Freigeben über


Exportieren des AV-Programm-Geräteintegritätsberichts

Gilt für:

Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.

Hinweis

Wenn Sie ein US Government-Kunde sind, verwenden Sie bitte die URIs, die in Microsoft Defender for Endpoint für US Government-Kunden aufgeführt sind.

Tipp

Um die Leistung zu verbessern, können Sie den Server näher an Ihrem geografischen Standort verwenden:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com

Wichtig

Einige Informationen in diesem Artikel beziehen sich auf ein vorab veröffentlichtes Produkt, das vor der kommerziellen Veröffentlichung möglicherweise erheblich geändert wird. Microsoft übernimmt in Bezug auf die hier bereitgestellten Informationen keine Gewährleistung, weder ausdrücklich noch konkludent.

Diese API verfügt über zwei Methoden zum Abrufen Microsoft Defender Antivirusgeräte-Integritätsdetails:

  • Methode 1:1 Integritätsbericht exportieren (JSON-Antwort) Die Methode ruft alle Daten in Ihrem organization als JSON-Antworten ab. Diese Methode eignet sich am besten für kleine Organisationen mit weniger als 100.000 Geräten. Die Antwort ist paginiert, sodass Sie das Feld @odata.nextLink aus der Antwort verwenden können, um die nächsten Ergebnisse abzurufen.

  • Methode 2:2 Integritätsberichte exportieren (über Dateien) Diese Methode ermöglicht das schnellere und zuverlässigere Pullen größerer Datenmengen. Daher wird dies für große Organisationen mit mehr als 100-K-Geräten empfohlen. Diese API ruft alle Daten in Ihrem organization als Downloaddateien ab. Die Antwort enthält URLs zum Herunterladen aller Daten aus Azure Storage. Mit dieser API können Sie alle Ihre Daten wie folgt aus Azure Storage herunterladen:

    • Rufen Sie die API auf, um eine Liste der Download-URLs mit allen Ihren organization Daten abzurufen.
    • Laden Sie alle Dateien mithilfe der Download-URLs herunter, und verarbeiten Sie die Daten wie Sie möchten.

Daten, die entweder mit "JSON-Antwort oder über Dateien" gesammelt werden, sind die aktuelle Momentaufnahme des aktuellen Zustands. Es enthält keine Verlaufsdaten. Um Verlaufsdaten zu sammeln, müssen Kunden die Daten in ihren eigenen Datenspeichern speichern. Weitere Informationen finden Sie unter Exportieren von API-Methoden und -Eigenschaften für geräteintegritätsdetails.

Wichtig

Derzeit ist nur die JSON-Antwort "Antivirus Health" allgemein verfügbar. Die Antivirus Health-API über Dateien ist derzeit nur in der öffentlichen Vorschau verfügbar.

Die benutzerdefinierte Abfrage für die erweiterte Suche ist derzeit nur in der öffentlichen Vorschau verfügbar, auch wenn die Abfragen noch sichtbar sind.

Wichtig

Damit Windows Server 2012 R2 und Windows Server 2016 in Berichten zur Geräteintegrität angezeigt werden, müssen diese Geräte mithilfe des modernen einheitlichen Lösungspakets integriert werden. Weitere Informationen finden Sie unter Neue Funktionalität in der modernen einheitlichen Lösung für Windows Server 2012 R2 und 2016.

Hinweis

Informationen zur Verwendung des Tools zur Berichterstellung für Geräteintegrität und Antiviruskonformität im Microsoft 365 Security Dashboard finden Sie unter Bericht zur Geräteintegrität und Antiviruskonformität in Microsoft Defender for Endpoint.

1 Exportieren der Integritätsberichterstattung (JSON-Antwort)

1.1 Beschreibung der API-Methode

Diese API ruft eine Liste mit Microsoft Defender Antivirus-Geräte-Integritätsdetails ab. Gibt eine Tabelle mit einem Eintrag für jede eindeutige Kombination von Zurück:

  • DeviceId
  • Gerätename
  • AV-Modus
  • Aktuelle status
  • Überprüfungsergebnisse

1.1.1 Einschränkungen

  • Die maximale Seitengröße beträgt 200.000
  • Die Ratenbeschränkungen für diese API sind 30 Aufrufe pro Minute und 1.000 Aufrufe pro Stunde.

