Enhedstilstand, Microsoft Defender Antivirus tilstandsrapport
Gælder for:
- Microsoft Defender XDR
- Microsoft Defender for Endpoint
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender for Business
Vil du opleve Microsoft Defender for Endpoint? Tilmeld dig en gratis prøveversion.
Rapporten Enhedstilstand indeholder oplysninger om enhederne i din organisation. Rapporten indeholder populære oplysninger, der viser antivirusstatus og Microsoft Defender Antivirusprogram, intelligens og platformversioner.
Vigtigt!
Hvis enheder skal vises i Microsoft Defender Antivirus-enhedstilstandsrapporter, skal de opfylde følgende forudsætninger:
- Enheden er onboardet til Microsoft Defender for Endpoint
- OS: Windows 10, Windows 11, Windows Server 2012 R2/, 2016 R2/ 2019/2022 (ikke MMA), MacOS, Linux
- Sanse (MsSense.exe): 10,8210. *+. Se afsnittet Forudsætninger for at få relaterede oplysninger.
Hvis Windows Server 2012 R2 og Windows Server 2016 skal vises i enhedstilstandsrapporter, skal disse enheder onboardes ved hjælp af den moderne samlede løsningspakke. Du kan få flere oplysninger under Ny funktionalitet i den moderne samlede løsning til Windows Server 2012 R2 og 2016.
I navigationspanelet for Microsoft 365 Security-dashboard skal du vælge Rapporter og derefter åbne Enhedstilstand og overholdelse af angivne standarder. Fanen Microsoft Defender Antivirus tilstand har otte kort, der rapporterer om følgende aspekter af Microsoft Defender Antivirus:
- Antivirustilstandskort
- Antivirusprogramversionskort
- Versionskort til antivirus security intelligence
- Antivirusplatformsversionskort
- Resultatkort for seneste antivirusscanning
- Kort til opdatering af antivirusprogram
- Kortet Sikkerhedsintelligensopdateringer
- Kort til opdatering af antivirusplatform
Adgangstilladelser til rapporter
Følgende tilladelser kræves for at få adgang til rapporten om enhedens tilstand og antivirus i Microsoft 365 Security-dashboardet:
| Tilladelsesnavn | Tilladelsestype |
|---|---|
| Vis data | Trussels- og sårbarhedsstyring (TVM) |
Sådan tildeler du disse tilladelser:
- Log på Microsoft Defender XDR ved hjælp af en konto hos sikkerhedsadministratoren eller Global administrator rolle, der er tildelt.
- I navigationsruden skal du vælge Indstillinger>Slutpunkter>Roller (under Tilladelser).
- Vælg den rolle, du vil redigere.
- Vælg Rediger.
- Skriv et navn til rollen i Rollenavn under fanen Generelt under Rediger rolle.
- I Beskrivelse skal du skrive en kort oversigt over rollen.
- Under Tilladelser skal du vælge Vis data og under Vis data skal du vælge Trussels- og sårbarhedsstyring (TVM).
Du kan få flere oplysninger om administration af brugerroller i Create og administrere roller for rollebaseret adgangskontrol.
fanen Microsoft Defender Antivirustilstand
Fanen Microsoft Defender Antivirus-tilstand indeholder otte kort, der rapporterer om flere aspekter af Microsoft Defender Antivirus i din organisation:
To kort, Antivirus mode card og Recent antivirus scan results card, report about Microsoft Defender Antivirus functions.
De resterende seks kort rapporterer om status for Microsoft Defender Antivirus for enheder i din organisation:
| versionskort : | opdater kort{1} |
|---|---|
| Antivirusprogramversionskort Versionskort til antivirus security intelligence Antivirusplatformsversionskort |
Kort til opdatering af antivirusprogram Kortet Sikkerhedsintelligensopdateringer Kort til opdatering af antivirusplatform |
| De tre versionskort indeholder pop op-rapporter, der indeholder yderligere oplysninger og giver mulighed for yderligere udforskning. | De tre opdaterede rapporteringskort indeholder links til ressourcer for at få mere at vide. |
{1} For de tre opdateringskort (også kendt som opdaterede rapporteringskort) angiver "Ingen tilgængelige data" (eller "Ukendt" værdi) enheder, der ikke rapporterer opdateringsstatus. Enheder, der ikke rapporterer opdateringsstatus, kan skyldes forskellige årsager, f.eks.:
- Computeren er afbrudt fra netværket.
