Exportar informe de estado del antivirus del dispositivo

Se aplica a:

• Microsoft Defender para punto de conexión Plan 1
• Microsoft Defender para punto de conexión Plan 2
• Microsoft Defender XDR

¿Quiere experimentar Microsoft Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

Nota:

Si es cliente del Gobierno de EE. UU., use los URI que aparecen en Microsoft Defender para punto de conexión para los clientes del Gobierno de EE. UU.

Sugerencia

Para mejorar el rendimiento, puede usar el servidor más cercano a la ubicación geográfica:

• us.api.security.microsoft.com
• eu.api.security.microsoft.com
• uk.api.security.microsoft.com
• au.api.security.microsoft.com
• swa.api.security.microsoft.com

Importante

Parte de la información contenida en este artículo se refiere a un producto preliminar que puede sufrir modificaciones sustanciales antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.

Esta API tiene dos métodos para recuperar Microsoft Defender detalles de estado del antivirus del dispositivo Antivirus:

• Método uno:1 Exportar informes de estado (respuesta JSON) El método extrae todos los datos de la organización como respuestas JSON. Este método es mejor para organizaciones pequeñas con menos de 100 K dispositivos. La respuesta está paginada, por lo que puede usar el campo @odata.nextLink de la respuesta para capturar los resultados siguientes.

• Método dos:2 Exportar informes de estado (a través de archivos) Este método permite extraer grandes cantidades de datos de forma más rápida y confiable. Por lo tanto, se recomienda para organizaciones grandes, con más de 100 K dispositivos. Esta API extrae todos los datos de la organización como archivos de descarga. La respuesta contiene direcciones URL para descargar todos los datos de Azure Storage. Esta API le permite descargar todos los datos de Azure Storage de la siguiente manera:

  • Llame a la API para obtener una lista de direcciones URL de descarga con todos los datos de la organización.
  • Descargue todos los archivos mediante las direcciones URL de descarga y procese los datos como desee.

Los datos recopilados mediante "respuesta JSON o a través de archivos" son la instantánea actual del estado actual. No contiene datos históricos. Para recopilar datos históricos, los clientes deben guardar los datos en sus propios almacenamientos de datos. Consulte Exportación de propiedades y métodos de API de detalles de estado del dispositivo.

Importante

Actualmente, solo la respuesta JSON de estado del antivirus está disponible con carácter general. Antivirus Health API a través de archivos solo está disponible actualmente en versión preliminar pública.

La consulta personalizada de búsqueda avanzada solo está disponible actualmente en versión preliminar pública, incluso si las consultas siguen estando visibles.

Importante

Para que Windows Server 2012 R2 y Windows Server 2016 aparezcan en los informes de estado del dispositivo, estos dispositivos deben incorporarse mediante el paquete de solución unificado moderno. Para obtener más información, consulte Nueva funcionalidad en la solución unificada moderna para Windows Server 2012 R2 y 2016.

Nota:

Para obtener información sobre el uso de la herramienta de informes de cumplimiento antivirus y estado del dispositivo en el panel seguridad de Microsoft 365, vea: Informe de cumplimiento del estado del dispositivo y antivirus en Microsoft Defender para punto de conexión.

1 Exportación de informes de estado (respuesta JSON)

Descripción del método de API 1.1

Esta API recupera una lista de Microsoft Defender detalles de estado del antivirus del dispositivo Antivirus. Devuelve una tabla con una entrada para cada combinación única de:

• DeviceId
• Nombre del dispositivo
• Modo AV
• Estado actualizado
• Resultados del examen.

1.1.1 Limitaciones

• El tamaño máximo de página es de 200 000
• Las limitaciones de velocidad de esta API son 30 llamadas por minuto y 1000 llamadas por hora.

