補救 EDR 解決方案建議

適用於雲端的 Microsoft Defender 包含 端點偵測及回應 （EDR） 功能，以改善支援機器的安全性狀態。 適用於雲端的 Defender：

• 以原生方式與適用於端點的Defender整合，作為機器保護的EDR解決方案 。 提供受保護機器的 EDR 功能。
• 掃描已連線的機器 （Azure VM 和 AWS/GCP 機器），以檢查其是否已安裝並執行 EDR 解決方案。 此解決方案可以整合適用於端點的 Defender EDR，或 支援的非Microsoft解決方案。

根據 EDR 解決方案結果，適用於雲端的 Defender 提供建議，以確保 EDR 解決方案已安裝並正確在機器上執行。 本文說明如何補救這些建議。

注意

• 適用於雲端的 Defender 使用無代理程序掃描來評估 EDR 設定。
• 無代理程序掃描會取代Log Analytics代理程式（也稱為「Microsoft監視代理程式」（MMA），該代理程式先前用來收集計算機數據。
• 使用 MMA 掃描將在 2024 年 11 月淘汰。

必要條件

需求	詳細資料
計劃	適用於雲端的 Defender 必須在 Azure 訂用帳戶中提供，且必須啟用下列其中一個方案： - 適用於伺服器的 Defender 方案 2 - Defender 雲端安全性態勢管理 (CSPM)
溫柔掃描	必須開啟機器 的無代理程序掃描。 其預設會在方案中啟用，但如果您需要手動開啟， 請遵循這些指示。

調查 EDR 解決方案建議

1. 在 適用於雲端的 Defender> Recommendations 中。

2. 搜尋並選取下列其中一個建議：

   • EDR solution should be installed on Virtual Machines
   • EDR solution should be installed on EC2s
   • EDR solution should be installed on Virtual Machines (GCP)

3. 在建議詳細數據中，選取 [ 狀況良好的資源] 索引 標籤。

4. 部署在電腦上的 EDR 解決方案會顯示在 [探索到的 EDR ] 資料行中。

   

補救 EDR 解決方案建議

1. 選取相關建議。

   

2. 選取相關的動作以查看補救步驟。

啟用適用於端點的Defender整合

當適用於端點的 Defender 可以安裝在機器上，且 電腦上未偵測到支援的非Microsoft EDR 解決方案 時，可以使用此建議動作。

在機器上啟用適用於端點的Defender，如下所示：

1. 選取受影響的電腦。 您也可以使用建議的動作來選取多部計算機 Enable Microsoft Defender for Endpoint integration 。

2. 選取 [修正]。

   

3. 在 [啟用 EDR 解決方案] 中，選取 [ 啟用]。 啟用此設定后，適用於端點的 Defender 感測器會自動安裝在訂用帳戶中的所有 Windows 和 Linux 伺服器上。

   程式完成之後，最多可能需要 24 小時的時間，您的電腦才會出現在 [ 狀況良好的資源 ] 索引卷標中。

   

開啟方案

在下列情況時，可以使用此建議動作：

• 計算機上未偵測到支援的非Microsoft EDR解決方案。
• 計算機未啟用必要的 適用於雲端的 Defender 方案（適用於伺服器方案的Defender方案2或Defender CSPM）。

修正建議，如下所示：

1. 選取受影響的電腦。 您也可以使用建議的動作來選取多部計算機 Upgrade Defender plan 。

2. 選取 [修正]。

   

3. 在 [啟用 EDR 解決方案] 中，選取下拉功能表中的方案。 每個方案都有成本。深入了解定價。

4. 選取啟用。

   

程式完成之後，最多可能需要 24 小時的時間，您的電腦才會出現在 [ 狀況良好的資源 ] 索引卷標上。

針對適用於端點的Defender上線進行疑難解答

當在機器上偵測到適用於端點的 Defender 但未正確上線時，可以使用這個建議的動作。

1. 選取受影響的 VM。

2. 選取 [補救步驟]。

   

3. 請遵循指示，針對 Windows 或 Linux 的上線問題進行疑難解答。

程序完成之後，最多可能需要 24 小時的時間，您的電腦才會出現在 [狀況良好的資源] 索引標籤中。