Share via

Eksportér tilstandsrapport for enheds antivirus

  • Artikel

Gælder for:

Vil du opleve Microsoft Defender for Endpoint? Tilmeld dig en gratis prøveversion.

Bemærk!

Hvis du er us government-kunde, skal du bruge de URI'er, der er angivet i Microsoft Defender for Endpoint for us Government-kunder.

Tip

For at opnå en bedre ydeevne kan du bruge serveren tættere på din geografiske placering:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com

Vigtigt!

Nogle oplysninger i denne artikel er relateret til et produkt, der er udgivet på forhånd, og som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, udtrykt eller stiltiende, med hensyn til de oplysninger, der er angivet her.

Denne API har to metoder til at hente Microsoft Defender antivirusoplysninger om antivirus på enheden:

  • Metode 1:1 Eksportér tilstandsrapportering (JSON-svar) Metoden henter alle data i din organisation som JSON-svar. Denne metode er bedst til små organisationer med mindre end 100.000 enheder. Svaret er sideinddelt, så du kan bruge feltet @odata.nextLink fra svaret til at hente de næste resultater.

  • Metode 2:2 Eksportér tilstandsrapportering (via filer) Denne metode gør det muligt at trække større mængder data hurtigere og mere pålideligt. Det anbefales derfor til store organisationer med mere end 100.000 enheder. Denne API henter alle data i din organisation som downloadfiler. Svaret indeholder URL-adresser til download af alle data fra Azure Storage. Denne API giver dig mulighed for at downloade alle dine data fra Azure Storage på følgende måde:

    • Kald API'en for at få en liste over URL-adresser til download med alle dine organisationsdata.
    • Download alle filerne ved hjælp af URL-adresserne til download, og behandl dataene, som du vil.

Data, der indsamles ved hjælp af enten 'JSON-svar eller via filer', er det aktuelle snapshot af den aktuelle tilstand. Den indeholder ikke historiske data. For at indsamle historiske data skal kunderne gemme dataene i deres egne datalagre. Se Oplysninger om API-metoder og -egenskaber for eksport af enhedstilstand.

Vigtigt!

I øjeblikket er det kun Antivirus Health JSON Response , der er offentligt tilgængelig. Api til antivirustilstand via filer er i øjeblikket kun tilgængelig som offentlig prøveversion.

Den brugerdefinerede forespørgsel Avanceret jagt er i øjeblikket kun tilgængelig i en offentlig prøveversion, selvom forespørgslerne stadig er synlige.

Vigtigt!

Hvis Windows Server 2012 R2 og Windows Server 2016 skal vises i enhedstilstandsrapporter, skal disse enheder onboardes ved hjælp af den moderne samlede løsningspakke. Du kan få flere oplysninger under Ny funktionalitet i den moderne samlede løsning til Windows Server 2012 R2 og 2016.

Bemærk!

Du kan få oplysninger om, hvordan du bruger rapporteringsværktøjet til enhedstilstand og antivirus i Microsoft 365 Security-dashboardet, i: Rapport over enhedens tilstand og antivirus overholdelse i Microsoft Defender for Endpoint.

1 Eksportér tilstandsrapportering (JSON-svar)

Beskrivelse af API-metoden 1.1

Denne API henter en liste over oplysninger om Microsoft Defender Antivirus-enhedens antivirustilstand. Returnerer en tabel med en post for hver entydige kombination af:

  • Deviceid
  • Enhedsnavn
  • AV-tilstand
  • Opdateret status
  • Scan resultater

1.1.1 Begrænsninger

  • den maksimale sidestørrelse er 200.000
  • Hastighedsbegrænsninger for denne API er 30 kald pr. minut og 1.000 opkald pr. time.

