Rapport d’intégrité de l’appareil, Microsoft Defender Antivirus
S’applique à :
- Microsoft Defender XDR
- Microsoft Defender pour point de terminaison
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison Plan 2
- Microsoft Defender pour les PME
Vous voulez découvrir Microsoft Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.
Le rapport Intégrité de l’appareil fournit des informations sur les appareils de votre organization. Le rapport inclut des informations sur les tendances montrant le status antivirus et les versions Microsoft Defender du moteur antivirus, de l’intelligence et de la plateforme.
Importante
Pour que les appareils apparaissent dans Microsoft Defender rapports d’intégrité des appareils antivirus, ils doivent respecter les conditions préalables suivantes :
- L’appareil est intégré à Microsoft Defender pour point de terminaison
- Système d’exploitation : Windows 10, Windows 11, Windows Server 2012 R2/, 2016 R2/ 2019/2022 (non MMA), MacOS, Linux
- Sens (MsSense.exe) : 10,8210. *+. Pour plus d’informations, consultez la section Prérequis .
Pour que Windows Server 2012 R2 et Windows Server 2016 apparaissent dans les rapports d’intégrité des appareils, ces appareils doivent être intégrés à l’aide du package de solution unifiée moderne. Pour plus d’informations, consultez Nouvelles fonctionnalités de la solution unifiée moderne pour Windows Server 2012 R2 et 2016.
Dans le portail Microsoft Defender, dans le volet de navigation, sélectionnez Rapports, puis ouvrez Intégrité et conformité de l’appareil. L’onglet Microsoft Defender Antivirus Health contient huit cartes qui indiquent les aspects suivants de Microsoft Defender Antivirus :
- Mode antivirus carte
- Carte de version du moteur antivirus
- Antivirus Security Intelligence version carte
- Carte de la version de la plateforme antivirus
- Résultats récents de l’analyse antivirus carte
- Mises à jour du moteur antivirus carte
- Mises à jour du renseignement de sécurité carte
- Mises à jour de la plateforme antivirus carte
Autorisations d’accès aux rapports
Pour accéder au rapport d’intégrité de l’appareil et de conformité antivirus dans le portail Microsoft Defender, les autorisations suivantes sont requises :
Nom de l’autorisation | Type d’autorisation |
---|---|
Afficher les données | Gestion des menaces et des vulnérabilités (TVM) |
Importante
Microsoft vous recommande d’utiliser des rôles disposant du moins d’autorisations. Cela contribue à renforcer la sécurité de votre organisation. Le rôle d’administrateur général dispose de privilèges élevés. Il doit être limité aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.
Pour attribuer ces autorisations :
Connectez-vous au portail Microsoft Defender à l’aide du compte avec le rôle Administrateur de la sécurité ou Administrateur général attribué.
Dans le volet de navigation, sélectionnez Paramètres Rôles>de points> de terminaison (sous Autorisations).
Sélectionnez le rôle que vous souhaitez modifier.
Sélectionnez Modifier.
Dans Modifier le rôle, sous l’onglet Général , dans Nom du rôle, tapez un nom pour le rôle.
Dans Description , tapez un bref résumé du rôle.
Dans Autorisations, sélectionnez Afficher les données, puis, sous Afficher les données , sélectionnez Gestion des menaces et des vulnérabilités (TVM).
Pour plus d’informations sur la gestion des rôles d’utilisateur, consultez Créer et gérer des rôles pour le contrôle d’accès en fonction du rôle.
Microsoft Defender onglet Intégrité de l’antivirus
L’onglet Microsoft Defender Antivirus health contient huit cartes qui signalent plusieurs aspects de Microsoft Defender Antivirus dans votre organization :
Deux cartes, mode antivirus carte et Résultats de l’analyse antivirus récente carte, rapport sur Microsoft Defender fonctions antivirus.
