microsoft Azure.