- Computeren er slukket eller i dvaletilstand.
- Microsoft Defender Antivirus er deaktiveret.
- Enheden er en enhed, der ikke er Windows (Mac eller Linux).
- Cloudbeskyttelse er ikke aktiveret.
- Enheden opfylder ikke forudsætninger for antivirusprogram eller platformversion.
Forudsætninger
Opdateret rapportering genererer oplysninger om enheder, der opfylder følgende kriterier:
Programversion: 1.1.19300.2+
Platformversion: 4.18.2202.1+
Cloudbeskyttelse er aktiveret
Sanse (MsSense.exe): 10,8210. *+
Windows OS – Windows 10 1809 eller nyere
Bemærk!
* Aktuelt opdateret rapportering er kun tilgængelig for Windows-enheder. Enheder på tværs af platforme, f.eks. Mac og Linux, er angivet under "Ingen tilgængelige data"/Ukendt.
Kortfunktionalitet
Funktionaliteten er stort set den samme for alle kort. Ved at klikke på en nummereret bjælke på et af kortene åbnes pop op-vinduet med Microsoft Defender Antivirus-oplysninger, så du kan gennemse oplysninger om alle de enheder, der er konfigureret med versionsnummeret for et aspekt på det pågældende kort.
Hvis det versionsnummer, du klikkede på, er:
- En aktuel version, derefter kræves der afhjælpning , og sikkerhedsanbefaling er ikke til stede.
- En forældet version, en meddelelse øverst i rapporten er til stede, der angiver afhjælpning påkrævet, og der findes et link til sikkerhedsanbefaling . Vælg linket med sikkerhedsanbefaling for at navigere til Håndtering af trusler og sikkerhedsrisici konsollen, som kan anbefale relevante antivirusopdateringer.
Hvis du vil tilføje eller fjerne bestemte typer oplysninger i pop op-vinduet med oplysninger om Microsoft Defender Antivirus, skal du vælge Tilpas kolonner. I Tilpas kolonner skal du vælge eller rydde elementer for at angive, hvad du vil medtage i rapporten med oplysninger om Microsoft Defender Antivirus.
Nye Microsoft Defender Antivirus-filterdefinitioner
Følgende tabel indeholder en liste over ord, der er nye i Microsoft Defender antivirusrapportering.
| Kolonnenavn | Beskrivelse |
|---|---|
| Udgivelsestid for sikkerhedsintelligens | Angiver Microsofts udgivelsesdato for versionen af sikkerhedsintelligensopdateringen på enheden. Enheder med en publiceringstid for sikkerhedsintelligens, der er større end syv dage, anses for at være forældede i rapporterne. |
| Sidst set | Angiver den dato, hvor enheden sidst havde forbindelse. |
| Tidsstempel for opdatering af data | Angiver, hvornår klienthændelser senest blev modtaget for rapportering om: AV-tilstand, AV-programversion, AV-platformversion, AV-sikkerhedsintelligensversion og scanningsoplysninger. |
| Opdateringstid for signatur | Angiver, hvornår klienthændelser senest blev modtaget for rapportering på program, platform og signatur opdateret status. |
I pop op-vinduet: Hvis du klikker på navnet på enheden, omdirigeres du til "Enhedssiden" for den pågældende enhed, hvor du kan få adgang til detaljerede rapporter.
Eksportér rapport
Der er to niveauer af rapporter, som du kan eksportere:
Eksport på øverste niveau
Der er to forskellige eksport-csv-funktioner via portalen:
- Eksport på øverste niveau. Du kan bruge knappen Eksportér på øverste niveau til at indsamle en all-up Microsoft Defender Antivirus-tilstandsrapport (grænse på 500 K).
- Eksport på pop op-niveau. Du kan bruge knappen Eksportér i pop op-vinduet til at eksportere en rapport til et Excel-regneark (en grænse på 100 kb).
Eksporterede rapporter henter oplysninger baseret på dit indgangspunkt i detaljerapporten, og hvilke filtre eller brugerdefinerede kolonner du har angivet.