Les six autres cartes rapportent les status antivirus Microsoft Defender pour les appareils de votre organization :
version cartes: |
update cartes{1} |
---|---|
Carte de version du moteur antivirus Antivirus Security Intelligence version carte Carte de la version de la plateforme antivirus |
Mises à jour du moteur antivirus carte Mises à jour du renseignement de sécurité carte Mises à jour de la plateforme antivirus carte |
Les trois cartes de version fournissent des rapports volants qui fournissent des informations supplémentaires et permettent une exploration plus approfondie. | Les trois fiches de rapport à jour fournissent des liens vers des ressources pour en savoir plus. |
{1} Pour les trois updates
cartes (également appelées cartes de création de rapports à jour), « Aucune donnée disponible » (ou valeur « Inconnue ») indique les appareils qui ne signalent pas de mise à jour status. Les appareils qui ne signalent pas les status de mise à jour peuvent être dus à diverses raisons, par exemple :
- L’ordinateur est déconnecté du réseau.
- L’ordinateur est hors tension ou dans un état de mise en veille prolongée.
- Microsoft Defender Antivirus est désactivé.
- L’appareil est un appareil non Windows (Mac ou Linux).
- La protection cloud n’est pas activée.
- L’appareil ne répond pas aux prérequis du moteur antivirus ou de la version de la plateforme.
Configuration requise
Les rapports à jour génèrent des informations pour les appareils qui répondent aux critères suivants :
Version du moteur : 1.1.19300.2+
Version de la plateforme : 4.18.2202.1+
Protection cloud activée
Sens (MsSense.exe) : 10,8210. *+
Système d’exploitation Windows - Windows 10 1809 ou version ultérieure
Remarque
* Actuellement, les rapports à jour sont disponibles uniquement pour les appareils Windows. Les appareils multiplateformes tels que Mac et Linux sont répertoriés sous « Aucune donnée disponible »/Inconnu.
Fonctionnalité de carte
La fonctionnalité est essentiellement la même pour toutes les cartes. En cliquant sur une barre numérotée dans l’une des cartes, le menu volant Microsoft Defender Détails de l’antivirus s’ouvre, ce qui vous permet d’examiner les informations sur tous les appareils configurés avec le numéro de version d’un aspect sur ce carte.
Si le numéro de version sur lequel vous avez cliqué est :
- Une version actuelle, la correction requise et la recommandation de sécurité ne sont pas présentes.
- Une version obsolète, une notification en haut du rapport est présente, indiquant correction requise, et un lien de recommandation de sécurité est présent. Sélectionnez le lien de recommandation de sécurité pour accéder à la console Gestion des menaces et des vulnérabilités, qui peut recommander les mises à jour antivirus appropriées.
Pour ajouter ou supprimer des types d’informations spécifiques dans le menu volant détails de l’antivirus Microsoft Defender, sélectionnez Personnaliser les colonnes. Dans Personnaliser les colonnes, sélectionnez ou effacez les éléments pour spécifier ce que vous souhaitez inclure dans le rapport détails de l’antivirus Microsoft Defender.
Nouvelles définitions de filtre antivirus Microsoft Defender
Le tableau suivant contient une liste de termes nouveaux pour Microsoft Defender rapports antivirus.
Nom de colonne | Description |
---|---|
Heure de publication du renseignement de sécurité | Indique la date de publication de Microsoft de la version de mise à jour du renseignement de sécurité sur l’appareil. Les appareils dont le temps de publication de veille de sécurité est supérieur à sept jours sont considérés comme obsolètes dans les rapports. |
Vu pour la dernière fois | Indique la date de la dernière connexion de l’appareil. |
Horodatage de l’actualisation des données | Indique quand les événements client ont été reçus pour la dernière fois pour la création de rapports : mode AV, version du moteur AV, version de la plateforme AV, version du renseignement de sécurité AV et informations d’analyse. |
Heure d’actualisation de la signature | Indique quand les événements clients ont été reçus pour la dernière fois pour la création de rapports sur le moteur, la plateforme et la signature à jour status. |
Dans le menu volant : en cliquant sur le nom de l’appareil, vous êtes redirigé vers la « page Appareil » de cet appareil, où vous pouvez accéder à des rapports détaillés.
Exporter le rapport
Il existe deux niveaux de rapports que vous pouvez exporter :
Exportation de niveau supérieur
Il existe deux fonctionnalités csv d’exportation différentes via le portail :
- Exportation de niveau supérieur. Vous pouvez utiliser le bouton Exporter de niveau supérieur pour collecter un rapport d’intégrité Microsoft Defender Antivirus (limite de 500 000).
