uç noktada algılama ve yanıtlama çözümleri için değerlendirme denetimleri (MMA)
Bulut için Microsoft Defender, Uç nokta koruma çözümlerinin desteklenen sürümlerinin sistem durumu değerlendirmelerini sağlar. Bu makalede, aşağıdaki iki önerinin oluşturulmasına Bulut için Defender yol açan senaryolar açıklanmaktadır:
- Uç nokta koruması makinelerinize yüklenmelidir
- Uç nokta koruma sistem durumu sorunları makinelerinizde çözülmelidir
Not
Log Analytics aracısı (MMA olarak da bilinir) Ağustos 2024'te kullanımdan kaldırılacak şekilde ayarlandığından, bu sayfada açıklananlar da dahil olmak üzere şu anda buna bağımlı olan tüm Sunucular için Defender özellikleri, kullanımdan kaldırma tarihinden önce Uç Nokta için Microsoft Defender tümleştirme veya aracısız tarama aracılığıyla kullanılabilir. Şu anda Log Analytics Aracısı'na bağlı olan özelliklerin her biri için yol haritası hakkında daha fazla bilgi için bu duyuruya bakın.
İpucu
2021'in sonunda uç nokta korumasını yükleyen öneriyi gözden geçirdik. Değişikliklerden biri, önerinin kapatılmış makineleri görüntüleme biçimini etkiler. Önceki sürümde, kapatılan makineler 'Uygulanamaz' listesinde görünüyordu. Daha yeni öneride, kaynak listelerinin hiçbirinde (iyi durumda, iyi durumda değil veya geçerli değil) gösterilmez.
Windows Defender
Tabloda, Windows Defender için aşağıdaki iki önerinin oluşturulmasına Bulut için Defender yol açan senaryolar açıklanmaktadır:
| Öneri | Görüntülendiğinde |
|---|---|
| Uç nokta koruması makinelerinize yüklenmelidir | Get-MpComputerStatus çalışır ve sonuç AMServiceEnabled: False olur |
| Uç nokta koruma sistem durumu sorunları makinelerinizde çözülmelidir | Get-MpComputerStatus çalışır ve aşağıdakilerden herhangi biri gerçekleşir: Aşağıdaki özelliklerden herhangi biri yanlıştır: - AMServiceEnabled - Casus yazılımdan korumaEnabled - RealTimeProtectionEnabled - BehaviorMonitorEnabled - IoavProtectionEnabled - OnAccessProtectionEnabled Aşağıdaki özelliklerden biri veya her ikisi de 7 veya daha fazlaysa: - AntispywareSignatureAge - AntivirusSignatureAge |
Microsoft System Center uç nokta koruması
Tabloda, Bulut için Defender Microsoft System Center uç nokta koruması için aşağıdaki iki öneriyi oluşturmasına neden olan senaryolar açıklanmaktadır:
| Öneri | Görüntülendiğinde |
|---|---|
| Uç nokta koruması makinelerinize yüklenmelidir | SCEPMpModule'u içeri aktarma ("$env:ProgramFiles\Microsoft Security Client\MpProvider\MpProvider.psd1") ve Get-MProtComputerStatus'un çalıştırılması AMServiceEnabled = false sonucunu verir |
| Uç nokta koruma sistem durumu sorunları makinelerinizde çözülmelidir | Get-MprotComputerStatus çalışır ve aşağıdakilerden herhangi biri gerçekleşir: Aşağıdaki özelliklerden en az biri yanlıştır: - AMServiceEnabled - Casus yazılımdan korumaEnabled - RealTimeProtectionEnabled - BehaviorMonitorEnabled - IoavProtectionEnabled - OnAccessProtectionEnabled Aşağıdaki İmza Güncelleştirmeler biri veya her ikisi de 7'ye eşit veya daha büyükse: - AntispywareSignatureAge - AntivirusSignatureAge |
Trend Micro
Tabloda, Trend Micro için aşağıdaki iki önerinin oluşturulmasına Bulut için Defender yol açan senaryolar açıklanmaktadır:
| Öneri | Görüntülendiğinde |
|---|---|
| Uç nokta koruması makinelerinize yüklenmelidir | aşağıdaki denetimlerden herhangi biri karşılanmaz: - HKLM:\SOFTWARE\TrendMicro\Deep Security Agent mevcut - HKLM:\SOFTWARE\TrendMicro\Deep Security Agent\InstallationFolder var - dsa_query.cmd dosyası Yükleme Klasörü'nde bulunur - Component.AM.mode ile dsa_query.cmd sonuçları çalıştırma: açık - Trend Micro Deep Security Agent algılandı |
Symantec uç nokta koruması
Tabloda, Symantec uç nokta koruması için aşağıdaki iki önerinin oluşturulmasına Bulut için Defender yol açan senaryolar açıklanmaktadır:
| Öneri | Görüntülendiğinde |
|---|---|
| Uç nokta koruması makinelerinize yüklenmelidir | aşağıdaki denetimlerden herhangi biri karşılanmaz: - HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection" - HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1 Veya - HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection" - HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1 |