Du kan få oplysninger om eksport ved hjælp af API i følgende artikler:
- Eksportér tilstandsrapport for enheds antivirus
- Eksportér API-metoder og -egenskaber for oplysninger om enhedens antivirustilstand
Vigtigt!
I øjeblikket er det kun Antivirus Health JSON Response , der er offentligt tilgængelig. API til antivirustilstand via filer er kun tilgængelig i en offentlig prøveversion.
Den brugerdefinerede forespørgsel Avanceret jagt er i øjeblikket kun tilgængelig i en offentlig prøveversion, selvom forespørgslerne er synlige.
Microsoft Defender funktionaliteten antivirusversion og -opdateringskort
Følgende er beskrivelser af de seks kort, der rapporterer om versionen og opdateringsoplysningerne for Microsoft Defender Antivirusprogram, sikkerhedsintelligens og platformkomponenter:
Fuld rapport
På et af de tre versionskort skal du vælge Vis fuld rapport for at få vist de ni nyeste Microsoft Defender Antivirus-versionsrapporter for hver af de tre enhedstyper: Windows, Mac og Linux. Hvis der findes færre end ni, vises de alle sammen. En anden kategori registrerer de seneste versioner af antivirusprogrammet, der rangerer 10. og nedenfor, hvis de registreres.
En primær fordel ved de tre versionskort er, at de giver hurtige indikatorer for, om de mest aktuelle versioner af antivirusprogrammer, platforme og sikkerhedsintelligens anvendes. Sammen med de detaljerede oplysninger, der er knyttet til kortet, bliver versionskortene et effektivt værktøj til at kontrollere, om versioner er opdaterede, og til at indsamle oplysninger om individuelle computere eller grupper af computere. Når du kører disse rapporter, angiver de ideelt set, at de mest aktuelle antivirusversioner er installeret i modsætning til ældre versioner. Brug disse rapporter til at afgøre, om din organisation udnytter de nyeste versioner fuldt ud.
Få opdateringer automatisk som en del af Windows Update for at sikre, at din antimalwareløsning registrerer de nyeste trusler.
Du kan finde flere oplysninger om de aktuelle versioner, og hvordan du opdaterer de forskellige Microsoft Defender Antivirus-komponenter, ved at besøge support til Microsoft Defender Antivirus-platformen.
Kortbeskrivelser
Følgende er korte oversigter over de indsamlede oplysninger, der er rapporteret på hvert antivirusversionskort :
Antivirustilstandskort
Rapporter om, hvor mange enheder i din organisation – på den dato, der er angivet på kortet – er i en af følgende Microsoft Defender Antivirus-tilstande:
| Værdi | Tilstand |
|---|---|
| 0 | Aktive |
| 1 | Passiv |
| 2 | Deaktiveret (fjernet, deaktiveret eller SideBySidePassive {også kendt som Lav periodisk scanning}) |
| 3 | Andre (kører ikke, ukendt) |
| 4 | EDRBlocked |
Følgende er beskrivelser for hver tilstand:
- Aktiv tilstand – I aktiv tilstand bruges Microsoft Defender Antivirus som den primære antivirusapp på enheden. Filer scannes, trusler afhjælpes, og registrerede trusler er angivet i din organisations sikkerhedsrapporter og i din Windows Sikkerhed-app.
- Passiv tilstand – I passiv tilstand bruges Microsoft Defender Antivirus ikke som den primære antivirusapp på enheden. Filer scannes, og registrerede trusler rapporteres, men trusler afhjælpes ikke af Microsoft Defender Antivirus. VIGTIGT: Microsoft Defender Antivirus kan kun køre i passiv tilstand på slutpunkter, der er onboardet til Microsoft Defender for Endpoint. Se Krav til Microsoft Defender Antivirus for at køre i passiv tilstand.
- Deaktiveret tilstand – synonym med: fjernet, deaktiveret, sideBySidePassive og Lav periodisk scanning. Når funktionen er deaktiveret, bruges Microsoft Defender Antivirus ikke. Filer scannes ikke, og trusler afhjælpes ikke. Generelt anbefaler Microsoft ikke, at du deaktiverer eller fjerner Microsoft Defender Antivirus.
