Granska och åtgärda otkrivanje i odgovor na krajnjim tačkama rekommendationer (MMA)
Microsoft Defender för molnet tillhandahåller hälsoutvärderingar av versioner av Endpoint Protection-lösningar som stöds . I den här artikeln beskrivs de scenarier som leder till att Defender för molnet genererar följande två rekommendationer:
- Slutpunktsskydd ska installeras på dina datorer
- Problem med slutpunktsskyddshälsa bör lösas på dina datorer
Kommentar
Eftersom Log Analytics-agenten (även kallad MMA) är inställd på att tas ur bruk i augusti 2024, kommer alla Defender for Servers-funktioner som för närvarande är beroende av den, inklusive de som beskrivs på den här sidan, att vara tillgängliga via antingen Microsoft Defender za krajnju tačku integrering eller agentlös genomsökning före slutdatumet. Mer information om översikten för var och en av de funktioner som för närvarande är beroende av Log Analytics-agenten finns i det här meddelandet.
Dricks
I slutet av 2021 ändrade vi rekommendationen som installerar slutpunktsskydd. En av ändringarna påverkar hur rekommendationen visar datorer som är avstängda. I den tidigare versionen visades datorer som stängdes av i listan "Ej tillämpligt". I den nyare rekommendationen visas de inte i någon av resurslistorna (felfri, felaktig eller inte tillämplig).
Windows Defender
Tabellen beskriver de scenarier som leder till att Defender för molnet genererar följande två rekommendationer för Windows Defender:
| Rekommendation | Visas när |
|---|---|
| Slutpunktsskydd ska installeras på dina datorer | Get-MpComputerStatus körs och resultatet är AMServiceEnabled: False |
| Problem med slutpunktsskyddshälsa bör lösas på dina datorer | Get-MpComputerStatus körs och något av följande inträffar: Någon av följande egenskaper är false: - AMServiceEnabled - AntispywareEnabled - RealTimeProtectionEnabled - BehaviorMonitorEnabled - IoavProtectionEnabled - OnAccessProtectionEnabled Om en eller båda av följande egenskaper är 7 eller fler: - AntispywareSignatureAge - AntivirusSignatureAge |
Slutpunktsskydd för Microsoft System Center
Tabellen beskriver de scenarier som gör att Defender för molnet genererar följande två rekommendationer för Microsoft System Center-slutpunktsskydd:
| Rekommendation | Visas när |
|---|---|
| Slutpunktsskydd ska installeras på dina datorer | importera SCEPMpModule ("$env:ProgramFiles\Microsoft Security Client\MpProvider\MpProvider.psd1") och köra Get-MProtComputerStatus resulterar i AMServiceEnabled = false |
| Problem med slutpunktsskyddshälsa bör lösas på dina datorer | Get-MprotComputerStatus körs och något av följande inträffar: Minst en av följande egenskaper är false: - AMServiceEnabled - AntispywareEnabled - RealTimeProtectionEnabled - BehaviorMonitorEnabled - IoavProtectionEnabled - OnAccessProtectionEnabled Om en eller båda av följande signaturuppdateringar är större eller lika med 7: - AntispywareSignatureAge - AntivirusSignatureAge |
Trend Micro
Tabellen förklarar de scenarier som leder till att Defender för molnet genererar följande två rekommendationer för Trend Micro:
| Rekommendation | Visas när |
|---|---|
| Slutpunktsskydd ska installeras på dina datorer | någon av följande kontroller uppfylls inte: - HKLM:\SOFTWARE\TrendMicro\Deep Security Agent finns - HKLM:\SOFTWARE\TrendMicro\Deep Security Agent\InstallationFolder finns – Filen dsa_query.cmd finns i installationsmappen – Köra dsa_query.cmd resultat med Component.AM.mode: på – Trend Micro Deep Security Agent har identifierats |
Symantec-slutpunktsskydd
Tabellen förklarar de scenarier som leder till att Defender för molnet genererar följande två rekommendationer för Symantec-slutpunktsskydd:
| Rekommendation | Visas när |
|---|---|
| Slutpunktsskydd ska installeras på dina datorer | någon av följande kontroller uppfylls inte: - HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection" - HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1 Eller - HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection" - HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1 |
