Compartir vía


Revisión y corrección de las recomendaciones de detección y respuesta de puntos de conexión (MMA)

Microsoft Defender para nubes proporciona evaluaciones de estado de las versiones admitidas de las soluciones de Endpoint Protection. En este artículo se explican los escenarios que llevan a Defender for Cloud a generar las dos recomendaciones siguientes:

Nota:

Como el agente de Log Analytics (también conocido como MMA) está establecido para retirarse en agosto de 2024, todas las características de Defender for Servers que dependen actualmente de ella, incluidas las descritas en esta página, estarán disponibles a través de la Integración de Microsoft Defender para punto de conexión o el análisis sin agente, antes de la fecha de retirada. Para obtener más información sobre el mapa de ruta de cada una de las características que se basan actualmente en el agente de Log Analytics, consulte este anuncio.

Sugerencia

A fines de 2021, revisamos la recomendación que instala protección para los puntos de conexión. Uno de los cambios afecta a la forma en que la recomendación muestra las máquinas que están apagadas. En la versión anterior, las máquinas que se desactivaron aparecían en la lista "No aplicable". En la recomendación más reciente, no aparecen en ninguna de las listas de recursos (correctos, incorrectos o no aplicables).

Windows Defender

En la tabla se explican los escenarios que llevan a Defender for Cloud a generar las dos siguientes recomendaciones para Windows Defender:

Recomendación Aparece cuando
La protección de los puntos de conexión debe instalarse en las máquinas Get-MpComputerStatus se ejecuta y el resultado es AMServiceEnabled: False
Los problemas de estado de protección de puntos de conexión se deben resolver en las máquinas Get-MpComputerStatus se ejecuta y se produce cualquiera de las siguientes acciones:

Todas estas propiedades son false:

- AMServiceEnabled
- AntispywareEnabled
- RealTimeProtectionEnabled
- BehaviorMonitorEnabled
- IoavProtectionEnabled
- OnAccessProtectionEnabled

Si una de las siguientes propiedades, o las dos, es mayor o igual que siete:

- AntispywareSignatureAge
- AntivirusSignatureAge

Microsoft System Center Endpoint Protection

En la tabla se explican los escenarios que llevan a Defender for Cloud a generar las dos siguientes recomendaciones de protección de punto de conexión de Microsoft System Center:

Recomendación Aparece cuando
La protección de los puntos de conexión debe instalarse en las máquinas importar SCEPMpModule ("$env:ProgramFiles\Microsoft Security Client\MpProvider\MpProvider.psd1") y ejecutar Get-MProtComputerStatus da como resultado AMServiceEnabled = false
Los problemas de estado de protección de puntos de conexión se deben resolver en las máquinas Get-MprotComputerStatus se ejecuta y se produce cualquiera de las siguientes acciones:

Al menos una de las propiedades siguientes es false:

- AMServiceEnabled
- AntispywareEnabled
- RealTimeProtectionEnabled
- BehaviorMonitorEnabled
- IoavProtectionEnabled
- OnAccessProtectionEnabled

Si una de las siguientes actualizaciones de firma, o las dos, es mayor o igual que siete.

- AntispywareSignatureAge
- AntivirusSignatureAge

Trend Micro

En la tabla se explican los escenarios que llevan a Defender for Cloud a generar las dos siguientes recomendaciones para Trend Micro:

Recomendación Aparece cuando
La protección de los puntos de conexión debe instalarse en las máquinas No se cumplen ninguna de las siguientes comprobaciones:

- HKLM:\SOFTWARE\TrendMicro\Deep Security Agent existe
- HKLM:\SOFTWARE\TrendMicro\Deep Security Agent\InstallationFolder existe
- El archivo dsa_query.cmd se encuentra en la carpeta de instalación
- La ejecución de dsa_query.cmd da como resultado Component.AM.mode: on - Trend Micro Deep Security Agent detected

Symantec Endpoint Protection

En la tabla se explican los escenarios que llevan a Defender for Cloud a generar las dos siguientes recomendaciones de protección de punto de conexión de Symantec:

Recomendación Aparece cuando
La protección de los puntos de conexión debe instalarse en las máquinas No se cumplen ninguna de las siguientes comprobaciones:

- HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection"
- HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1
O
- HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection"
- HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1
Los problemas de estado de protección de puntos de conexión se deben resolver en las máquinas No se cumplen ninguna de las siguientes comprobaciones:

- Comprobar la versión de Symantec >= 12: Registry location: HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion" -Value "PRODUCTVERSION"
- Comprobar el estado de protección en tiempo real: HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\AV\Storages\Filesystem\RealTimeScan\OnOff == 1
- Verificar el estado de la actualización de firmas: HKLM\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LatestVirusDefsDate <= 7 días
- Verificar el estado del escaneo completo: HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LastSuccessfulScanDateTime <= 7 días
- Buscar el número de versión de la firma Ruta de acceso a la versión de la firma para Symantec 12: Registry Paths+ "CurrentVersion\SharedDefs" -Value "SRTSP"
- Ruta de acceso a la versión de la firma para Symantec 14: Registry Paths+ "CurrentVersion\SharedDefs\SDSDefs" -Value "SRTSP"

