MS Defender for Cloud - Controle de fonctionnement

1.1     Monitoring installation

L'installation de l'extension peut être suivie via la page des extensions de la machine Azure. L'embarquement est entièrement basé sur l'extension MDE.Windows pour les points d'extrémité Windows. Le statut d'installation de l'extension peut être vérifié via Extensions + Applications dans Azure :

 

Ouvrez la VM spécifique -> ouvrez Extensions+applications -> ouvrez l'extension MDE.Windows pour plus de détails.

En cliquant sur le nom de l'extension MDE.Windows, vous obtiendrez des informations plus détaillées sur le provisionnement.

Lorsque l'extension échoue, il est toujours recommandé de vérifier si toutes les conditions préalables sont correctement configurées. Les cas suivants sont fréquents :

·         Defender ne fonctionne pas en mode actif pour 2016/2019

·         Rôle de serveur Defender non installé pour Server 2016

·         Les mises à jour correctes des prérequis ne sont pas installées

·         Les exigences de connectivité ne sont pas correctement configurées

·         Defender désactivé via une clé de registre/un paramètre GPO

Troubleshooting

Étapes de dépannage disponibles pour le suivi de l'intégration de SENSE et du profil MECM Endpoint Protection pour l'intégration :

Journal des événements SENSE

Defender for Endpoint génère plusieurs fichiers journaux. Pendant les problèmes d'onboarding - le journal des événements SENSE peut être utilisé pour détecter l'état.

Emplacements des logs:

·         Embarquement : Observateur d'événements - Journaux Windows > Application event source WDATPOnboarding

·         Agent Sense opérationnel : Observateur d'événements - Journaux d'applications et de services > Microsoft -> Windows > SENSE > Opérationnel

ATPhandler.log

Lors de l'utilisation de MECM, le fichier ATPhandler.log peut être utilisé pour un dépannage supplémentaire du côté de la police.

Emplacement des journaux :

C:\Windows\CCM\Logs\ATPHandler.log