Enhedstilstand, Microsoft Defender Antivirus-tilstandsrapport
Gælder for:
- Microsoft Defender XDR
- Microsoft Defender for Endpoint
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender for Business
Vil du opleve Microsoft Defender for Endpoint? Tilmeld dig en gratis prøveversion.
Rapporten Enhedstilstand indeholder oplysninger om enhederne i din organisation. Rapporten indeholder populære oplysninger, der viser antivirusstatussen og Microsoft Defender Antivirus-programmet, intelligens og platformversioner.
Vigtigt!
Hvis enheder skal vises i Microsoft Defender Antivirus-enhedstilstandsrapporter, skal de opfylde følgende forudsætninger:
- Enheden er onboardet til Microsoft Defender for Endpoint
- OS: Windows 10, Windows 11, Windows Server 2012 R2/, 2016 R2/ 2019/2022 (ikke MMA), MacOS, Linux
- Sanse (MsSense.exe): 10,8210. *+. Se afsnittet Forudsætninger for at få relaterede oplysninger.
Hvis Windows Server 2012 R2 og Windows Server 2016 skal vises i enhedstilstandsrapporter, skal disse enheder onboardes ved hjælp af den moderne samlede løsningspakke. Du kan få flere oplysninger under Ny funktionalitet i den moderne samlede løsning til Windows Server 2012 R2 og 2016.
Vælg Rapporter i navigationsruden i Microsoft Defender-portalen, og åbn derefter Enhedens tilstand og overholdelse af angivne standarder. Fanen Microsoft Defender Antivirus-tilstand indeholder otte kort, der rapporterer om følgende aspekter af Microsoft Defender Antivirus:
- Antivirustilstandskort
- Antivirusprogramversionskort
- Versionskort til antivirus security intelligence
- Antivirusplatformsversionskort
- Resultatkort for seneste antivirusscanning
- Kort til opdatering af antivirusprogram
- Kortet Sikkerhedsintelligensopdateringer
- Kort til opdatering af antivirusplatform
Adgangstilladelser til rapporter
Følgende tilladelser kræves for at få adgang til rapporten om enhedens tilstand og antivirus på Microsoft Defender-portalen:
| Tilladelsesnavn | Tilladelsestype |
|---|---|
| Vis data | Trussels- og sårbarhedsstyring (TVM) |
Vigtigt!
Microsoft anbefaler, at du bruger roller med færrest tilladelser. Dette hjælper med at forbedre sikkerheden for din organisation. Global administrator er en yderst privilegeret rolle, der bør være begrænset til nødsituationer, når du ikke kan bruge en eksisterende rolle.
Sådan tildeler du disse tilladelser:
Log på Microsoft Defender-portalen ved hjælp af en konto med rollen Sikkerhedsadministrator eller Global administrator tildelt.
I navigationsruden skal du vælge Indstillinger>Slutpunkter>Roller (under Tilladelser).
Vælg den rolle, du vil redigere.
Vælg Rediger.
Skriv et navn til rollen i Rollenavn under fanen Generelt under Rediger rolle.
I Beskrivelse skal du skrive en kort oversigt over rollen.
Under Tilladelser skal du vælge Vis data og under Vis data skal du vælge Trussels- og sårbarhedsstyring (TVM).
Du kan få flere oplysninger om administration af brugerroller under Opret og administrer roller for rollebaseret adgangskontrol.
Fanen Microsoft Defender Antivirus-tilstand
Fanen Microsoft Defender Antivirus-tilstand indeholder otte kort, der rapporterer om flere aspekter af Microsoft Defender Antivirus i din organisation:
To kort, Antivirus mode card og Recent antivirus scan results card, report about Microsoft Defender Antivirus functions.
De resterende seks kort rapporterer om status for Microsoft Defender Antivirus for enheder i din organisation:
version Kort: |
update kort{1} |
|---|---|
| Antivirusprogramversionskort Versionskort til antivirus security intelligence Antivirusplatformsversionskort |
Kort til opdatering af antivirusprogram Kortet Sikkerhedsintelligensopdateringer Kort til opdatering af antivirusplatform |
| De tre versionskort indeholder pop op-rapporter, der indeholder yderligere oplysninger og giver mulighed for yderligere udforskning. | De tre opdaterede rapporteringskort indeholder links til ressourcer for at få mere at vide. |
{1} For de tre updates kort (også kendt som opdaterede rapporteringskort) angiver "Ingen tilgængelige data" (eller "Ukendt" værdi) enheder, der ikke rapporterer opdateringsstatus. Enheder, der ikke rapporterer opdateringsstatus, kan skyldes forskellige årsager, f.eks.:
- Computeren er afbrudt fra netværket.
