Analizzare e correggere le raccomandazioni relative al rilevamento e alla reazione degli endpoint (MMA)
Microsoft Defender per il cloud fornisce valutazioni dell'integrità delle versioni supportate delle soluzioni di protezione degli endpoint. Questo articolo illustra gli scenari che portano Defender per il cloud generare le due raccomandazioni seguenti:
- È necessario installare Endpoint Protection nei computer
- È consigliabile risolvere i problemi di integrità di Endpoint Protection nei computer
Nota
Poiché l'agente di Log Analytics (noto anche come MMA) è impostato su ritiro in agosto 2024, tutte le funzionalità di Defender per server che attualmente dipendono da esso, incluse quelle descritte in questa pagina, saranno disponibili tramite l'integrazione di Microsoft Defender per endpoint o analisi senza agente, prima della data di ritiro. Per altre informazioni sulla roadmap per ognuna delle funzionalità attualmente basate sull'agente di Log Analytics, vedere questo annuncio.
Suggerimento
Alla fine del 2021, è stata modificata la raccomandazione che installa Endpoint Protection. Una delle modifiche influisce sul modo in cui la raccomandazione visualizza i computer spenti. Nella versione precedente, i computer disattivati sono stati visualizzati nell'elenco "Non applicabile". Nella raccomandazione più recente non vengono visualizzate in nessuno degli elenchi di risorse (integro, non integro o non applicabile).
Windows Defender
La tabella illustra gli scenari che Defender per il cloud generare i due consigli seguenti per Windows Defender:
| Elemento consigliato | Situazione in cui avviene la visualizzazione |
|---|---|
| È necessario installare Endpoint Protection nei computer | Get-MpComputerStatus viene eseguito e il risultato è AMServiceEnabled: False |
| È consigliabile risolvere i problemi di integrità di Endpoint Protection nei computer | Get-MpComputerStatus viene eseguito e si verifica una delle operazioni seguenti: Una delle proprietà seguenti è false: - AMServiceEnabled - AntispywareEnabled - RealTimeProtectionEnabled - BehaviorMonitorEnabled - IoavProtectionEnabled - OnAccessProtectionEnabled Se una o entrambe le proprietà seguenti sono 7 o più: - AntispywareSignatureAge - AntivirusSignatureAge |
Endpoint protection Microsoft System Center
La tabella illustra gli scenari che portano Defender per il cloud a generare le due raccomandazioni seguenti per Microsoft System Center Endpoint Protection:
| Elemento consigliato | Situazione in cui avviene la visualizzazione |
|---|---|
| È necessario installare Endpoint Protection nei computer | importazione di SCEPMpModule ("$env:ProgramFiles\Microsoft Security Client\MpProvider\MpProvider.psd1") e l'esecuzione di Get-MProtComputerStatus restituisce AMServiceEnabled = false |
| È consigliabile risolvere i problemi di integrità di Endpoint Protection nei computer | Get-MprotComputerStatus viene eseguito e si verifica una delle operazioni seguenti: Almeno una delle proprietà seguenti è false: - AMServiceEnabled - AntispywareEnabled - RealTimeProtectionEnabled - BehaviorMonitorEnabled - IoavProtectionEnabled - OnAccessProtectionEnabled Se uno o entrambi gli aggiornamenti delle firme seguenti sono maggiori o uguali a 7: - AntispywareSignatureAge - AntivirusSignatureAge |
Trend Micro
La tabella illustra gli scenari che Defender per il cloud generare i due consigli seguenti per Trend Micro:
| Elemento consigliato | Situazione in cui avviene la visualizzazione |
|---|---|
| È necessario installare Endpoint Protection nei computer | non vengono soddisfatti i controlli seguenti: - HKLM:\SOFTWARE\TrendMicro\Deep Security Agent esiste - HKLM:\SOFTWARE\TrendMicro\Deep Security Agent\InstallationFolder esiste - Il file dsa_query.cmd si trova nella cartella di installazione - Esecuzione di risultati dsa_query.cmd con Component.AM.mode: in - Rilevato Agente di sicurezza avanzata di tendenza |
Endpoint protection Symantec
La tabella illustra gli scenari che Defender per il cloud generare i due consigli seguenti Endpoint protection Symantec:
| Elemento consigliato | Situazione in cui avviene la visualizzazione |
|---|---|
| È necessario installare Endpoint Protection nei computer | non vengono soddisfatti i controlli seguenti: - HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection" - HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1 Oppure - HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection" - HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1 |