OData-understøttede operatorer

  • $filteron: machineId, computerDnsName, osKind, osPlatform, osVersion, avMode, avSignatureVersion, avEngineVersion, avPlatformVersion, quickScanResult, quickScanError, fullScanResult, fullScanError, avIsSignatureUpToDateavIsEngineUpToDate, , avIsPlatformUpToDaterbacGroupId
  • $top med en maksimumværdi på 10.000.
  • $skip

Vigtigt!

Bemærk, at rbacgroupname og Id ikke understøttes filteroperatorer.

1.2 Tilladelser

En af følgende tilladelser er påkrævet for at kalde denne API. Du kan få mere at vide, herunder hvordan du vælger tilladelser, under Brug Microsoft Defender for Endpoint API'er for at få flere oplysninger.

Tilladelsestype Tilladelse Vist navn for tilladelse
Program Machine.Read.All 'Læs alle computerprofiler'
Uddelegeret (arbejds- eller skolekonto) Machine.Read 'Læs computeroplysninger'

1.3 URL-adresse (HTTP-anmodning)

URL: GET: /api/deviceavinfo

1.3.1 Anmodningsheadere

Navn Type Beskrivelse
Tilladelse String Ihændehaver {token}. Kræves.

1.3.2 Brødtekst i anmodning

Tom

1.3.3 Svar

Hvis det lykkes, returnerer denne metode 200 OK med en liste over oplysninger om enhedens tilstand.

1.4 Parametre

1.5 Egenskaber

Se: 1.3 Eksportér API-egenskaber (JSON-svar) for oplysninger om enhedens antivirustilstand

Understøtter OData V4-forespørgsler.

1.6 Eksempel

Eksempel på anmodning

Her er et eksempel på en anmodning:

GET https://api.securitycenter.microsoft.com/api/deviceavinfo

Svareksempel

Her er et eksempel på et svar:

{

    @odata.context: "https://api.securitycenter.microsoft.com/api/$metadata#DeviceAvInfo",

"value": [{

            "id": "Sample Guid",

            "machineId": "Sample Machine Guid",

            "computerDnsName": "appblockstg1",

            "osKind": "windows",

            "osPlatform": "Windows10",

            "osVersion": "10.0.19044.1865",

            "avMode": "0",

            "avSignatureVersion": "1.371.1279.0",

            "avEngineVersion": "1.1.19428.0",

            "avPlatformVersion": "4.18.2206.108",

            "lastSeenTime": "2022-08-02T19:40:45Z",

            "quickScanResult": "Completed",

            "quickScanError": "",

            "quickScanTime": "2022-08-02T18:40:15.882Z",

            "fullScanResult": "",

            "fullScanError": "",

            "fullScanTime": null,

            "dataRefreshTimestamp": "2022-08-02T21:16:23Z",

            "avEngineUpdateTime": "2022-08-02T00:03:39Z",

            "avSignatureUpdateTime": "2022-08-02T00:03:39Z",

            "avPlatformUpdateTime": "2022-06-20T16:59:35Z",

            "avIsSignatureUpToDate": "True",

            "avIsEngineUpToDate": "True",

            "avIsPlatformUpToDate": "True",

            "avSignaturePublishTime": "2022-08-02T00:03:39Z",

            "rbacGroupName": "TVM1",

            "rbacGroupId": 4415

        },

        ...

     ]

}

2 Eksportér tilstandsrapportering (via filer)

Vigtigt!

Oplysningerne i dette afsnit er relateret til et produkt, der er udgivet på forhånd, og som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, hverken udtrykkelige eller underforståede, med hensyn til de oplysninger, der gives her.

2.1 Beskrivelse af API-metode

Dette API-svar indeholder alle data for Antivirus-tilstand og -status pr. enhed. Returnerer en tabel med en post for hver entydige kombination af:

  • Deviceid
  • enhedsnavn
  • AV-tilstand
  • Opdateret status
  • Scan resultater

2.1.2 Begrænsninger

  • Den maksimale sidestørrelse er 200.000.
  • Hastighedsbegrænsninger for denne API er 30 kald pr. minut og 1.000 opkald pr. time.