Rutas de acceso del Registro:

- "HKLM:\Software\Symantec\Symantec Endpoint Protection" + $Path;
- "HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection" + $Path

McAfee Endpoint Protection para Windows

En la tabla se explican los escenarios que llevan a Defender for Cloud a generar las dos siguientes recomendaciones de protección de punto de conexión de McAfee para Windows:

Recomendación Aparece cuando
La protección de los puntos de conexión debe instalarse en las máquinas No se cumplen ninguna de las siguientes comprobaciones:

- HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion exists
- HKLM:\SOFTWARE\McAfee\AVSolution\MCSHIELDGLOBAL\GLOBAL\enableoas = 1
Los problemas de estado de protección de puntos de conexión se deben resolver en las máquinas No se cumplen ninguna de las siguientes comprobaciones:

- Versión de McAfee: HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion >= 10
- Buscar versión de la firma: HKLM:\Software\McAfee\AVSolution\DS\DS -Value "dwContentMajorVersion"
- Buscar la fecha de la firma: HKLM:\Software\McAfee\AVSolution\DS\DS -Value "szContentCreationDate" >= 7 días
- Buscar la fecha del examen: HKLM:\Software\McAfee\Endpoint\AV\ODS -Value "LastFullScanOdsRunTime" >= 7 días

McAfee Endpoint Security for Linux Threat Prevention

En la tabla se explican los escenarios que conducen a Defender for Cloud para generar las dos siguientes recomendaciones para la seguridad de punto de conexión de McAfee para la prevención de amenazas de Linux:

Recomendación Aparece cuando
La protección de los puntos de conexión debe instalarse en las máquinas No se cumplen ninguna de las siguientes comprobaciones:

- El archivo /opt/McAfee/ens/tp/bin/mfetpcli existe
La salida de - "/opt/McAfee/ens/tp/bin/mfetpcli --version" es McAfee name = McAfee Endpoint Security for Linux Threat Prevention and McAfee version >= 10 (El nombre de McAfee = McAfee Endpoint Security for Linux Threat Prevention y la versión de McAfee >= 10).
Los problemas de estado de protección de puntos de conexión se deben resolver en las máquinas No se cumplen ninguna de las siguientes comprobaciones:

- "/opt/McAfee/ens/tp/bin/mfetpcli --listtask" devuelve Examen rápido, Examen completo y ambos exámenes <= 7 días
- "/opt/McAfee/ens/tp/bin/mfetpcli --listtask" devuelve Motor DAT y hora de actualización y ambos exámenes <= 7 días
- "/opt/McAfee/ens/tp/bin/mfetpcli --getoasconfig --summary" devuelve el estado On Access Scan (En el examen de acceso).

Antivirus Sophos para Linux

En la tabla se explican los escenarios que conducen a Defender for Cloud para generar las dos siguientes recomendaciones para Sophos Antivirus para Linux:

Recomendación Aparece cuando
La protección de los puntos de conexión debe instalarse en las máquinas No se cumplen ninguna de las siguientes comprobaciones:

- El archivo /opt/Sophos-AV/bin/savdstatus se cierra o busca la ubicación "readlink $(which savscan)"
- "/opt/sophos-av/bin/savdstatus --version" devuelve el nombre de Sophos = Sophos Anti-Virus y la versión de Sophos >= 9
Los problemas de estado de protección de puntos de conexión se deben resolver en las máquinas No se cumplen ninguna de las siguientes comprobaciones:

- "/opt/sophos-av/bin/savlog --maxage=7 | grep -i "Scheduled scan .* completed" | tail -1", devuelve un valor
- "/opt/sophos-av/bin/savlog --maxage=7 | grep "scan finished" | tail -1", devuelve un valor
- "/opt/sophos-av/bin/savdstatus --lastupdate" returns lastUpdate, que debe ser <= 7 días
- - "/opt/sophos-av/bin/savdstatus -v" es igual a "On-access scanning is running" (se ejecuta el examen en el acceso)
- "/opt/sophos-av/bin/savconfig get LiveProtection" devuelve enabled (habilitado)

Solución de problemas y asistencia

Solución de problemas

Los registros de extensión de Microsoft Antimalware están disponibles en %Systemdrive%\WindowsAzure\Logs\Plugins\Microsoft.Azure.Security.IaaSAntimalware(o PaaSAntimalware)\1.5.5.x(version#)\CommandExecution.log

Soporte técnico

Para obtener más ayuda, póngase en contacto con los expertos de Azure en soporte técnico de la comunidad de Azure. También puede registrar un incidente de soporte técnico de Azure. Vaya al sitio de soporte técnico de Azure y seleccione Obtener soporte. Para más información sobre el uso del soporte técnico de Azure, lea las preguntas más frecuentes de Microsoft Azure.