| È consigliabile risolvere i problemi di integrità di Endpoint Protection nei computer | non vengono soddisfatti i controlli seguenti: - Controllare la versione Symantec >= 12: percorso del registro di sistema: HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion" -Value "PRODUCTVERSION" - Controllare lo stato della protezione in tempo reale: HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\AV\Storages\Filesystem\RealTimeScan\OnOff == 1 - Controllare lo stato dell'aggiornamento della firma: HKLM\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LatestVirusDefsDate <= 7 giorni - Controllare lo stato dell'analisi completa: HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LastSuccessfulScanDateTime <= 7 giorni - Trovare il numero di versione della firma Percorso della versione della firma per Symantec 12: Percorsi del Registro di sistema+ "CurrentVersion\SharedDefs" -Valore "SRTSP" - Percorso della versione della firma per Symantec 14: Percorsi del Registro di sistema+ "CurrentVersion\SharedDefs\SDSDefs" -Value "SRTSP" Percorsi del registro di sistema: - "HKLM:\Software\Symantec\Symantec Endpoint Protection" + $Path; - "HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection" + $Path |
McAfee Endpoint Protection per Windows
La tabella illustra gli scenari che portano Defender per il cloud a generare le due raccomandazioni seguenti per McAfee Endpoint protection per Windows:
| Elemento consigliato | Situazione in cui avviene la visualizzazione |
|---|---|
| È necessario installare Endpoint Protection nei computer | non vengono soddisfatti i controlli seguenti: - HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion esiste - HKLM:\SOFTWARE\McAfee\AVSolution\MCSHIELDGLOBAL\GLOBAL\enableoas = 1 |
| È consigliabile risolvere i problemi di integrità di Endpoint Protection nei computer | non vengono soddisfatti i controlli seguenti: - Versione McAfee: HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion >= 10 - Trova la versione della firma: HKLM:\Software\McAfee\AVSolution\DS\DS -Value "dwContentMajorVersion" - Trova data firma: HKLM:\Software\McAfee\AVSolution\DS\DS -Value "szContentCreationDate" >= 7 giorni - Trova la data di analisi: HKLM:\Software\McAfee\Endpoint\AV\ODS -Value "LastFullScanOdsRunTime" >= 7 giorni |
McAfee Endpoint Security per Linux Threat Prevention
La tabella illustra gli scenari che portano Defender per il cloud a generare le due raccomandazioni seguenti per McAfee Endpoint Security per Linux Threat Prevention:
| Elemento consigliato | Situazione in cui avviene la visualizzazione |
|---|---|
| È necessario installare Endpoint Protection nei computer | non vengono soddisfatti i controlli seguenti: - Esiste il file /opt/McAfee/ens/tp/bin/mfetpcli - L'output "/opt/McAfee/ens/tp/bin/mfetpcli --version" è: McAfee Endpoint Security per Linux Threat Prevention e McAfee version >= 10 |
| È consigliabile risolvere i problemi di integrità di Endpoint Protection nei computer | non vengono soddisfatti i controlli seguenti: - "/opt/McAfee/ens/tp/bin/mfetpcli --listtask" restituisce Analisi rapida, Analisi completa e entrambe le analisi <= 7 giorni - "/opt/McAfee/ens/tp/bin/mfetpcli --listtask" restituisce DAT e l'ora di aggiornamento del <motore e entrambi = 7 giorni - "/opt/McAfee/ens/tp/bin/mfetpcli --getoasconfig --summary" restituisce lo stato di Analisi di accesso |
Antivirus Sophos per Linux
La tabella illustra gli scenari che portano Defender per il cloud a generare le due raccomandazioni seguenti per Sophos Antivirus per Linux:
| Elemento consigliato | Situazione in cui avviene la visualizzazione |
|---|---|
| È necessario installare Endpoint Protection nei computer | non vengono soddisfatti i controlli seguenti: - File /opt/sophos-av/bin/savdstatus exits o cercare la posizione personalizzata "readlink $(which savscan)" - "/opt/sophos-av/bin/savdstatus --version" restituisce Sophos name = Sophos Anti-Virus e Sophos version >= 9 |
| È consigliabile risolvere i problemi di integrità di Endpoint Protection nei computer | non vengono soddisfatti i controlli seguenti: - "/opt/sophos-av/bin/savlog --maxage=7 | grep -i "Scheduled scan .* completed" | tail -1", restituisce un valore - "/opt/sophos-av/bin/savlog --maxage=7 | grep "scan finished" | tail -1", restituisce un valore - "/opt/sophos-av/bin/savdstatus --lastupdate" restituisce lastUpdate, che deve essere <= 7 giorni - "/opt/sophos-av/bin/savdstatus -v" è uguale a "L'analisi all'accesso è in esecuzione" - "/opt/sophos-av/bin/savconfig get LiveProtection" restituisce abilitato |
Risoluzione dei problemi e supporto
Risoluzione dei problemi
I log dell'estensione Microsoft Antimalware sono disponibili in: %Systemdrive%\WindowsAzure\Logs\Plugins\Microsoft.Azure.Security.IaaSAntimalware(Or PaaSAntimalware)\1.5.5.x(version#)\CommandExecution.log
Supporto tecnico
Per maggiori informazioni, contattare gli esperti di Azure nel supporto della community di Azure. O archiviare un incidente del supporto tecnico di Azure. Accedere al sito del supporto di Azure e selezionare l'opzione desiderata per ottenere supporto. Per informazioni sull'uso del supporto di Azure, consultare le Domande frequenti sul supporto tecnico di Microsoft Azure.