Condividi tramite


Analizzare e correggere le raccomandazioni relative al rilevamento e alla reazione degli endpoint (MMA)

Microsoft Defender per il cloud fornisce valutazioni dell'integrità delle versioni supportate delle soluzioni di protezione degli endpoint. Questo articolo illustra gli scenari che portano Defender per il cloud generare le due raccomandazioni seguenti:

Nota

Poiché l'agente di Log Analytics (noto anche come MMA) è impostato su ritiro in agosto 2024, tutte le funzionalità di Defender per server che attualmente dipendono da esso, incluse quelle descritte in questa pagina, saranno disponibili tramite l'integrazione di Microsoft Defender per endpoint o analisi senza agente, prima della data di ritiro. Per altre informazioni sulla roadmap per ognuna delle funzionalità attualmente basate sull'agente di Log Analytics, vedere questo annuncio.

Suggerimento

Alla fine del 2021, è stata modificata la raccomandazione che installa Endpoint Protection. Una delle modifiche influisce sul modo in cui la raccomandazione visualizza i computer spenti. Nella versione precedente, i computer disattivati sono stati visualizzati nell'elenco "Non applicabile". Nella raccomandazione più recente non vengono visualizzate in nessuno degli elenchi di risorse (integro, non integro o non applicabile).

Windows Defender

La tabella illustra gli scenari che Defender per il cloud generare i due consigli seguenti per Windows Defender:

Elemento consigliato Situazione in cui avviene la visualizzazione
È necessario installare Endpoint Protection nei computer Get-MpComputerStatus viene eseguito e il risultato è AMServiceEnabled: False
È consigliabile risolvere i problemi di integrità di Endpoint Protection nei computer Get-MpComputerStatus viene eseguito e si verifica una delle operazioni seguenti:

Una delle proprietà seguenti è false:

- AMServiceEnabled
- AntispywareEnabled
- RealTimeProtectionEnabled
- BehaviorMonitorEnabled
- IoavProtectionEnabled
- OnAccessProtectionEnabled

Se una o entrambe le proprietà seguenti sono 7 o più:

- AntispywareSignatureAge
- AntivirusSignatureAge

Endpoint protection Microsoft System Center

La tabella illustra gli scenari che portano Defender per il cloud a generare le due raccomandazioni seguenti per Microsoft System Center Endpoint Protection:

Elemento consigliato Situazione in cui avviene la visualizzazione
È necessario installare Endpoint Protection nei computer importazione di SCEPMpModule ("$env:ProgramFiles\Microsoft Security Client\MpProvider\MpProvider.psd1") e l'esecuzione di Get-MProtComputerStatus restituisce AMServiceEnabled = false
È consigliabile risolvere i problemi di integrità di Endpoint Protection nei computer Get-MprotComputerStatus viene eseguito e si verifica una delle operazioni seguenti:

Almeno una delle proprietà seguenti è false:

- AMServiceEnabled
- AntispywareEnabled
- RealTimeProtectionEnabled
- BehaviorMonitorEnabled
- IoavProtectionEnabled
- OnAccessProtectionEnabled

Se uno o entrambi gli aggiornamenti delle firme seguenti sono maggiori o uguali a 7:

- AntispywareSignatureAge
- AntivirusSignatureAge

Trend Micro

La tabella illustra gli scenari che Defender per il cloud generare i due consigli seguenti per Trend Micro:

Elemento consigliato Situazione in cui avviene la visualizzazione
È necessario installare Endpoint Protection nei computer non vengono soddisfatti i controlli seguenti:

- HKLM:\SOFTWARE\TrendMicro\Deep Security Agent esiste
- HKLM:\SOFTWARE\TrendMicro\Deep Security Agent\InstallationFolder esiste
- Il file dsa_query.cmd si trova nella cartella di installazione
- Esecuzione di risultati dsa_query.cmd con Component.AM.mode: in - Rilevato Agente di sicurezza avanzata di tendenza

Endpoint protection Symantec

La tabella illustra gli scenari che Defender per il cloud generare i due consigli seguenti Endpoint protection Symantec:

Elemento consigliato Situazione in cui avviene la visualizzazione
È necessario installare Endpoint Protection nei computer non vengono soddisfatti i controlli seguenti:

- HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection"
- HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1
Oppure
- HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\CurrentVersion\PRODUCTNAME = "Symantec Endpoint Protection"
- HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\ASRunningStatus = 1
È consigliabile risolvere i problemi di integrità di Endpoint Protection nei computer non vengono soddisfatti i controlli seguenti:

- Controllare la versione Symantec >= 12: percorso del registro di sistema: HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion" -Value "PRODUCTVERSION"
- Controllare lo stato della protezione in tempo reale: HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\AV\Storages\Filesystem\RealTimeScan\OnOff == 1
- Controllare lo stato dell'aggiornamento della firma: HKLM\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LatestVirusDefsDate <= 7 giorni
- Controllare lo stato dell'analisi completa: HKLM:\Software\Symantec\Symantec Endpoint Protection\CurrentVersion\public-opstate\LastSuccessfulScanDateTime <= 7 giorni
- Trovare il numero di versione della firma Percorso della versione della firma per Symantec 12: Percorsi del Registro di sistema+ "CurrentVersion\SharedDefs" -Valore "SRTSP"
- Percorso della versione della firma per Symantec 14: Percorsi del Registro di sistema+ "CurrentVersion\SharedDefs\SDSDefs" -Value "SRTSP"

