Export sestavy stavu antivirové ochrany zařízení
Platí pro:
- Plán 1 pro Microsoft Defender for Endpoint
- Plán 2 pro Microsoft Defender pro koncový bod
- Microsoft 365 Defender
Chcete vyzkoušet Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,
Poznámka
Pokud jste zákazníkem státní správy USA, použijte identifikátory URI uvedené v Microsoft Defender for Endpoint pro zákazníky státní správy USA.
Tip
Pro lepší výkon můžete použít server blíže k vašemu geografickému umístění:
- api-us.securitycenter.microsoft.com
- api-eu.securitycenter.microsoft.com
- api-uk.securitycenter.microsoft.com
- api-au.securitycenter.microsoft.com
Důležité
Některé informace v tomto článku se týkají předem vydaných produktů, které mohou být před komerčním vydáním podstatně změněny. Společnost Microsoft neposkytuje v souvislosti se zde uvedenými informacemi žádné výslovné ani předpokládané záruky.
Toto rozhraní API má dvě metody, jak načíst podrobnosti o stavu antivirové ochrany zařízení Microsoft Defender Antivirus:
Metoda 1:1 Export sestav stavu (odpověď JSON): Metoda natáhne všechna data ve vaší organizaci jako odpovědi JSON. Tato metoda je nejvhodnější pro malé organizace s méně než 100 tisíci zařízeními. Odpověď je stránkovaná, takže k načtení dalších výsledků můžete použít pole @odata.nextLink z odpovědi.
Metoda 2:2 Export sestav stavu (prostřednictvím souborů): Tato metoda umožňuje rychlejší a spolehlivější načítání větších objemů dat. Proto se doporučuje pro velké organizace s více než 100K zařízeními. Toto rozhraní API natahuje všechna data ve vaší organizaci jako soubory ke stažení. Odpověď obsahuje adresy URL pro stažení všech dat ze služby Azure Storage. Toto rozhraní API umožňuje stáhnout všechna data ze služby Azure Storage následujícím způsobem:
- Voláním rozhraní API získáte seznam adres URL ke stažení se všemi daty vaší organizace.
- Stáhněte si všechny soubory pomocí adres URL pro stahování a zpracovávat data podle potřeby.
Data shromážděná pomocí odpovědi JSON nebo prostřednictvím souborů jsou aktuálním snímkem aktuálního stavu. Neobsahuje historická data. Aby zákazníci mohli shromažďovat historická data, musí je ukládat do svých vlastních datových úložišť. Viz Metody a vlastnosti rozhraní API pro export podrobností o stavu zařízení.
Důležité
V současné době je obecně dostupná jenom odpověď JSON stavu antivirového programu. Rozhraní API antivirového stavu prostřednictvím souborů je v současné době dostupné jenom ve verzi Public Preview.
Vlastní dotaz rozšířeného proaktivního proaktivního vyhledávání je v současné době k dispozici jenom ve verzi Public Preview, i když jsou dotazy stále viditelné.
Důležité
Aby se Windows Server 2012 R2 a Windows Server 2016 zobrazovaly v sestavách stavu zařízení, musí být tato zařízení nasazená pomocí moderního balíčku sjednoceného řešení. Další informace najdete v tématu Nové funkce v moderním sjednocené řešení pro Windows Server 2012 R2 a 2016.
Poznámka
Informace o používání nástroje pro generování sestav stavu zařízení a antivirového softwaru na řídicím panelu Zabezpečení Microsoftu 365 najdete v tématu: Sestava stavu zařízení a antivirového softwaru v Microsoft Defender for Endpoint.
1. Export sestav stavu (odpověď JSON)
1.1 Popis metody rozhraní API
Toto rozhraní API načte seznam podrobností o stavu antivirové ochrany zařízení Microsoft Defender Antivirus. Vrátí tabulku s položkou pro každou jedinečnou kombinaci:
- Deviceid
- Název zařízení
- Režim AV
- Aktuální stav
- Výsledky kontroly
1.1.1 Omezení
- maximální velikost stránky je 200 000
- Omezení rychlosti pro toto rozhraní API jsou 30 volání za minutu a 1 000 volání za hodinu.