- Computeren er slukket eller i dvaletilstand.
- Microsoft Defender Antivirus er deaktiveret.
- Enheden er en enhed, der ikke er Windows (Mac eller Linux).
- Cloudbeskyttelse er ikke aktiveret.
- Enheden opfylder ikke forudsætninger for antivirusprogram eller platformversion.
Forudsætninger
Opdateret rapportering genererer oplysninger om enheder, der opfylder følgende kriterier:
Programversion: 1.1.19300.2+
Platformversion: 4.18.2202.1+
Cloudbeskyttelse er aktiveret
Sanse (MsSense.exe): 10,8210. *+
Windows OS – Windows 10 1809 eller nyere
Bemærk!
* Aktuelt opdateret rapportering er kun tilgængelig for Windows-enheder. Enheder på tværs af platforme, f.eks. Mac og Linux, er angivet under "Ingen tilgængelige data"/Ukendt.
Kortfunktionalitet
Funktionaliteten er stort set den samme for alle kort. Når du klikker på en nummereret linje på et af kortene, åbnes microsoft Defender Antivirus-pop op-vinduet med detaljer, så du kan gennemse oplysninger om alle de enheder, der er konfigureret med versionsnummeret for et aspekt på det pågældende kort.
Hvis det versionsnummer, du klikkede på, er:
- En aktuel version, derefter kræves der afhjælpning , og sikkerhedsanbefaling er ikke til stede.
- En forældet version, en meddelelse øverst i rapporten er til stede, der angiver afhjælpning påkrævet, og der findes et link til sikkerhedsanbefaling . Vælg linket med sikkerhedsanbefaling for at navigere til konsollen til administration af trusler og sårbarheder, som kan anbefale relevante antivirusopdateringer.
Hvis du vil tilføje eller fjerne bestemte typer oplysninger i detaljevinduet til Microsoft Defender Antivirus , skal du vælge Tilpas kolonner. I Tilpas kolonner skal du vælge eller rydde elementer for at angive, hvad du vil medtage i detaljerapporten microsoft Defender Antivirus.
Nye microsoft Defender Antivirus-filterdefinitioner
Følgende tabel indeholder en liste over ord, der er nye i microsoft Defender Antivirus-rapportering.
| Kolonnenavn | Beskrivelse |
|---|---|
| Udgivelsestid for sikkerhedsintelligens | Angiver Microsofts udgivelsesdato for versionen af sikkerhedsintelligensopdateringen på enheden. Enheder med en publiceringstid for sikkerhedsintelligens, der er større end syv dage, anses for at være forældede i rapporterne. |
| Sidst set | Angiver den dato, hvor enheden sidst havde forbindelse. |
| Tidsstempel for opdatering af data | Angiver, hvornår klienthændelser senest blev modtaget for rapportering om: AV-tilstand, AV-programversion, AV-platformversion, AV-sikkerhedsintelligensversion og scanningsoplysninger. |
| Opdateringstid for signatur | Angiver, hvornår klienthændelser senest blev modtaget for rapportering på program, platform og signatur opdateret status. |
I pop op-vinduet: Hvis du klikker på navnet på enheden, omdirigeres du til "Enhedssiden" for den pågældende enhed, hvor du kan få adgang til detaljerede rapporter.
Eksportér rapport
Der er to niveauer af rapporter, som du kan eksportere:
Eksport på øverste niveau
Der er to forskellige eksport-csv-funktioner via portalen:
- Eksport på øverste niveau. Du kan bruge knappen Eksportér på øverste niveau til at indsamle en microsoft Defender Antivirus-tilstandsrapport (grænse på 500 K).
- Eksport på pop op-niveau. Du kan bruge knappen Eksportér i pop op-vinduet til at eksportere en rapport til et Excel-regneark (en grænse på 100 kb).