- Exportation au niveau du menu volant. Vous pouvez utiliser le bouton Exporter dans les menus volants pour exporter un rapport vers une feuille de calcul Excel (limite de 100 000).
Les rapports exportés capturent des informations en fonction de votre point d’entrée dans le rapport de détails et des filtres ou colonnes personnalisées que vous avez définis.
Pour plus d’informations sur l’exportation à l’aide de l’API, consultez les articles suivants :
- Exportation du rapport de santé antivirus de l'appareil
- Exporter les méthodes et propriétés de l’API des détails de l’antivirus de l’appareil
Importante
Actuellement, seule la réponse JSON d’intégrité de l’antivirus est en disponibilité générale. L’API d’intégrité antivirus via des fichiers n’est disponible qu’en préversion publique.
La requête personnalisée de chasse avancée n’est actuellement disponible qu’en préversion publique, même si les requêtes sont visibles.
Microsoft Defender fonctionnalités de la version de l’antivirus et des cartes de mise à jour
Voici les descriptions des six cartes qui signalent les informations et update
pour Microsoft Defender version
moteur antivirus, le renseignement de sécurité et les composants de plateforme :
Rapport complet
Dans l’une des trois version
cartes, sélectionnez Afficher le rapport complet pour afficher les neuf rapports antivirus version
Microsoft Defender les plus récents pour chacun des trois types d’appareils : Windows, Mac et Linux ; s’il en existe moins de neuf, ils sont tous affichés. Une catégorie Autre capture les versions récentes du moteur antivirus au dixième rang et en dessous, si elles sont détectées.
L’un des principaux avantages des trois version
cartes est qu’elles fournissent des indicateurs rapides pour déterminer si les versions les plus récentes des moteurs antivirus, des plateformes et du renseignement de sécurité sont utilisées. Associées aux informations détaillées liées à la carte, les cartes de versions deviennent un outil puissant pour case activée si les versions sont à jour et pour collecter des informations sur des ordinateurs individuels ou des groupes d’ordinateurs.
Dans l’idéal, lorsque vous exécutez ces rapports, ils indiquent que les versions les plus récentes de l’antivirus sont installées, par opposition aux versions antérieures.
Utilisez ces rapports pour déterminer si votre organization tire pleinement parti des versions les plus récentes.
Pour vous assurer que votre solution anti-programme malveillant détecte les dernières menaces, obtenez automatiquement les mises à jour dans le cadre de Windows Update.
Pour plus d’informations sur les versions actuelles et sur la façon de mettre à jour les différents composants antivirus Microsoft Defender, consultez Microsoft Defender prise en charge de la plateforme antivirus.
Descriptions des cartes
Voici de brefs résumés des informations collectées signalées dans chacune des Antivirus version
cartes :
Mode antivirus carte
Rapports sur le nombre d’appareils dans votre organization ( à la date indiquée sur le carte ) se trouvent dans l’un des modes antivirus Microsoft Defender suivants :
valeur | mode |
---|---|
0 |
Active |
1 |
Passive |
2 |
Disabled (désinstallé, désactivé ou SideBySidePassive {également appelé Analyse périodique faible}) |
3 |
Others (Non en cours d’exécution, Inconnu) |
4 |
EDRBlocked |
Vous trouverez ci-dessous des descriptions pour chaque mode :
- Mode actif : en mode actif, Microsoft Defender’antivirus est utilisé comme application antivirus principale sur l’appareil. Les fichiers sont analysés, les menaces corrigées et les menaces détectées sont répertoriées dans les rapports de sécurité de votre organisation et dans votre application Sécurité Windows.
- Mode passif : en mode passif, Microsoft Defender’antivirus n’est pas utilisé comme application antivirus principale sur l’appareil. Les fichiers sont analysés et les menaces détectées sont signalées, mais les menaces ne sont pas corrigées par Microsoft Defender Antivirus. IMPORTANT : Microsoft Defender Antivirus peut fonctionner en mode passif uniquement sur les points d'extrémité qui sont intégrés à Microsoft Defender pour point de terminaison. Voir Configuration requise pour que Microsoft Defender Antivirus fonctionne en mode passif .