| Uç nokta koruma sistem durumu sorunları makinelerinizde çözülmelidir | aşağıdaki denetimlerden herhangi biri karşılanmaz: - Symantec Sürüm >= 12'ye bakın: Kayıt defteri konumu: HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion" -Value "PRODUCTVERSION" - Gerçek Zamanlı Koruma durumunu denetleyin: HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\AV\Depolama s\Filesystem\RealTimeScan\OnOff == 1 - İmza Güncelleştirme durumunu denetleyin: HKLM\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LatestVirusDefsDate <= 7 gün - Tam Tarama durumunu denetleyin: HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LastSuccessfulScanDateTime <= 7 gün - İmza sürüm numarasını bulma Symantec 12 için imza sürümü yolu: Kayıt Defteri Yolları+ "CurrentVersion\SharedDefs" -Value "SRTSP" - Symantec 14 için imza sürümü yolu: Kayıt Defteri Yolları+ "CurrentVersion\SharedDefs\SDSDefs" -Value "SRTSP" Kayıt Defteri Yolları: - "HKLM:\Software\Symantec\Symantec Endpoint Protection" + $Path; - "HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection" + $Path |
Windows için McAfee uç nokta koruması
Tabloda, Bulut için Defender Windows için McAfee uç nokta koruması için aşağıdaki iki öneriyi oluşturmasına neden olan senaryolar açıklanmaktadır:
| Öneri | Görüntülendiğinde |
|---|---|
| Uç nokta koruması makinelerinize yüklenmelidir | aşağıdaki denetimlerden herhangi biri karşılanmaz: - HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion var - HKLM:\SOFTWARE\McAfee\AVSolution\MCSHIELDGLOBAL\GLOBAL\enableoas = 1 |
| Uç nokta koruma sistem durumu sorunları makinelerinizde çözülmelidir | aşağıdaki denetimlerden herhangi biri karşılanmaz: - McAfee Sürümü: HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion >= 10 - İmza sürümünü bul: HKLM:\Software\McAfee\AVSolution\DS\DS -Value "dwContentMajorVersion" - İmza bulma tarihi: HKLM:\Software\McAfee\AVSolution\DS\DS -Value "szContentCreationDate" >= 7 gün - Tarama tarihini bulma: HKLM:\Software\McAfee\Endpoint\AV\ODS -Value "LastFullScanOdsRunTime" >= 7 gün |
Linux Için McAfee Endpoint Security Tehdit Önleme
Tabloda, linux tehdit önleme için McAfee Endpoint Security için aşağıdaki iki öneriyi oluşturmaya Bulut için Defender yol açan senaryolar açıklanmaktadır:
| Öneri | Görüntülendiğinde |
|---|---|
| Uç nokta koruması makinelerinize yüklenmelidir | aşağıdaki denetimlerden herhangi biri karşılanmaz: - Dosya /opt/McAfee/ens/tp/bin/mfetpcli var - "/opt/McAfee/ens/tp/bin/mfetpcli --version" çıktısı: McAfee name = McAfee Endpoint Security for Linux Threat Prevention and McAfee version >= 10 |
| Uç nokta koruma sistem durumu sorunları makinelerinizde çözülmelidir | aşağıdaki denetimlerden herhangi biri karşılanmaz: - "/opt/McAfee/ens/tp/bin/mfetpcli --listtask"Hızlı tarama, Tam tarama ve taramaların <her ikisini de döndürür = 7 gün - "/opt/McAfee/ens/tp/bin/mfetpcli --listtask" DAT ve altyapı Güncelleştirme süresini ve her <ikisini de = 7 gün döndürür - "/opt/McAfee/ens/tp/bin/mfetpcli --getoasconfig --summary" Access Tarama durumunda döndürülüyor |
Linux için Sophos Antivirus
Tabloda, Linux için Sophos Virüsten Koruma için aşağıdaki iki önerinin oluşturulmasına Bulut için Defender yol açan senaryolar açıklanmaktadır:
| Öneri | Görüntülendiğinde |
|---|---|
| Uç nokta koruması makinelerinize yüklenmelidir | aşağıdaki denetimlerden herhangi biri karşılanmaz: - Dosya /opt/sophos-av/bin/savdstatus çıkışları veya özelleştirilmiş konum için arama "readlink $(hangi savscan)" - "/opt/sophos-av/bin/savdstatus --version" sophos name = Sophos Anti-Virus ve Sophos version >= 9 döndürür |
| Uç nokta koruma sistem durumu sorunları makinelerinizde çözülmelidir | aşağıdaki denetimlerden herhangi biri karşılanmaz: - "/opt/sophos-av/bin/savlog --maxage=7 | grep -i "Zamanlanmış tarama .* tamamlandı" | tail -1", bir değer verir - "/opt/sophos-av/bin/savlog --maxage=7 | grep "tarama tamamlandı" | tail -1", bir değer döndürür - "/opt/sophos-av/bin/savdstatus --lastupdate" , = 7 gün olması <gereken lastUpdate değerini döndürür - "/opt/sophos-av/bin/savdstatus -v"eşittir "Erişimde tarama çalışıyor" - "/opt/sophos-av/bin/savconfig get LiveProtection" dönüşleri etkin |
Sorun giderme ve destek
Sorun giderme
Microsoft Kötü Amaçlı Yazılımdan Koruma uzantısı günlükleri şu konumda bulunabilir: %Systemdrive%\WindowsAzure\Logs\Plugins\Microsoft.Azure.Security.IaaSAntimalware(veya PaaSAntimalware)\1.5.5.x(version#)\CommandExecution.log
Destek
Daha fazla yardım için Azure Topluluk Desteği'ndeki Azure uzmanlarına başvurun. Veya bir Azure desteği olayı dosyala. Azure desteği sitesine gidin ve Destek al'ı seçin. Azure Desteği'ni kullanma hakkında bilgi için Microsoft Azure desteği sık sorulan soruları okuyun.