Eksporterede rapporter henter oplysninger baseret på dit indgangspunkt i detaljerapporten, og hvilke filtre eller brugerdefinerede kolonner du har angivet.
Du kan få oplysninger om eksport ved hjælp af API i følgende artikler:
- Eksportér tilstandsrapport for enheds antivirus
- Eksportér API-metoder og -egenskaber for oplysninger om enhedens antivirustilstand
Vigtigt!
I øjeblikket er det kun Antivirus Health JSON Response , der er offentligt tilgængelig. API til antivirustilstand via filer er kun tilgængelig i en offentlig prøveversion.
Den brugerdefinerede forespørgsel Avanceret jagt er i øjeblikket kun tilgængelig i en offentlig prøveversion, selvom forespørgslerne er synlige.
Version og opdatering af kortfunktionalitet i Microsoft Defender Antivirus
Følgende er beskrivelser af de seks kort, der rapporterer om version oplysningerne og update for Microsoft Defender Antivirus-programmet, sikkerhedsintelligens og platformkomponenter:
Fuld rapport
På et af de tre version kort skal du vælge Vis fuld rapport for at få vist de ni nyeste Microsoft Defender Antivirus-rapporter version for hver af de tre enhedstyper: Windows, Mac og Linux. Hvis der findes færre end ni, vises de alle. En anden kategori registrerer de seneste versioner af antivirusprogrammet, der rangerer 10. og nedenfor, hvis de registreres.
En primær fordel ved de tre version kort er, at de giver hurtige indikatorer for, om de mest aktuelle versioner af antivirusprogrammer, platforme og sikkerhedsintelligens anvendes. Sammen med de detaljerede oplysninger, der er knyttet til kortet, bliver versionskortene et effektivt værktøj til at kontrollere, om versioner er opdaterede, og til at indsamle oplysninger om individuelle computere eller grupper af computere.
Når du kører disse rapporter, angiver de ideelt set, at de mest aktuelle antivirusversioner er installeret i modsætning til ældre versioner.
Brug disse rapporter til at afgøre, om din organisation udnytter de nyeste versioner fuldt ud.
Hvis du vil sikre, at din antimalwareløsning registrerer de nyeste trusler, skal du hente opdateringer automatisk som en del af Windows Update.
Du kan finde flere oplysninger om de aktuelle versioner, og hvordan du opdaterer de forskellige Microsoft Defender Antivirus-komponenter, ved at besøge support til Microsoft Defender Antivirus-platformen.
Kortbeskrivelser
Følgende er korte oversigter over de indsamlede oplysninger, der er rapporteret på hvert kort Antivirus version :
Antivirustilstandskort
Rapporter om, hvor mange enheder i din organisation – på den dato, der er angivet på kortet – er i en af følgende Microsoft Defender Antivirus-tilstande:
| værdi | tilstand |
|---|---|
0 |
Active |
1 |
Passive |
2 |
Disabled (fjernet, deaktiveret eller SideBySidePassive {også kendt som Lav periodisk scanning}) |
3 |
Others (Kører ikke, ukendt) |
4 |
EDRBlocked |
Følgende er beskrivelser for hver tilstand:
- Aktiv tilstand – I aktiv tilstand bruges Microsoft Defender Antivirus som den primære antivirusapp på enheden. Filer scannes, trusler afhjælpes, og registrerede trusler er angivet i din organisations sikkerhedsrapporter og i din Windows Sikkerhed-app.
- Passiv tilstand – I passiv tilstand bruges Microsoft Defender Antivirus ikke som den primære antivirusapp på enheden. Filer scannes, og registrerede trusler rapporteres, men trusler afhjælpes ikke af Microsoft Defender Antivirus. VIGTIGT: Microsoft Defender Antivirus kan kun køre i passiv tilstand på slutpunkter, der er onboardet til Microsoft Defender for Endpoint. Se Krav til Microsoft Defender Antivirus for at køre i passiv tilstand.
- Deaktiveret tilstand – synonym med: fjernet, deaktiveret, sideBySidePassive og Lav periodisk scanning. Når funktionen er deaktiveret, bruges Microsoft Defender Antivirus ikke. Filer scannes ikke, og trusler afhjælpes ikke. Generelt anbefaler Microsoft ikke, at du deaktiverer eller fjerner Microsoft Defender Antivirus.