OData-unterstützte Operatoren

  • $filteron: machineId, , osKindcomputerDnsName, , osVersionosPlatform, avMode, avSignatureVersion, , avEngineVersion, quickScanResultavPlatformVersion, , quickScanError, fullScanResult, fullScanError, avIsEngineUpToDateavIsSignatureUpToDateavIsPlatformUpToDaterbacGroupId
  • $top mit einem maximalen Wert von 10.000.
  • $skip

Wichtig

Beachten Sie, dass rbacgroupname und ID keine unterstützten Filteroperatoren sind.

1.2 Berechtigungen

Eine der nachfolgenden Berechtigungen ist erforderlich, um diese API aufrufen zu können. Weitere Informationen, einschließlich der Auswahl von Berechtigungen, finden Sie unter Verwenden von Microsoft Defender for Endpoint-APIs.

Berechtigungstyp Berechtigung Anzeigename der Berechtigung
Anwendung Machine.Read.All "Alle Computerprofile lesen"
Delegiert (Geschäfts-, Schul- oder Unikonto) Machine.Read "Lesen von Computerinformationen"

1.3 URL (HTTP-Anforderung)

URL: GET: /api/deviceavinfo

1.3.1 Anforderungsheader

Name Typ Beschreibung
Authorization String Bearer {token}. Erforderlich.

1.3.2 Anforderungstext

Empty

1.3.3 Antwort

Bei erfolgreicher Ausführung gibt die Methode 200 OK mit einer Liste der Geräteintegritätsdetails zurück.

1.4 Parameter

1.5 Eigenschaften

Weitere Informationen finden Sie unter: 1.3 Exportieren der Eigenschaften der Geräte-Antivirusintegritäts-API (JSON-Antwort)

Unterstützt OData V4-Abfragen.

1.6 Beispiel

Anforderungsbeispiel

Hier ist eine Beispielanforderung:

GET https://api.securitycenter.microsoft.com/api/deviceavinfo

Anforderungsbeispiel

Hier sehen Sie eine Beispielantwort:

{

    @odata.context: "https://api.securitycenter.microsoft.com/api/$metadata#DeviceAvInfo",

"value": [{

            "id": "Sample Guid",

            "machineId": "Sample Machine Guid",

            "computerDnsName": "appblockstg1",

            "osKind": "windows",

            "osPlatform": "Windows10",

            "osVersion": "10.0.19044.1865",

            "avMode": "0",

            "avSignatureVersion": "1.371.1279.0",

            "avEngineVersion": "1.1.19428.0",

            "avPlatformVersion": "4.18.2206.108",

            "lastSeenTime": "2022-08-02T19:40:45Z",

            "quickScanResult": "Completed",

            "quickScanError": "",

            "quickScanTime": "2022-08-02T18:40:15.882Z",

            "fullScanResult": "",

            "fullScanError": "",

            "fullScanTime": null,

            "dataRefreshTimestamp": "2022-08-02T21:16:23Z",

            "avEngineUpdateTime": "2022-08-02T00:03:39Z",

            "avSignatureUpdateTime": "2022-08-02T00:03:39Z",

            "avPlatformUpdateTime": "2022-06-20T16:59:35Z",

            "avIsSignatureUpToDate": "True",

            "avIsEngineUpToDate": "True",

            "avIsPlatformUpToDate": "True",

            "avSignaturePublishTime": "2022-08-02T00:03:39Z",

            "rbacGroupName": "TVM1",

            "rbacGroupId": 4415

        },

        ...

     ]

}

2 Exportieren der Integritätsberichterstattung (über Dateien)

Wichtig

Die Informationen in diesem Abschnitt beziehen sich auf vorab veröffentlichte Produkte, die vor der kommerziellen Veröffentlichung wesentlich geändert werden können. Microsoft übernimmt mit diesen Informationen keinerlei Gewährleistung, sei sie ausdrücklich oder konkludent.

2.1 API-Methodenbeschreibung

Diese API-Antwort enthält alle Daten der Antivirusintegrität und status pro Gerät. Gibt eine Tabelle mit einem Eintrag für jede eindeutige Kombination von Zurück:

  • DeviceId
  • Gerätename
  • AV-Modus
  • Aktuelle status
  • Überprüfungsergebnisse

2.1.2 Einschränkungen

  • Die maximale Seitengröße beträgt 200.000.
  • Die Ratenbeschränkungen für diese API sind 30 Aufrufe pro Minute und 1.000 Aufrufe pro Stunde.