- Andre-tilstand - kører ikke, ukendt
- EDR i bloktilstand – i blokeret tilstand for slutpunktsregistrering og svar (EDR). Se Registrering af slutpunkt og svar i bloktilstand
Enheder, der er i enten passiv, LPS eller Fra, udgør en potentiel sikkerhedsrisiko og bør undersøges.
Du kan finde flere oplysninger om LPS under Brug begrænset periodisk scanning i Microsoft Defender Antivirus.
Resultatkort for seneste antivirusscanning
Dette kort har to søjlediagrammer, der viser alle resultater for hurtige scanninger og komplette scanninger. I begge grafer angiver den første søjle fuldførelseshastigheden for scanninger og angiver Fuldført, Annulleret eller Mislykket. Den anden søjle i hvert afsnit indeholder fejlkoder til mislykkede scanninger. Ved at scanne kolonnerne med tilstands- og seneste scanningsresultater kan du hurtigt identificere enheder, der ikke er i aktiv antivirusscanningstilstand, og enheder, der har mislykket eller annulleret de seneste antivirusscanninger. Du kan vende tilbage til rapporten med disse oplysninger og indsamle flere oplysninger og sikkerhedsanbefalinger. Hvis der rapporteres fejlkoder på dette kort, er der et link til at få mere at vide om fejlkoder.
Du kan finde flere oplysninger om de aktuelle Microsoft Defender Antivirus-versioner, og hvordan du opdaterer de forskellige Microsoft Defender Antivirus-komponenter, ved at gå til Administrer Microsoft Defender Antivirus-opdateringer og anvende grundlinjer.
Antivirusprogramversionskort
Viser resultaterne i realtid af de mest aktuelle Microsoft Defender Antivirus-programversioner, der er installeret på tværs af Windows-enheder, Mac-enheder og Linux-enheder i din organisation. Microsoft Defender Antivirusprogram opdateres månedligt. Du kan få flere oplysninger om de aktuelle versioner, og hvordan du opdaterer de forskellige Microsoft Defender Antivirus-komponenter, under understøttelse af Microsoft Defender Antivirus-platformen.
Versionskort til antivirus security intelligence
Lister de mest almindelige Microsoft Defender Antivirus security intelligence-versioner, der er installeret på enheder på netværket. Microsoft opdaterer løbende Microsoft Defender sikkerhedsintelligens for at håndtere de nyeste trusler og for at tilpasse registreringslogikken. Disse forbedringer af sikkerhedsintelligens forbedrer Microsoft Defender Antivirus' (og andre Microsofts antimalwareløsninger) evne til præcist at identificere potentielle trusler. Denne sikkerhedsintelligens fungerer direkte sammen med cloudbaseret beskyttelse for at levere AI-forbedret beskyttelse i næste generation, der er hurtig og effektiv.
Antivirusplatformsversionskort
Viser resultaterne i realtid af de mest aktuelle Microsoft Defender Antivirus-platformversioner, der er installeret på tværs af versioner af Windows-, Mac- og Linux-enheder i din organisation. Microsoft Defender Antivirus-platformen opdateres månedligt. Du kan få flere oplysninger om de aktuelle versioner, og hvordan du opdaterer de forskellige Microsoft Defender Antivirus-komponenter, under understøttelse af Microsoft Defender Antivirus-platform
Opdaterede kort
De opdaterede kort viser den opdaterede status for antivirusprogram, antivirusplatform og sikkerhedsintelligensopdateringsversioner . Der er tre mulige tilstande: Opdateret ('Sand'), forældet ('Falsk'), og der er ingen tilgængelige data ('Ukendt').
Vigtigt!
Den logik, der bruges til at foretage opdaterede beslutninger, er for nylig blevet forbedret og forenklet. Den nye funktionsmåde er dokumenteret i dette afsnit.
Definitioner for Up to date, out of date og ingen tilgængelige data er angivet for hvert kort nedenfor.
Microsoft Defender Antivirus bruger de ekstra kriterier for "Opdateringstid for signatur" (sidste gang enheden kommunikerede med opdaterede rapporter) til at oprette opdaterede rapporter og bestemmelse for program-, platform- og sikkerhedsintelligensopdateringer.
Den opdaterede status markeres automatisk som "ukendt" eller "ingen tilgængelige data", hvis enheden ikke har kommunikeret med rapporter i mere end syv dage (opdateringstid >for signatur 7).