- Andre-tilstand - kører ikke, ukendt
- EDR i bloktilstand – i blokeret tilstand for slutpunktsregistrering og svar (EDR). Se Registrering af slutpunkt og svar i bloktilstand
Enheder, der er i enten passiv, LPS eller Fra, udgør en potentiel sikkerhedsrisiko og bør undersøges.
Du kan finde flere oplysninger om LPS under Brug begrænset periodisk scanning i Microsoft Defender Antivirus.
Resultatkort for seneste antivirusscanning
Dette kort har to søjlediagrammer, der viser alle resultater for hurtige scanninger og komplette scanninger. I begge grafer angiver den første søjle fuldførelseshastigheden for scanninger og angiver Fuldført, Annulleret eller Mislykket. Den anden søjle i hvert afsnit indeholder fejlkoder til mislykkede scanninger. Ved at scanne kolonnerne med tilstands- og seneste scanningsresultater kan du hurtigt identificere enheder, der ikke er i aktiv antivirusscanningstilstand, og enheder, der har mislykket eller annulleret de seneste antivirusscanninger. Du kan vende tilbage til rapporten med disse oplysninger og indsamle flere oplysninger og sikkerhedsanbefalinger. Hvis der rapporteres fejlkoder på dette kort, er der et link til at få mere at vide om fejlkoder.
Du kan finde flere oplysninger om de aktuelle Versioner af Microsoft Defender Antivirus, og hvordan du opdaterer de forskellige Microsoft Defender Antivirus-komponenter, ved at gå til Administrer Opdateringer til Microsoft Defender Antivirus og anvende grundlinjer.
Antivirusprogramversionskort
Viser resultaterne i realtid af de nyeste versioner af Microsoft Defender Antivirus-programmet, der er installeret på tværs af Windows-enheder, Mac-enheder og Linux-enheder i din organisation. Microsoft Defender Antivirus-programmet opdateres månedligt. Du kan få flere oplysninger om de aktuelle versioner, og hvordan du opdaterer de forskellige Microsoft Defender Antivirus-komponenter, under Understøttelse af Microsoft Defender Antivirus-platformen.
Versionskort til antivirus security intelligence
Viser de mest almindelige Microsoft Defender Antivirus-sikkerhedsintelligensversioner, der er installeret på enheder på netværket. Microsoft opdaterer løbende Microsoft Defender-sikkerhedsintelligens for at håndtere de nyeste trusler og for at tilpasse registreringslogik. Disse forbedringer af sikkerhedsintelligens forbedrer muligheden for, at Microsoft Defender Antivirus (og andre Microsoft antimalwareløsninger) præcist identificerer potentielle trusler. Denne sikkerhedsintelligens fungerer direkte sammen med cloudbaseret beskyttelse for at levere AI-forbedret beskyttelse i næste generation, der er hurtig og effektiv.
Antivirusplatformsversionskort
Viser resultaterne i realtid af de nyeste versioner af Microsoft Defender Antivirus-platformen, der er installeret på tværs af versioner af Windows-, Mac- og Linux-enheder i din organisation. Microsoft Defender Antivirus-platformen opdateres månedligt. Du kan få flere oplysninger om de aktuelle versioner, og hvordan du opdaterer de forskellige Microsoft Defender Antivirus-komponenter, under Understøttelse af Microsoft Defender Antivirus-platformen
Opdaterede kort
De opdaterede kort viser den opdaterede status for antivirusprogram, antivirusplatform og sikkerhedsintelligensopdateringsversioner . Der er tre mulige tilstande: Up to date (True), out of date (False) og no data available (Unknown).
Vigtigt!
Den logik, der bruges til at foretage opdaterede beslutninger, er for nylig blevet forbedret og forenklet. Den nye funktionsmåde er dokumenteret i dette afsnit.
Definitioner for Up to date, out of dateog no data available er angivet for hvert kort nedenfor.
Microsoft Defender Antivirus bruger de ekstra kriterier for "Opdateringstid for signatur" (sidste gang enheden kommunikerede med opdaterede rapporter) til at oprette opdaterede rapporter og bestemmelse for opdateringer af program, platform og sikkerhedsintelligens.
