你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

评审并修正终结点检测和响应建议(无代理)

Microsoft Defender for Cloud 提供了保护和配置终结点检测和响应解决方案的建议。 通过对这些建议进行修正,可以确保终结点检测和响应解决方案在所有环境中都是合规和安全的。

终结点检测和响应建议支持:

  • 确定多云计算机上是否安装了终结点检测和响应解决方案

  • 识别已发现的任何终结点检测和响应解决方案的安全配置漏洞

  • 修正安全配置中检测到的漏洞

先决条件

仅当满足以下先决条件时,才可使用本文中提到的建议:

注意

本页所述功能是基于 MMA 的功能的替代功能,基于 MMA 的功能将于 2024 年 8 月与 MMA 一起停用。

详细了解终结点保护相关建议的迁移和停用过程

查看并修正终结点检测和响应发现建议

当 Defender for Cloud 在 VM 上发现受支持的终结点检测和响应解决方案时,无代理计算机扫描程序会执行以下检查,以了解:

  • 是否启用了支持的终结点检测和响应解决方案
  • 是否在订阅和关联的 VM 上启用了 Defender for Servers 计划 2
  • 是否成功安装了受支持的解决方案

如果这些检查发现问题,建议会提供不同的修正步骤,以确保 VM 受到支持的终结点检测和响应解决方案的保护,并解决任何安全漏洞。

支持的解决方案和平台

Defender for Cloud 支持以下终结点检测和响应解决方案:

终结点检测和响应解决方案 支持的平台
Microsoft Defender for Endpoint for Windows Windows
Microsoft Defender for Endpoint for Linux Linux
Microsoft Defender for Endpoint 统一解决方案 Windows Server 2012 R2 和 Windows 2016
CrowdStrike (Falcon) Windows 和 Linux
Trellix Windows 和 Linux
Symantec Windows 和 Linux
Sophos Windows 和 Linux
Singularity Platform by SentinelOne Windows 和 Linux
Cortex XDR Windows 和 Linux

识别哪个终结点检测和响应解决方案已在 VM 上启用

Defender for Cloud 能够告诉你虚拟机 (VM) 上是否启用了支持的终结点检测和响应解决方案,以及是哪一个。

若要确定在 VM 上启用了哪种解决方案

  1. 登录 Azure 门户

  2. 导航到“Microsoft Defender for Cloud”>“建议”。

  3. 搜索并选择以下建议之一:

    • EDR solution should be installed on Virtual Machines
    • EDR solution should be installed on EC2s
    • EDR solution should be installed on Virtual Machines (GCP)
  4. 选择“正常资源”选项卡

  5. 发现的终结点检测和响应列显示检测到的解决方案。

    “正常资源”选项卡的屏幕截图,其中显示了在哪里可以查看在计算机上启用了哪些终结点检测和响应解决方案。

查看并修正发现建议

  1. 登录 Azure 门户

  2. 导航到“Microsoft Defender for Cloud”>“建议”。

  3. 搜索并选择以下建议之一:

    • EDR solution should be installed on Virtual Machines
    • EDR solution should be installed on EC2s
    • EDR solution should be installed on Virtual Machines (GCP)

    “建议”页面的屏幕截图,显示已识别的终结点解决方案建议。

  4. 选择相关建议。

  5. 建议对每台连接的计算机提供了多个建议解决操作,选择相关操作可查看修正步骤:

启用 Microsoft Defender for Endpoint 集成

在下列情况下可使用建议的操作:

若要在受影响的 VM 上启用 Defender for Endpoint 集成

  1. 选择受影响的计算机。

  2. (可选)选择具有 Enable Microsoft Defender for Endpoint integration 建议操作的多个受影响的计算机。

  3. 选择“修复”。

    显示修复按钮所在的位置的屏幕截图。

  4. 选择启用

    显示从中启用 Defender for Endpoint 集成的弹出窗口的屏幕截图。

Defender for endpoint 应用于订阅中的所有 Windows 和 Linux 服务器。 该过程完成后,可能需要最多 24 小时,计算机才能出现在“正常资源”选项卡中。

升级 Defender 计划

在下列情况下可使用建议的操作:

在受影响的 VM 上启用 Defender for Servers 计划中的 Defender for Endpoint 集成

  1. 选择受影响的计算机。

  2. (可选)选择具有 Upgrade Defender plan 建议操作的多个受影响的计算机。

  3. 选择“修复”。

    显示屏幕上“修复”按钮位置的屏幕截图。

  4. 在下拉菜单中选择一个计划。 每个计划都有费用,请在 Defender for Cloud 定价页面详细了解费用。

  5. 选择启用

    显示弹出窗口的屏幕截图,该窗口支持选择在订阅中启用哪种 Defender for Servers 计划。

该过程完成后,可能需要最多 24 小时,计算机才能出现在“正常资源”选项卡中。

排查安装失败的问题

在下列情况下可使用建议的操作:

  • 计算机上检测到 Defender for Endpoint,但安装失败。

若要排查 VM 的问题

  1. 选择受影响的资源。

  2. 选择“修正步骤”

    显示建议中修正步骤所在的位置的屏幕截图。

  3. 按照说明排查 WindowsLinux 的 Microsoft Defender for Endpoint 加入问题。

该过程完成后,可能需要最多 24 小时,计算机才能出现在“正常资源”选项卡中。

查看和修正终结点检测和响应配置错误建议

当 Defender for Cloud 在终结点检测和响应解决方案中发现配置错误时,建议会显示在建议页上。 此建议仅适用于已启用 Defender for Endpoint 的 VM。 这些建议检查以下安全检查:

  • Both full and quick scans are out of 7 days
  • Signature out of date
  • Anti-virus is off or partially configured

若要检测终结点检测和响应解决方案中的配置错误

  1. 登录 Azure 门户

  2. 导航到“Microsoft Defender for Cloud”>“建议”。

  3. 搜索并选择以下建议之一:

    • EDR configuration issues should be resolved on virtual machines
    • EDR configuration issues should be resolved on EC2s
    • EDR configuration issues should be resolved on GCP virtual machines

    显示配置终结点检测和解决方案以及修正错误配置的建议的屏幕截图。

  4. 选择相关建议。

  5. 选择安全检查以查看受影响的资源。

    显示所选安全检查和受影响的资源的屏幕截图。

  6. 选择每个安全检查以查看所有受影响的资源。

  7. 展开受影响的资源部分。

    屏幕截图显示了在屏幕上需要选择的位置,以展开受影响的资源部分。

  8. 选择运行不正常的资源以查看其发现结果。

    显示受影响的运行不正常的资源的发现结果的屏幕截图。

  9. 选择安全检查以查看其他信息和修正步骤。

    显示“其他详细信息”部分的屏幕截图。

  10. 按照修正步骤操作。

该过程完成后,可能需要最多 24 小时,计算机才能出现在“正常资源”选项卡中。

下一步