Operadores compatibles con OData

• $filteron: machineId, computerDnsName, , osKind, osPlatform, osVersion, avMode, avEngineVersionavSignatureVersion, , avPlatformVersion, quickScanResult, , quickScanError, fullScanResultfullScanError, avIsSignatureUpToDate, avIsEngineUpToDate, , , avIsPlatformUpToDaterbacGroupId
• $top con un valor máximo de 10 000.
• $skip

Importante

Tenga en cuenta que rbacgroupname e Id no son operadores de filtro admitidos.

1.2 Permisos

Se requiere uno de los siguientes permisos para llamar a esta API. Para obtener más información, incluido cómo elegir permisos, consulte Uso de las API de Microsoft Defender para punto de conexión para obtener más información.

Tipo de permiso	Permiso	Nombre para mostrar del permiso
Aplicación	Machine.Read.All	"Leer todos los perfiles de máquina"
Delegado (cuenta profesional o educativa)	Machine.Read	"Leer información de la máquina"

1.3 URL (solicitud HTTP)

URL: GET: /api/deviceavinfo

1.3.1 Encabezados de solicitud

Nombre	Tipo	Descripción
Authorization	Cadena	{token} de portador. Obligatorio.

1.3.2 Cuerpo de la solicitud

En blanco

1.3.3 Respuesta

Si se ejecuta correctamente, este método devuelve 200 OK con una lista de detalles de estado del dispositivo.

1.4 Parámetros

• El tamaño de página predeterminado es 20
• Vea ejemplos en consultas de OData con Microsoft Defender para punto de conexión.

1.5 Propiedades

Consulte: 1.3 Exportación de propiedades de API de detalles de estado del antivirus de dispositivo (respuesta JSON)

Admite consultas OData V4.

Ejemplo 1.6

Ejemplo de solicitud

Esta es una solicitud de ejemplo:

GET https://api.securitycenter.microsoft.com/api/deviceavinfo

Ejemplo de respuesta

Esta es una respuesta de ejemplo:

{

    @odata.context: "https://api.securitycenter.microsoft.com/api/$metadata#DeviceAvInfo",

"value": [{

            "id": "Sample Guid",

            "machineId": "Sample Machine Guid",

            "computerDnsName": "appblockstg1",

            "osKind": "windows",

            "osPlatform": "Windows10",

            "osVersion": "10.0.19044.1865",

            "avMode": "0",

            "avSignatureVersion": "1.371.1279.0",

            "avEngineVersion": "1.1.19428.0",

            "avPlatformVersion": "4.18.2206.108",

            "lastSeenTime": "2022-08-02T19:40:45Z",

            "quickScanResult": "Completed",

            "quickScanError": "",

            "quickScanTime": "2022-08-02T18:40:15.882Z",

            "fullScanResult": "",

            "fullScanError": "",

            "fullScanTime": null,

            "dataRefreshTimestamp": "2022-08-02T21:16:23Z",

            "avEngineUpdateTime": "2022-08-02T00:03:39Z",

            "avSignatureUpdateTime": "2022-08-02T00:03:39Z",

            "avPlatformUpdateTime": "2022-06-20T16:59:35Z",

            "avIsSignatureUpToDate": "True",

            "avIsEngineUpToDate": "True",

            "avIsPlatformUpToDate": "True",

            "avSignaturePublishTime": "2022-08-02T00:03:39Z",

            "rbacGroupName": "TVM1",

            "rbacGroupId": 4415

        },

        ...

     ]

}

2 Exportar informes de estado (a través de archivos)

Importante

La información de esta sección se refiere al producto preliminar que se puede modificar sustancialmente antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.

2.1 Descripción del método de API

Esta respuesta de API contiene todos los datos de estado y estado del Antivirus por dispositivo. Devuelve una tabla con una entrada para cada combinación única de:

• DeviceId
• nombre de dispositivo
• Modo AV
• Estado actualizado
• Resultados del examen.

2.1.2 Limitaciones

• El tamaño máximo de página es de 200 000.
• Las limitaciones de velocidad de esta API son 30 llamadas por minuto y 1000 llamadas por hora.