Den opdaterede status markeres automatisk som "ukendt" eller "ingen tilgængelige data", hvis enheden ikke har kommunikeret med rapporter i mere end syv dage (opdateringstid >for signatur 7).
Du kan finde flere oplysninger om ovennævnte vilkår i afsnittet : Nye Microsoft Defender Antivirus-filterdefinitioner
Bemærk!
Opdateret rapportering genererer oplysninger om enheder, der opfylder følgende kriterier:
- Programversion:
1.1.19300.2eller nyere - Platformversion:
4.18.2202.1eller nyere - Cloudbeskyttelse er aktiveret
- Windows OS
Aktuelt opdateret rapportering er kun tilgængelig for Windows-enheder. Enheder på tværs af platforme, f.eks. Mac og Linux, er angivet under no data available.>
Opdaterede definitioner
Følgende er opdaterede definitioner for program og platform:
| Motoren/platformen på enheden anses for at være: | Situation |
|---|---|
| Opdateret | Hvis enheden kommunikerede med Defender-rapporthændelsen (Signature refresh time) inden for de seneste syv dage, og program- eller platformbuildversionen er større end eller lig med (>=) den seneste månedlige version. |
| Forældet | Hvis enheden har kommunikeret med Defender-rapporthændelsen (Signature refresh time) inden for de seneste syv dage, men program- eller platformbuildversionen er mindre end (<) den seneste månedlige version. |
| ukendt (ingen tilgængelige data) | Hvis enheden ikke har kommunikeret med rapporthændelsen (Signature refresh time) i mere end syv dage. |
Følgende er definitionerne for opdateret sikkerhedsintelligens:
| Sikkerhedsintelligensopdateringen overvejes: | Situation |
|---|---|
| Opdateret | Hvis security intelligence-versionen på enheden er skrevet inden for de seneste syv dage, og enheden har kommunikeret med rapporthændelsen i løbet af de seneste syv dage. |
Du kan finde flere oplysninger under:
- Kort til opdatering af antivirusprogram
- Kortet Sikkerhedsintelligensopdateringer
- Kort til opdatering af antivirusplatform
Kort til opdatering af antivirusprogram
Dette kort identificerer enheder, der har versioner af antivirusprogrammet, som er opdaterede i forhold til forældede.
Den generelle definition af up to date – Programversionen på enheden er den seneste programversion. Programmet udgives typisk månedligt via Windows Update (WU). Der er en tre-dages respitperiode fra den dag, hvor Windows Update (WU) udgives.
I følgende tabel beskrives de mulige værdier for opdaterede rapporter for Antivirus Engine. Rapporteret status er baseret på det sidste tidspunkt, hvor rapporteringshændelsen blev modtaget (tidspunktet for opdateringen af signaturen). Hvis enheden ikke har kommunikeret med rapporter i mere end syv dage (tidspunktet >for signaturopdatering 7 dage), markeres status automatisk som / UnknownNo Data Available .
| Tidspunktet for seneste opdatering af begivenheden (også kendt som "Tidspunkt for opdatering af signatur" i rapporter) | Rapporteret status |
|---|---|
| < 7 dage (ny) | uanset klientrapporter (opdateret Forældet Ukendt) |
| > 7 dage (gammel) | Unknown |
Du kan få mere at vide om Administrer microsoft Defender Antivirus-opdateringsversioner under Månedlige platform- og programversioner.
Kort til opdatering af antivirusplatform
Dette kort identificerer enheder, der har antivirusplatformsversioner, der er opdaterede i forhold til forældede.
Den generelle definition af up to date er, at platformversionen på enheden er den nyeste platformudgivelse. Platformen udgives typisk månedligt via Windows Update (WU). Der er en tre-dages respitperiode fra den dag, hvor WU udgives.
I følgende tabel beskrives de mulige opdaterede rapportværdier for Antivirus Platform. Rapporterede værdier er baseret på det sidste tidspunkt, hvor rapporteringshændelsen blev modtaget (tidspunktet for opdateringen af signaturen). Hvis enheden ikke har kommunikeret med rapporter i mere end syv dage (tidspunktet >for signaturopdatering 7 dage), markeres status automatisk som/ UnknownNo Data Available .
| Tidspunktet for seneste opdatering af begivenheden (også kendt som "Tidspunkt for opdatering af signatur" i rapporter) | Rapporteret status |
|---|---|
| < 7 dage (ny) | uanset klientrapporter (Up to date Out of date Unknown) |
| > 7 dage (gammel) | Unknown |
Du kan få mere at vide om Administrer microsoft Defender Antivirus-opdateringsversioner under Månedlige platform- og programversioner.