- Mode désactivé : synonyme de : désinstallé, désactivé, sideBySidePassive et Analyse périodique faible. Lorsqu’il est désactivé, Microsoft Defender Antivirus n’est pas utilisé. Les fichiers ne sont pas analysés et les menaces ne sont pas corrigées. En règle générale, Microsoft ne recommande pas de désactiver ou de désinstaller Microsoft Defender Antivirus.
- Mode Autres - Non en cours d’exécution, Inconnu
- EDR en mode Bloc : en mode de détection et réponse de point de terminaison (EDR) bloqué. Voir Détection et réponse de point de terminaison en mode bloc
Les appareils qui sont passifs, LPS ou Désactivé présentent un risque potentiel pour la sécurité et doivent être examinés.
Pour plus d’informations sur LPS, consultez Utiliser une analyse périodique limitée dans Microsoft Defender Antivirus.
Résultats récents de l’analyse antivirus carte
Cette carte comporte deux graphiques à barres affichant des résultats complets pour les analyses rapides et complètes. Dans les deux graphiques, la première barre indique le taux d’achèvement des analyses et indique Terminé, Annulé ou Échec. La deuxième barre de chaque section fournit les codes d’erreur pour les analyses ayant échoué. En analysant les colonnes Des résultats de l’analyse mode et Analyse récente , vous pouvez identifier rapidement les appareils qui ne sont pas en mode d’analyse antivirus actif et les appareils qui ont échoué ou annulé les analyses antivirus récentes. Vous pouvez revenir au rapport avec ces informations et recueillir plus de détails et des recommandations de sécurité. Si des codes d’erreur sont signalés dans cette carte, un lien vous permet d’en savoir plus sur les codes d’erreur.
Pour plus d’informations sur les versions actuelles de l’antivirus Microsoft Defender et sur la façon de mettre à jour les différents composants de l’antivirus Microsoft Defender, consultez Gérer les mises à jour de l’antivirus Microsoft Defender et appliquer les bases de référence.
Carte de version du moteur antivirus
Affiche les résultats en temps réel des versions les plus récentes du moteur antivirus Microsoft Defender installées sur les appareils Windows, Mac et Linux dans votre organization. Microsoft Defender moteur antivirus est mis à jour tous les mois. Pour plus d’informations sur les versions actuelles et sur la mise à jour des différents composants antivirus Microsoft Defender, consultez Microsoft Defender prise en charge de la plateforme antivirus.
Antivirus Security Intelligence version carte
Listes les versions les plus courantes Microsoft Defender Antivirus security intelligence installées sur les appareils de votre réseau. Microsoft met continuellement à jour Microsoft Defender intelligence de sécurité pour répondre aux dernières menaces et affiner la logique de détection. Ces améliorations apportées au renseignement de sécurité améliorent la capacité de l’antivirus Microsoft Defender (et d’autres solutions microsoft anti-programme malveillant) à identifier avec précision les menaces potentielles. Cette intelligence de sécurité fonctionne directement avec la protection basée sur le cloud pour fournir une protection nouvelle génération, rapide et puissante, améliorée par l’IA.
Carte de la version de la plateforme antivirus
Affiche les résultats en temps réel des versions de plateforme antivirus Microsoft Defender les plus récentes installées sur les versions des appareils Windows, Mac et Linux dans votre organization. Microsoft Defender plateforme antivirus est mise à jour mensuellement. Pour plus d’informations sur les versions actuelles et sur la façon de mettre à jour les différents composants antivirus Microsoft Defender, consultez Microsoft Defender prise en charge de la plateforme antivirus
Cartes à jour
Les cartes à jour affichent les status à jour pour les versions de mise à jour du moteur antivirus, de la plateforme antivirus et de la mise à jour security intelligence. Il existe trois états possibles : Up to date
(True
), out of date
(False
) et no data available
(Unknown
).
Importante
La logique utilisée pour établir des déterminations à jour a récemment été améliorée et simplifiée. Le nouveau comportement est documenté dans cette section.
Les définitions de Up to date
, out of date
et no data available
sont fournies pour chaque carte ci-dessous.