2.2 Permisos

Se requiere uno de los siguientes permisos para llamar a esta API.

Tipo de permiso	Permiso	Nombre para mostrar del permiso
Aplicación	Vulnerability.Read.All	"Leer la información de vulnerabilidad de "Administración de amenazas y vulnerabilidades""
Delegado (cuenta profesional o educativa)	Vulnerability.Read	"Leer la información de vulnerabilidad de "Administración de amenazas y vulnerabilidades""

Para obtener más información, incluido cómo elegir permisos, consulte Uso de Microsoft Defender para punto de conexión API para obtener más información.

Dirección URL 2.3

GET /api/machines/InfoGatheringExport

2.4 Parámetros

• sasValidHours: el número de horas para las que serán válidas las direcciones URL de descarga (máximo 24 horas).

2.5 Propiedades

Consulte: 1.4 Export device antivirus health details API properties (via files).

2.6 Ejemplos

2.6.1 Ejemplo de solicitud

Esta es una solicitud de ejemplo:

GET https://api-us.securitycenter.contoso.com/api/machines/InfoGatheringExport

Ejemplo de respuesta 2.6.2

Esta es una respuesta de ejemplo:

{

   "@odata.context": "https://api-us.securitycenter.windows.com/api/$metadata#microsoft.windowsDefenderATP.api.ExportFilesResponse",

   "exportFiles": [

       "https://tvmexportexternalprdeus.blob.core.windows.net/temp-../2022-08-02/2201/InfoGatheringExport/json/OrgId=../_RbacGroupId=../part-00055-12fc2fcd-8f56-4e09-934f-e8efe7ce74a0.c000.json.gz?sv=2020-08-04&st=2022-08-02T22%3A47%3A11Z&se=2022-08-03T01%3A47%3A11Z&sr=b&sp=r&sig=..",

       "https://tvmexportexternalprdeus.blob.core.windows.net/temp-../2022-08-02/2201/InfoGatheringExport/json/OrgId=../_RbacGroupId=../part-00055-12fc2fcd-8f56-4e09-934f-e8efe7ce74a0.c000.json.gz?sv=2020-08-04&st=2022-08-02T22%3A47%3A11Z&se=2022-08-03T01%3A47%3A11Z&sr=b&sp=r&sig=.."

   ],


   "generatedTime": "2022-08-02T22:01:00Z"


}

Sugerencia

Sugerencia de rendimiento Debido a una variedad de factores (ejemplos que se enumeran a continuación) Microsoft Defender Antivirus, al igual que otros software antivirus, puede causar problemas de rendimiento en los dispositivos de punto de conexión. En algunos casos, es posible que tenga que ajustar el rendimiento de Microsoft Defender Antivirus para aliviar esos problemas de rendimiento. El analizador de rendimiento de Microsoft es una herramienta de línea de comandos de PowerShell que ayuda a determinar qué archivos, rutas de acceso de archivo, procesos y extensiones de archivo podrían estar causando problemas de rendimiento; Algunos ejemplos son:

• Rutas de acceso principales que afectan al tiempo de examen
• Archivos principales que afectan al tiempo de examen
• Principales procesos que afectan al tiempo de examen
• Extensiones de archivo principales que afectan al tiempo de examen
• Combinaciones: por ejemplo:
  • archivos principales por extensión
  • rutas de acceso superiores por extensión
  • procesos principales por ruta de acceso
  • exámenes superiores por archivo
  • exámenes superiores por archivo por proceso

Puede usar la información recopilada mediante el Analizador de rendimiento para evaluar mejor los problemas de rendimiento y aplicar acciones de corrección. Consulte: Analizador de rendimiento para Microsoft Defender Antivirus.

Consulte también

Exportar las propiedades y los métodos de estado del dispositivo

Informes de cumplimiento y estado del dispositivo

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.