Kortet Sikkerhedsintelligensopdateringer
Dette kort identificerer enheder, der har sikkerhedsintelligensversioner, der er opdaterede i forhold til forældede.
Den generelle definition af up to date er, at versionen af security intelligence på enheden er skrevet inden for de seneste 7 dage.
I følgende tabel beskrives de mulige opdaterede rapportværdier for Security Intelligence-opdateringer . Rapporterede værdier er baseret på det sidste tidspunkt, hvor rapporteringshændelsen blev modtaget, og tidspunktet for publicering af sikkerhedsintelligens. Hvis enheden ikke har kommunikeret med rapporter i mere end syv dage (tidspunktet >for signaturopdatering 7 dage), markeres status automatisk som Unknown/ No Data Available. I modsat fald bestemmes det, om publiceringstiden for sikkerhedsintelligens er inden for syv dage.
| Tidspunkt for seneste opdatering af begivenheden (Også kendt som "Opdateringstid for signatur" i rapporter) |
Udgivelsestid for Sikkerhedsintelligens | Rapporteret status |
|---|---|---|
| >7 dage (gammel) | >7 dage (gammel) | Unknown |
| <7 dage (ny) | >7 dage (gammel) | Out of date |
| >7 dage (gammel) | <7 dage (ny) | Unknown |
| <7 dage (ny) | <7 dage (ny) | Up to date |
Se også
Tip
Tip til ydeevne På grund af en række forskellige faktorer (eksempler nedenfor) kan Microsoft Defender Antivirus, ligesom andre antivirusprogrammer, medføre problemer med ydeevnen på slutpunktsenheder. I nogle tilfælde kan det være nødvendigt at justere ydeevnen af Microsoft Defender Antivirus for at afhjælpe disse problemer med ydeevnen. Microsofts Effektivitetsanalyse er et PowerShell-kommandolinjeværktøj, der hjælper med at finde ud af, hvilke filer, filstier, processer og filtypenavne der kan forårsage problemer med ydeevnen. nogle eksempler er:
- Topstier, der påvirker scanningstiden
- De mest populære filer, der påvirker scanningstiden
- De vigtigste processer, der påvirker scanningstiden
- De mest populære filtypenavne, der påvirker scanningstiden
- Kombinationer – f.eks.:
- topfiler pr. filtypenavn
- øverste stier pr. udvidelse
- topprocesser pr. sti
- mest populære scanninger pr. fil
- mest populære scanninger pr. fil pr. proces
Du kan bruge de oplysninger, der indsamles, ved hjælp af Effektivitetsanalyse til bedre at vurdere problemer med ydeevnen og anvende afhjælpningshandlinger. Se: Effektivitetsanalyse til Microsoft Defender Antivirus.
- Eksportér API-metoder og -egenskaber for oplysninger om enhedens antivirustilstand
- Eksportér tilstandsrapport for enheds antivirus
- Rapport om trusselsbeskyttelse
Tip
Hvis du vil have antivirusrelaterede oplysninger til andre platforme, skal du se:
- Angiv indstillinger for Microsoft Defender for Endpoint på macOS-
- Microsoft Defender for Endpoint på Mac
- Politikindstillinger for macOS Antivirus for Microsoft Defender Antivirus for Intune
- Angiv indstillinger for Microsoft Defender for Endpoint på Linux
- Microsoft Defender for Endpoint på Linux
- Konfigurer Defender for Endpoint på Android-funktioner
- Konfigurer Microsoft Defender for Endpoint på iOS-funktioner
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender for Endpoint Tech Community.
Feedback
Kommer snart: I hele 2024 udfaser vi GitHub-problemer som feedbackmekanisme for indhold og erstatter det med et nyt feedbacksystem. Du kan få flere oplysninger under: https://aka.ms/ContentUserFeedback.
Indsend og få vist feedback om