2.2 Tilladelser

En af følgende tilladelser er påkrævet for at kalde denne API.

Tilladelsestype Tilladelse Vist navn for tilladelse
Program Vulnerability.Read.All Læs oplysninger om "Håndtering af trusler og sikkerhedsrisici"
Uddelegeret (arbejds- eller skolekonto) Vulnerability.Read Læs oplysninger om "Håndtering af trusler og sikkerhedsrisici"

Du kan få mere at vide, herunder hvordan du vælger tilladelser, under Brug Microsoft Defender for Endpoint API'er for at få flere oplysninger.

2.3 URL-adresse

GET /api/machines/InfoGatheringExport

2.4 Parametre

  • sasValidHours: Det antal timer, som URL-adresserne til download er gyldige i (højst 24 timer).

2.5 Egenskaber

Se: 1.4 Eksportér API-egenskaber for enheds antivirustilstand (via filer).

2.6 Eksempler

2.6.1 Eksempel på anmodning

Her er et eksempel på en anmodning:

GET https://api-us.securitycenter.contoso.com/api/machines/InfoGatheringExport

2.6.2 Svareksempel

Her er et eksempel på et svar:

{

   "@odata.context": "https://api-us.securitycenter.windows.com/api/$metadata#microsoft.windowsDefenderATP.api.ExportFilesResponse",

   "exportFiles": [

       "https://tvmexportexternalprdeus.blob.core.windows.net/temp-../2022-08-02/2201/InfoGatheringExport/json/OrgId=../_RbacGroupId=../part-00055-12fc2fcd-8f56-4e09-934f-e8efe7ce74a0.c000.json.gz?sv=2020-08-04&st=2022-08-02T22%3A47%3A11Z&se=2022-08-03T01%3A47%3A11Z&sr=b&sp=r&sig=..",

       "https://tvmexportexternalprdeus.blob.core.windows.net/temp-../2022-08-02/2201/InfoGatheringExport/json/OrgId=../_RbacGroupId=../part-00055-12fc2fcd-8f56-4e09-934f-e8efe7ce74a0.c000.json.gz?sv=2020-08-04&st=2022-08-02T22%3A47%3A11Z&se=2022-08-03T01%3A47%3A11Z&sr=b&sp=r&sig=.."

   ],


   "generatedTime": "2022-08-02T22:01:00Z"


}

Tip

Tip til ydeevne På grund af en række forskellige faktorer (eksempler nedenfor) Microsoft Defender Antivirus, ligesom andre antivirusprogrammer, kan det medføre problemer med ydeevnen på slutpunktsenheder. I nogle tilfælde skal du muligvis tilpasse ydeevnen for Microsoft Defender Antivirus for at afhjælpe disse problemer med ydeevnen. Microsofts Effektivitetsanalyse er et PowerShell-kommandolinjeværktøj, der hjælper med at finde ud af, hvilke filer, filstier, processer og filtypenavne der kan forårsage problemer med ydeevnen. nogle eksempler er:

  • Topstier, der påvirker scanningstiden
  • De mest populære filer, der påvirker scanningstiden
  • De vigtigste processer, der påvirker scanningstiden
  • De mest populære filtypenavne, der påvirker scanningstiden
  • Kombinationer – f.eks.:
    • topfiler pr. filtypenavn
    • øverste stier pr. udvidelse
    • topprocesser pr. sti
    • mest populære scanninger pr. fil
    • mest populære scanninger pr. fil pr. proces

Du kan bruge de oplysninger, der indsamles, ved hjælp af Effektivitetsanalyse til bedre at vurdere problemer med ydeevnen og anvende afhjælpningshandlinger. Se: Effektivitetsanalyse for Microsoft Defender Antivirus.

Se også

Eksportér metoder og egenskaber for enhedens tilstand

Rapportering af enhedens tilstand og overholdelse af angivne standarder

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.