Microsoft Defender Antivirus utilise les critères supplémentaires « Heure d’actualisation de la signature » (dernière fois que l’appareil a communiqué avec les rapports à jour) pour créer des rapports et des déterminations à jour pour les mises à jour du moteur, de la plateforme et de la sécurité.
Le status à jour est automatiquement marqué comme « inconnu » ou « aucune donnée disponible » si l’appareil n’a pas communiqué avec les rapports depuis plus de sept jours (heure >d’actualisation de la signature 7).
Pour plus d’informations sur les termes mentionnés ci-dessus, reportez-vous à la section : New Microsoft Defender Antivirus filter definitions
Remarque
Les rapports à jour génèrent des informations pour les appareils qui répondent aux critères suivants :
- Version du moteur :
1.1.19300.2
ou version ultérieure - Version de la plateforme :
4.18.2202.1
ou version ultérieure - Protection cloud activée
- Système d’exploitation Windows
Actuellement, les rapports à jour sont disponibles uniquement pour les appareils Windows. Les appareils multiplateformes tels que Mac et Linux sont répertoriés sous no data available
.>
Définitions à jour
Voici les définitions à jour du moteur et de la plateforme :
Le moteur/plateforme sur l’appareil est considéré comme suit : | Situation |
---|---|
Actuel | Si l’appareil a communiqué avec l’événement de rapport Defender (Signature refresh time ) au cours des sept derniers jours et que la version de build Moteur ou Plateforme est supérieure ou égale à (>= ), la version de publication mensuelle la plus récente. |
obsolète | Si l’appareil a communiqué avec l’événement de rapport Defender (Signature refresh time ) au cours des sept derniers jours, mais que la version de build du moteur ou de la plateforme est inférieure à (< ) la version de publication mensuelle la plus récente. |
inconnu (aucune donnée disponible) | Si l’appareil n’a pas communiqué avec l’événement de rapport (Signature refresh time ) depuis plus de sept jours. |
Voici les définitions de la veille de sécurité à jour :
La mise à jour du renseignement de sécurité est prise en compte : | Situation |
---|---|
Actuel | Si la version du renseignement de sécurité sur l’appareil a été écrite au cours des sept derniers jours et que l’appareil a communiqué avec l’événement de rapport au cours des sept derniers jours. |
Pour plus d’informations, reportez-vous aux rubriques suivantes :
- Mises à jour du moteur antivirus carte
- Mises à jour du renseignement de sécurité carte
- Mises à jour de la plateforme antivirus carte
Mises à jour du moteur antivirus carte
Cette carte identifie les appareils dont les versions du moteur antivirus sont à jour ou obsolètes.
La définition générale de up to date
- La version du moteur sur l’appareil est la version la plus récente du moteur. Le moteur est généralement publié tous les mois, via Windows Update (WU). Il y a une période de grâce de trois jours donnée à partir du jour où Windows Update (WU) est libéré.
Le tableau suivant présente les valeurs possibles pour les rapports à jour pour le moteur antivirus. L’état signalé est basé sur la dernière fois que l’événement de création de rapports a été reçu (heure d’actualisation de la signature). Si l’appareil n’a pas communiqué avec les rapports depuis plus de sept jours (temps >d’actualisation de la signature 7 jours), le status est automatiquement marqué comme / Unknown
No Data Available
.
Heure de la dernière actualisation de l’événement (également appelée « Heure d’actualisation de la signature » dans les rapports) | État signalé |
---|---|
< 7 jours (nouveau) | tout rapport client (à jour) Obsolète Inconnu) |
> 7 jours (ancienne) | Unknown |
Pour plus d’informations sur la gestion des versions de mise à jour de l’antivirus Microsoft Defender, consultez Versions mensuelles de la plateforme et du moteur.
Mises à jour de la plateforme antivirus carte
Cette carte identifie les appareils dont les versions de plateforme antivirus sont à jour ou obsolètes.
La définition générale de up to date
est que la version de la plateforme sur l’appareil est la version de plateforme la plus récente. La plateforme est généralement publiée tous les mois, via Windows Update (WU). Il y a une période de grâce de trois jours à partir du jour où WU est libéré.