Percorsi del registro di sistema:

- "HKLM:\Software\Symantec\Symantec Endpoint Protection" + $Path;
- "HKLM:\Software\Wow6432Node\Symantec\Symantec Endpoint Protection" + $Path

McAfee Endpoint Protection per Windows

La tabella illustra gli scenari che portano Defender per il cloud a generare le due raccomandazioni seguenti per McAfee Endpoint protection per Windows:

Elemento consigliato Situazione in cui avviene la visualizzazione
È necessario installare Endpoint Protection nei computer non vengono soddisfatti i controlli seguenti:

- HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion esiste
- HKLM:\SOFTWARE\McAfee\AVSolution\MCSHIELDGLOBAL\GLOBAL\enableoas = 1
È consigliabile risolvere i problemi di integrità di Endpoint Protection nei computer non vengono soddisfatti i controlli seguenti:

- Versione McAfee: HKLM:\SOFTWARE\McAfee\Endpoint\AV\ProductVersion >= 10
- Trova la versione della firma: HKLM:\Software\McAfee\AVSolution\DS\DS -Value "dwContentMajorVersion"
- Trova data firma: HKLM:\Software\McAfee\AVSolution\DS\DS -Value "szContentCreationDate" >= 7 giorni
- Trova la data di analisi: HKLM:\Software\McAfee\Endpoint\AV\ODS -Value "LastFullScanOdsRunTime" >= 7 giorni

McAfee Endpoint Security per Linux Threat Prevention

La tabella illustra gli scenari che portano Defender per il cloud a generare le due raccomandazioni seguenti per McAfee Endpoint Security per Linux Threat Prevention:

Elemento consigliato Situazione in cui avviene la visualizzazione
È necessario installare Endpoint Protection nei computer non vengono soddisfatti i controlli seguenti:

- Esiste il file /opt/McAfee/ens/tp/bin/mfetpcli
- L'output "/opt/McAfee/ens/tp/bin/mfetpcli --version" è: McAfee Endpoint Security per Linux Threat Prevention e McAfee version >= 10
È consigliabile risolvere i problemi di integrità di Endpoint Protection nei computer non vengono soddisfatti i controlli seguenti:

- "/opt/McAfee/ens/tp/bin/mfetpcli --listtask" restituisce Analisi rapida, Analisi completa e entrambe le analisi <= 7 giorni
- "/opt/McAfee/ens/tp/bin/mfetpcli --listtask" restituisce DAT e l'ora di aggiornamento del <motore e entrambi = 7 giorni
- "/opt/McAfee/ens/tp/bin/mfetpcli --getoasconfig --summary" restituisce lo stato di Analisi di accesso

Antivirus Sophos per Linux

La tabella illustra gli scenari che portano Defender per il cloud a generare le due raccomandazioni seguenti per Sophos Antivirus per Linux:

Elemento consigliato Situazione in cui avviene la visualizzazione
È necessario installare Endpoint Protection nei computer non vengono soddisfatti i controlli seguenti:

- File /opt/sophos-av/bin/savdstatus exits o cercare la posizione personalizzata "readlink $(which savscan)"
- "/opt/sophos-av/bin/savdstatus --version" restituisce Sophos name = Sophos Anti-Virus e Sophos version >= 9
È consigliabile risolvere i problemi di integrità di Endpoint Protection nei computer non vengono soddisfatti i controlli seguenti:

- "/opt/sophos-av/bin/savlog --maxage=7 | grep -i "Scheduled scan .* completed" | tail -1", restituisce un valore
- "/opt/sophos-av/bin/savlog --maxage=7 | grep "scan finished" | tail -1", restituisce un valore
- "/opt/sophos-av/bin/savdstatus --lastupdate" restituisce lastUpdate, che deve essere <= 7 giorni
- "/opt/sophos-av/bin/savdstatus -v" è uguale a "L'analisi all'accesso è in esecuzione"
- "/opt/sophos-av/bin/savconfig get LiveProtection" restituisce abilitato

Risoluzione dei problemi e supporto

Risoluzione dei problemi

I log dell'estensione Microsoft Antimalware sono disponibili in: %Systemdrive%\WindowsAzure\Logs\Plugins\Microsoft.Azure.Security.IaaSAntimalware(Or PaaSAntimalware)\1.5.5.x(version#)\CommandExecution.log

Supporto tecnico

Per maggiori informazioni, contattare gli esperti di Azure nel supporto della community di Azure. O archiviare un incidente del supporto tecnico di Azure. Accedere al sito del supporto di Azure e selezionare l'opzione desiderata per ottenere supporto. Per informazioni sull'uso del supporto di Azure, consultare le Domande frequenti sul supporto tecnico di Microsoft Azure.