| Problem med slutpunktsskyddshälsa bör lösas på dina datorer | någon av följande kontroller uppfylls inte: – Kontrollera Symantec-version >= 12: Registerplats: HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion" -Value "PRODUCTVERSION" – Kontrollera realtidsskyddsstatus: HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\AV\Storages\Filesystem\RealTimeScan\OnOff == 1 - Kontrollera status för signaturuppdatering: HKLM\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LatestVirusDefsDate <= 7 dagar – Kontrollera fullständig genomsökningsstatus: HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LastSuccessfulScanDateTime <= 7 dagar – Hitta signaturversionsnummer Sökväg till signaturversion för Symantec 12: Registersökvägar+ "CurrentVersion\SharedDefs" -Value "SRTSP" – Sökväg till signaturversion för Symantec 14: Registersökvägar+ "CurrentVersion\SharedDefs\SDSDefs" -Value "SRTSP" Registersökvägar: - "HKLM:\Software\Symantec\Symantec Endpoint Protection" + $Path; - "HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection" + $Path |
McAfee-slutpunktsskydd för Windows
Tabellen förklarar de scenarier som leder till att Defender för molnet genererar följande två rekommendationer för McAfee-slutpunktsskydd för Windows:
| Rekommendation | Visas när |
|---|---|
| Slutpunktsskydd ska installeras på dina datorer | någon av följande kontroller uppfylls inte: - HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion finns - HKLM:\SOFTWARE\McAfee\AVSolution\MCSHIELDGLOBAL\GLOBAL\enableoas = 1 |
| Problem med slutpunktsskyddshälsa bör lösas på dina datorer | någon av följande kontroller uppfylls inte: - McAfee-version: HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion >= 10 - Hitta signaturversion: HKLM:\Software\McAfee\AVSolution\DS\DS -Value "dwContentMajorVersion" - Sök signaturdatum: HKLM:\Software\McAfee\AVSolution\DS\DS -Value "szContentCreationDate" >= 7 dagar – Sök igenom datum: HKLM:\Software\McAfee\Endpoint\AV\ODS -Value "LastFullScanOdsRunTime" >= 7 dagar |
McAfee Endpoint Security för Skydd mot Linux-hot
Tabellen beskriver de scenarier som leder till att Defender för molnet genererar följande två rekommendationer för McAfee Endpoint Security för Skydd mot Linux-hot:
| Rekommendation | Visas när |
|---|---|
| Slutpunktsskydd ska installeras på dina datorer | någon av följande kontroller uppfylls inte: - Filen /opt/McAfee/ens/tp/bin/mfetpcli finns - "/opt/McAfee/ens/tp/bin/mfetpcli --version" är: McAfee name = McAfee Endpoint Security for Linux Threat Prevention och McAfee version >= 10 |
| Problem med slutpunktsskyddshälsa bör lösas på dina datorer | någon av följande kontroller uppfylls inte: - "/opt/McAfee/ens/tp/bin/mfetpcli --listtask" returnerar snabbsökning, fullständig genomsökning och båda genomsökningarna <= 7 dagar - "/opt/McAfee/ens/tp/bin/mfetpcli --listtask" returnerar DAT- och motoruppdateringstid och båda <= 7 dagar - "/opt/McAfee/ens/tp/bin/mfetpcli --getoasconfig --summary" returnerar Status för åtkomstgenomsökning |
Sophos Antivirus för Linux
Tabellen beskriver de scenarier som gör att Defender för molnet genererar följande två rekommendationer för Sophos Antivirus för Linux:
| Rekommendation | Visas när |
|---|---|
| Slutpunktsskydd ska installeras på dina datorer | någon av följande kontroller uppfylls inte: - Fil /opt/sophos-av/bin/savdstatus avslutas eller sök efter anpassad plats "readlink $(which savscan)" - "/opt/sophos-av/bin/savdstatus --version" returnerar Sophos name = Sophos Anti-Virus and Sophos version >= 9 |
| Problem med slutpunktsskyddshälsa bör lösas på dina datorer | någon av följande kontroller uppfylls inte: - "/opt/sophos-av/bin/savlog --maxage=7 | grep -i "Schemalagd genomsökning .* slutförd" | tail -1", returnerar ett värde - "/opt/sophos-av/bin/savlog --maxage=7 | grep "scan finished" | tail -1", returnerar ett värde - "/opt/sophos-av/bin/savdstatus --lastupdate" returnerar lastUpdate, som ska vara <= 7 dagar - "/opt/sophos-av/bin/savdstatus -v" är lika med "Sökning vid åtkomst körs" - "/opt/sophos-av/bin/savconfig get LiveProtection" returnerar aktiverat |
Felsökning och support
Felsöka
Microsoft Antimalware-tilläggsloggar finns på: %Systemdrive%\WindowsAzure\Logs\Plugins\Microsoft.Azure.Security.IaaSAntimalware(Or PaaSAntimalware)\1.5.5.x(version#)\CommandExecution.log
Support
Kontakta Azure-experterna i Azure Community Support om du vill ha mer hjälp. Eller skapa en Azure-supportincident. Gå till Azure-supportwebbplatsen och välj Hämta support. Information om hur du använder Azure Support finns i Vanliga frågor om Microsoft Azure-support.