Podporované operátory OData
$filteron:machineId,computerDnsName, ,osPlatformosKind,osVersion,avMode,avSignatureVersion,avEngineVersion,avPlatformVersion,quickScanResult, ,quickScanError,fullScanResult,fullScanError, ,avIsSignatureUpToDate, ,avIsEngineUpToDate,avIsPlatformUpToDaterbacGroupId$tops maximální hodnotou 10 000.$skip
Důležité
Mějte na paměti, že rbacgroupname a ID nejsou podporované operátory filtru.
1.2 Oprávnění
K volání tohoto rozhraní API se vyžaduje jedno z následujících oprávnění. Další informace, včetně způsobu výběru oprávnění, najdete v tématu Použití rozhraní API Microsoft Defender for Endpoint.
| Typ oprávnění | Oprávnění | Zobrazovaný název oprávnění |
|---|---|---|
| Application | Machine.Read.All | Read all machine profiles (Číst všechny profily počítačů) |
| Delegovaný (pracovní nebo školní účet) | Machine.Read | Čtení informací o počítači |
Adresa URL 1.3 (požadavek HTTP)
URL: GET: /api/deviceavinfo
1.3.1 Hlavičky požadavků
| Name (Název) | Typ | Popis |
|---|---|---|
| Autorizace | String | Nosný {token}. Požadované. |
1.3.2 Text požadavku
Prázdné
1.3.3 Odpověď
V případě úspěchu vrátí tato metoda hodnotu 200 OK se seznamem podrobností o stavu zařízení.
1.4 Parametry
- Výchozí velikost stránky je 20.
- Podívejte se na příklady dotazů OData s Microsoft Defender for Endpoint.
1.5 Vlastnosti
Podporuje dotazy OData V4.
1.6 Příklad
Příklad požadavku
Tady je příklad požadavku:
GET https://api.securitycenter.microsoft.com/api/deviceavinfo
Příklad odpovědi
Tady je příklad odpovědi:
{
@odata.context: "https://api.securitycenter.microsoft.com/api/$metadata#DeviceAvInfo",
"value": [{
"id": "Sample Guid",
"machineId": "Sample Machine Guid",
"computerDnsName": "appblockstg1",
"osKind": "windows",
"osPlatform": "Windows10",
"osVersion": "10.0.19044.1865",
"avMode": "0",
"avSignatureVersion": "1.371.1279.0",
"avEngineVersion": "1.1.19428.0",
"avPlatformVersion": "4.18.2206.108",
"lastSeenTime": "2022-08-02T19:40:45Z",
"quickScanResult": "Completed",
"quickScanError": "",
"quickScanTime": "2022-08-02T18:40:15.882Z",
"fullScanResult": "",
"fullScanError": "",
"fullScanTime": null,
"dataRefreshTimestamp": "2022-08-02T21:16:23Z",
"avEngineUpdateTime": "2022-08-02T00:03:39Z",
"avSignatureUpdateTime": "2022-08-02T00:03:39Z",
"avPlatformUpdateTime": "2022-06-20T16:59:35Z",
"avIsSignatureUpToDate": "True",
"avIsEngineUpToDate": "True",
"avIsPlatformUpToDate": "True",
"avSignaturePublishTime": "2022-08-02T00:03:39Z",
"rbacGroupName": "TVM1",
"rbacGroupId": 4415
},
...
]
}
2 Export sestav stavu (prostřednictvím souborů)
Důležité
Informace v této části se týkají předem vydaných produktů, které mohou být před komerčním vydáním podstatně změněny. Společnost Microsoft neposkytuje v souvislosti se zde uvedenými informacemi žádné výslovné ani předpokládané záruky.
2.1 Popis metody rozhraní API
Tato odpověď rozhraní API obsahuje všechna data o stavu antivirové ochrany a stavu jednotlivých zařízení. Vrátí tabulku s položkou pro každou jedinečnou kombinaci:
- Deviceid
- název zařízení
- Režim AV
- Aktuální stav
- Výsledky kontroly
2.1.2 Omezení
- Maximální velikost stránky je 200 000.