2.2 Berechtigungen

Eine der nachfolgenden Berechtigungen ist erforderlich, um diese API aufrufen zu können.

Berechtigungstyp Berechtigung Anzeigename der Berechtigung
Anwendung Vulnerability.Read.All "Bedrohungs- und Sicherheitsrisikomanagement Sicherheitsrisikoinformationen lesen"
Delegiert (Geschäfts-, Schul- oder Unikonto) Vulnerability.Read "Bedrohungs- und Sicherheitsrisikomanagement Sicherheitsrisikoinformationen lesen"

Weitere Informationen, einschließlich der Auswahl von Berechtigungen, finden Sie unter Verwenden Microsoft Defender for Endpoint APIs.

2.3 URL

GET /api/machines/InfoGatheringExport

2.4 Parameter

  • sasValidHours: Die Anzahl der Stunden, für die die Download-URLs gültig sind (maximal 24 Stunden).

2.5 Eigenschaften

Weitere Informationen finden Sie unter 1.4 Export device antivirus health details API properties (via files).

2.6 Beispiele

2.6.1 Anforderungsbeispiel

Hier ist eine Beispielanforderung:

GET https://api-us.securitycenter.contoso.com/api/machines/InfoGatheringExport

2.6.2 Antwortbeispiel

Hier sehen Sie eine Beispielantwort:

{

   "@odata.context": "https://api-us.securitycenter.windows.com/api/$metadata#microsoft.windowsDefenderATP.api.ExportFilesResponse",

   "exportFiles": [

       "https://tvmexportexternalprdeus.blob.core.windows.net/temp-../2022-08-02/2201/InfoGatheringExport/json/OrgId=../_RbacGroupId=../part-00055-12fc2fcd-8f56-4e09-934f-e8efe7ce74a0.c000.json.gz?sv=2020-08-04&st=2022-08-02T22%3A47%3A11Z&se=2022-08-03T01%3A47%3A11Z&sr=b&sp=r&sig=..",

       "https://tvmexportexternalprdeus.blob.core.windows.net/temp-../2022-08-02/2201/InfoGatheringExport/json/OrgId=../_RbacGroupId=../part-00055-12fc2fcd-8f56-4e09-934f-e8efe7ce74a0.c000.json.gz?sv=2020-08-04&st=2022-08-02T22%3A47%3A11Z&se=2022-08-03T01%3A47%3A11Z&sr=b&sp=r&sig=.."

   ],


   "generatedTime": "2022-08-02T22:01:00Z"


}

Tipp

Leistungstipp Aufgrund einer Vielzahl von Faktoren (beispiele unten aufgeführt) kann Microsoft Defender Antivirus wie andere Antivirensoftware Leistungsprobleme auf Endpunktgeräten verursachen. In einigen Fällen müssen Sie möglicherweise die Leistung von Microsoft Defender Antivirus optimieren, um diese Leistungsprobleme zu beheben. Die Leistungsanalyse von Microsoft ist ein PowerShell-Befehlszeilentool, mit dem Sie ermitteln können, welche Dateien, Dateipfade, Prozesse und Dateierweiterungen Leistungsprobleme verursachen können. Einige Beispiele sind:

  • Die wichtigsten Pfade, die sich auf die Überprüfungszeit auswirken
  • Die wichtigsten Dateien, die sich auf die Überprüfungszeit auswirken
  • Wichtigste Prozesse, die sich auf die Überprüfungszeit auswirken
  • Die wichtigsten Dateierweiterungen, die sich auf die Überprüfungszeit auswirken
  • Kombinationen – z. B.:
    • Top-Dateien pro Erweiterung
    • Top-Pfade pro Erweiterung
    • Top-Prozesse pro Pfad
    • Top-Scans pro Datei
    • Top-Scans pro Datei und Prozess

Sie können die mit der Leistungsanalyse gesammelten Informationen verwenden, um Leistungsprobleme besser zu bewerten und Korrekturaktionen anzuwenden. Weitere Informationen finden Sie unter Leistungsanalyse für Microsoft Defender Antivirus.

Siehe auch

Exportieren der Geräteintegritätsmethoden und -eigenschaften

Geräteintegritäts- und Konformitätsberichte

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.