Du kan finde flere oplysninger om ovennævnte vilkår i afsnittet Nyt Microsoft Defender Antivirus-filterdefinitioner
Bemærk!
Opdaterede rapporterings forudsætninger
Opdateret rapportering genererer oplysninger om enheder, der opfylder følgende kriterier:
- Programversion: 1.1.19300.2+
- Platformversion: 4.18.2202.1+
- Cloudbeskyttelse er aktiveret
- Windows OS*
*Aktuel opdateret rapportering er kun tilgængelig for Windows-enheder. Enheder på tværs af platforme, f.eks. Mac og Linux, er angivet under "ingen tilgængelige data"
Opdaterede definitioner
Følgende er opdaterede definitioner for program og platform:
| Motoren/platformen på enheden anses for at være: | Situation |
|---|---|
| Opdateret | Hvis enheden kommunikerede med Defender-rapporthændelsen ('Tidspunktet for signaturopdatering') inden for de seneste syv dage, og versionen af program- eller platformbuildet er større end eller lig med (>=) den seneste månedlige version af versionen. |
| Forældet | Hvis enheden kommunikerede med Defender-rapporthændelsen ('Tid for signaturopdatering') inden for de seneste syv dage, men program- eller platformbuildversionen er mindre end (<) den seneste månedlige version. |
| ukendt (ingen tilgængelige data) | Hvis enheden ikke har kommunikeret med rapporthændelsen ('Tid for signaturopdatering') i mere end syv dage. |
Følgende er definitionerne for opdateret sikkerhedsintelligens:
| Sikkerhedsintelligensopdateringen overvejes: | Situation |
|---|---|
| Opdateret | Hvis security intelligence-versionen på enheden er skrevet inden for de seneste syv dage, og enheden har kommunikeret med rapporthændelsen i løbet af de seneste syv dage. |
Du kan finde flere oplysninger under:
- Kort til opdatering af antivirusprogram
- Kortet Sikkerhedsintelligensopdateringer
- Kort til opdatering af antivirusplatform
Kort til opdatering af antivirusprogram
Dette kort identificerer enheder, der har versioner af antivirusprogrammet, som er opdaterede i forhold til forældede.
Den generelle definition af "up to date" – Programversionen på enheden er den nyeste programversion. Programmet udgives typisk månedligt via Windows Update (WU)). Der gives en tre-dages respitperiode fra den dag, hvor Windows Update (WU) udgives.
I følgende tabel beskrives de mulige værdier for opdaterede rapporter for Antivirus Engine. Rapporteret status er baseret på det sidste tidspunkt, hvor rapporteringshændelsen blev modtaget (tidspunktet for opdateringen af signaturen). Hvis enheden ikke har kommunikeret med rapporter i mere end syv dage (tidspunktet for signaturopdatering >7 dage), markeres status automatisk som 'Ukendt' / 'Ingen tilgængelige data'.
| Tidspunktet for seneste opdatering af begivenheden (også kendt som "Tidspunkt for opdatering af signatur" i rapporter) | Rapporteret status: |
|---|---|
| < 7 dage (ny) | uanset klientrapporter (opdateret Forældet Ukendt) |
| > 7 dage (gammel) | Unknown |
Du kan få oplysninger om Administrer Microsoft Defender Antivirus-opdateringsversioner under Månedlige platform- og programversioner.
Kort til opdatering af antivirusplatform
Dette kort identificerer enheder, der har antivirusplatformsversioner, der er opdaterede i forhold til forældede.
Den generelle definition af "opdateret" er, at platformversionen på enheden er den nyeste platformversion. Platformen udgives typisk månedligt via Windows Update (WU). Der er en tre-dages respitperiode fra den dag, hvor WU udgives.
I følgende tabel beskrives de mulige opdaterede rapportværdier for Antivirus Platform. Rapporterede værdier er baseret på det sidste tidspunkt, hvor rapporteringshændelsen blev modtaget (tidspunktet for opdateringen af signaturen). Hvis enheden ikke har kommunikeret med rapporter i mere end syv dage (tidspunktet for signaturopdatering >7 dage), markeres status automatisk som 'Ukendt'/ 'Ingen tilgængelige data'.
| Tidspunktet for seneste opdatering af begivenheden (også kendt som "Tidspunkt for opdatering af signatur" i rapporter) | Rapporteret status |
|---|---|
| < 7 dage (ny) | uanset klientrapporter (opdateret Forældet Ukendt) |
| > 7 dage (gammel) | Unknown |
Du kan få oplysninger om Administrer Microsoft Defender Antivirus-opdateringsversioner under Månedlige platform- og programversioner.