- Omezení rychlosti pro toto rozhraní API jsou 30 volání za minutu a 1 000 volání za hodinu.
2.2 Oprávnění
K volání tohoto rozhraní API se vyžaduje jedno z následujících oprávnění.
| Typ oprávnění | Oprávnění | Zobrazovaný název oprávnění |
|---|---|---|
| Application | Vulnerability.Read.All | Čtení informací o ohrožení zabezpečení "Threat and Vulnerability Management" |
| Delegovaný (pracovní nebo školní účet) | Vulnerability.Read | Čtení informací o ohrožení zabezpečení "Threat and Vulnerability Management" |
Další informace, včetně postupu výběru oprávnění, najdete v tématu Použití rozhraní MICROSOFT DEFENDER FOR ENDPOINT API.
Adresa URL verze 2.3
GET /api/machines/InfoGatheringExport
2.4 Parametry
sasValidHours: Počet hodin, po které budou adresy URL pro stahování platné (maximálně 24 hodin).
2.5 Vlastnosti
2.6 Příklady
2.6.1 Příklad požadavku
Tady je příklad požadavku:
GET https://api-us.securitycenter.contoso.com/api/machines/InfoGatheringExport
2.6.2 Příklad odpovědi
Tady je příklad odpovědi:
{
"@odata.context": "https://api-us.securitycenter.windows.com/api/$metadata#microsoft.windowsDefenderATP.api.ExportFilesResponse",
"exportFiles": [
"https://tvmexportexternalprdeus.blob.core.windows.net/temp-../2022-08-02/2201/InfoGatheringExport/json/OrgId=../_RbacGroupId=../part-00055-12fc2fcd-8f56-4e09-934f-e8efe7ce74a0.c000.json.gz?sv=2020-08-04&st=2022-08-02T22%3A47%3A11Z&se=2022-08-03T01%3A47%3A11Z&sr=b&sp=r&sig=..",
"https://tvmexportexternalprdeus.blob.core.windows.net/temp-../2022-08-02/2201/InfoGatheringExport/json/OrgId=../_RbacGroupId=../part-00055-12fc2fcd-8f56-4e09-934f-e8efe7ce74a0.c000.json.gz?sv=2020-08-04&st=2022-08-02T22%3A47%3A11Z&se=2022-08-03T01%3A47%3A11Z&sr=b&sp=r&sig=.."
],
"generatedTime": "2022-08-02T22:01:00Z"
}
Tip
Tip k výkonu Vzhledem k různým faktorům (příklady uvedené níže) může Microsoft Defender Antivirus, stejně jako ostatní antivirový software, způsobovat problémy s výkonem koncových zařízení. V některých případech může být potřeba vyladit výkon Microsoft Defender Antivirové ochrany, aby se tyto problémy s výkonem zmírnily. Analyzátor výkonu od Microsoftu je nástroj příkazového řádku PowerShellu, který pomáhá určit, které soubory, cesty k souborům, procesy a přípony souborů můžou způsobovat problémy s výkonem. Mezi příklady patří:
- Hlavní cesty, které mají vliv na dobu kontroly
- Hlavní soubory, které mají vliv na dobu kontroly
- Hlavní procesy, které mají vliv na dobu kontroly
- Hlavní přípony souborů, které mají vliv na dobu kontroly
- Kombinace – například:
- top files per extension
- top paths per extension
- top processes per path
- top scans per file
- top scans per file per process
Informace shromážděné pomocí Analyzátoru výkonu můžete použít k lepšímu posouzení problémů s výkonem a k použití nápravných akcí. Viz Analyzátor výkonu pro Microsoft Defender Antivirus.
Viz také
Metody a vlastnosti exportu stavu zařízení
Sestavy stavu zařízení a dodržování předpisů
Tip
Chcete se dozvědět více? Zapojte se do komunity zabezpečení Microsoftu v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.