Le tableau suivant présente les valeurs de rapport à jour possibles pour Antivirus Platform. Les valeurs signalées sont basées sur la dernière fois que l’événement de création de rapports a été reçu (heure d’actualisation de la signature). Si l’appareil n’a pas communiqué avec les rapports depuis plus de sept jours (temps >d’actualisation de la signature 7 jours), le status est automatiquement marqué comme/ Unknown
No Data Available
.
Heure de la dernière actualisation de l’événement (également appelée « Heure d’actualisation de la signature » dans les rapports) | État signalé |
---|---|
< 7 jours (nouveau) | tout rapport client (Up to date Out of date Unknown) |
> 7 jours (ancienne) | Unknown |
Pour plus d’informations sur la gestion des versions de mise à jour de l’antivirus Microsoft Defender, consultez Versions mensuelles de la plateforme et du moteur.
Mises à jour du renseignement de sécurité carte
Cette carte identifie les appareils qui ont des versions de veille de sécurité à jour ou obsolètes.
La définition générale de up to date
est que la version du renseignement de sécurité sur l’appareil a été écrite au cours des 7 derniers jours.
Le tableau suivant présente les valeurs de rapport à jour possibles pour les mises à jour du renseignement de sécurité . Les valeurs signalées sont basées sur la dernière fois que l’événement de rapport a été reçu et sur l’heure de publication du renseignement de sécurité. Si l’appareil n’a pas communiqué avec les rapports depuis plus de sept jours (durée >d’actualisation de la signature 7 jours), le status est automatiquement marqué comme Unknown/ No Data Available
. Dans le cas contraire, la détermination est basée sur la question de savoir si le délai de publication des renseignements de sécurité est dans les sept jours.
Heure de la dernière actualisation de l’événement (Également appelé « Heure d’actualisation de la signature » dans les rapports) |
Heure de publication de Security Intelligence | État signalé |
---|---|---|
>7 jours (ancienne) | >7 jours (ancienne) | Unknown |
<7 jours (nouveau) | >7 jours (ancienne) | Out of date |
>7 jours (ancienne) | <7 jours (nouveau) | Unknown |
<7 jours (nouveau) | <7 jours (nouveau) | Up to date |
Voir aussi
Conseil
Conseil sur les performances En raison de divers facteurs (exemples répertoriés ci-dessous), Microsoft Defender Antivirus, comme d’autres logiciels antivirus, peut entraîner des problèmes de performances sur les appareils de point de terminaison. Dans certains cas, vous devrez peut-être régler les performances de Microsoft Defender Antivirus pour atténuer ces problèmes de performances. L’analyseur de performances de Microsoft est un outil en ligne de commande PowerShell qui permet de déterminer quels fichiers, chemins d’accès de fichiers, processus et extensions de fichier peuvent être à l’origine de problèmes de performances . voici quelques exemples :
- Principaux chemins d’accès qui ont un impact sur la durée d’analyse
- Principaux fichiers qui ont un impact sur la durée de l’analyse
- Principaux processus qui ont un impact sur le temps d’analyse
- Principales extensions de fichier qui ont un impact sur la durée de l’analyse
- Combinaisons : par exemple :
- fichiers principaux par extension
- principaux chemins d’accès par extension
- principaux processus par chemin d’accès
- principales analyses par fichier
- principales analyses par fichier et par processus
Vous pouvez utiliser les informations collectées à l’aide de l’Analyseur de performances pour mieux évaluer les problèmes de performances et appliquer des actions de correction. Consultez : Analyseur de performances pour Microsoft Defender Antivirus.
- Exporter les méthodes et propriétés de l’API des détails de l’antivirus de l’appareil
- Exportation du rapport de santé antivirus de l'appareil
- Rapport de protection contre les menaces
Conseil
Pour plus d’informations sur les antivirus pour d’autres plateformes, consultez :
- Définir les préférences pour Microsoft Defender pour point de terminaison sur macOS
- Microsoft Defender pour point de terminaison sur Mac
- Paramètres de stratégie antivirus macOS pour Antivirus Microsoft Defender pour Intune
- Définir les préférences pour Microsoft Defender pour point de terminaison sur Linux
- Microsoft Defender pour point de terminaison Linux
- Configurer Defender pour point de terminaison pour des fonctionnalités Android
- configurer Microsoft Defender pour point de terminaison sur les fonctionnalités iOS
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.