Kortet Sikkerhedsintelligensopdateringer
Dette kort identificerer enheder, der har sikkerhedsintelligensversioner, der er opdaterede i forhold til forældede.
Den generelle definition af "up to date" er, at security intelligence-versionen på enheden er skrevet inden for de seneste 7 dage.
I følgende tabel beskrives de mulige opdaterede rapportværdier for Security Intelligence-opdateringer . Rapporterede værdier er baseret på det sidste tidspunkt, hvor rapporteringshændelsen blev modtaget, og tidspunktet for publicering af sikkerhedsintelligens. Hvis enheden ikke har kommunikeret med rapporter i mere end syv dage (tidspunktet for signaturopdatering >7 dage), markeres status automatisk som 'Ukendt/Ingen tilgængelige data'. I modsat fald bestemmes det, om publiceringstiden for sikkerhedsintelligens er inden for syv dage.
| Tidspunkt for seneste opdatering af begivenheden (Også kendt som "Opdateringstid for signatur" i rapporter) |
Udgivelsestid for Sikkerhedsintelligens | Rapporteret status |
|---|---|---|
| >7 dage (gammel) | >7 dage (gammel) | Unknown |
| <7 dage (ny) | >7 dage (gammel) | Forældet |
| >7 dage (gammel) | <7 dage (ny) | Unknown |
| <7 dage (ny) | <7 dage (ny) | Opdateret |
Se også
Tip
Tip til ydeevne På grund af en række forskellige faktorer (eksempler nedenfor) Microsoft Defender Antivirus, ligesom andre antivirusprogrammer, kan det medføre problemer med ydeevnen på slutpunktsenheder. I nogle tilfælde skal du muligvis tilpasse ydeevnen for Microsoft Defender Antivirus for at afhjælpe disse problemer med ydeevnen. Microsofts Effektivitetsanalyse er et PowerShell-kommandolinjeværktøj, der hjælper med at finde ud af, hvilke filer, filstier, processer og filtypenavne der kan forårsage problemer med ydeevnen. nogle eksempler er:
- Topstier, der påvirker scanningstiden
- De mest populære filer, der påvirker scanningstiden
- De vigtigste processer, der påvirker scanningstiden
- De mest populære filtypenavne, der påvirker scanningstiden
- Kombinationer – f.eks.:
- topfiler pr. filtypenavn
- øverste stier pr. udvidelse
- topprocesser pr. sti
- mest populære scanninger pr. fil
- mest populære scanninger pr. fil pr. proces
Du kan bruge de oplysninger, der indsamles, ved hjælp af Effektivitetsanalyse til bedre at vurdere problemer med ydeevnen og anvende afhjælpningshandlinger. Se: Effektivitetsanalyse for Microsoft Defender Antivirus.
- Eksportér API-metoder og -egenskaber for oplysninger om enhedens antivirustilstand
- Eksportér tilstandsrapport for enheds antivirus
- Rapport om trusselsbeskyttelse
Tip
Hvis du vil have antivirusrelaterede oplysninger til andre platforme, skal du se:
- Angiv indstillinger for Microsoft Defender for Endpoint på macOS-
- Microsoft Defender for Endpoint på Mac
- Politikindstillinger for macOS Antivirus for Microsoft Defender Antivirus for Intune
- Angiv indstillinger for Microsoft Defender for Endpoint på Linux
- Microsoft Defender for Endpoint på Linux
- Konfigurer Defender for Endpoint på Android-funktioner
- Konfigurer Microsoft Defender for Endpoint på iOS-funktioner
Tip
Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.
Feedback
Kommer snart: I hele 2024 udfaser vi GitHub-problemer som feedbackmekanisme for indhold og erstatter det med et nyt feedbacksystem. Du kan få flere oplysninger under: https://aka.ms/ContentUserFeedback.
Indsend og få vist feedback om