Rechercher les problèmes d’état d’intégrité de l’agent
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison Plan 2
- Microsoft Defender XDR
Le tableau suivant fournit des informations sur les valeurs retournées lorsque vous exécutez la mdatp health
commande et leurs descriptions correspondantes.
Valeur | Description |
---|---|
app_version |
Affiche Microsoft Defender version de l’application. |
automatic_definition_update_enabled |
True si les mises à jour automatiques des définitions antivirus sont activées ; sinon, false . |
behavior_monitoring |
Fonctionnalité permettant de détecter les menaces et la prévention en temps réel en surveillant le comportement des applications, des services et des fichiers. Peut avoir l’une des valeurs suivantes : - disabled : par défaut - Activé |
cloud_automatic_sample_submission_consent |
Niveau d’envoi de l’exemple actuel. Peut avoir l’une des valeurs suivantes : - Aucun : aucun échantillon suspect n’est envoyé à Microsoft. - safe : seuls les échantillons suspects qui ne contiennent pas de données personnelles sont envoyés automatiquement. Cette valeur est la valeur par défaut de ce paramètre. - Tout : tous les échantillons suspects sont envoyés à Microsoft. |
cloud_diagnostic_enabled |
True si la collecte de données de diagnostic facultative est activée ; sinon, false . Pour plus d’informations sur Defender pour point de terminaison et d’autres produits et services tels que Microsoft Defender Antivirus et Windows, consultez La Déclaration de confidentialité Microsoft. |
cloud_enabled |
True si la protection fournie par le cloud est activée ; sinon, false . |
conflicting_applications |
Liste des applications susceptibles d’être en conflit avec Microsoft Defender pour point de terminaison. Cette liste inclut, sans s’y limiter, d’autres produits de sécurité et d’autres applications connus pour provoquer des problèmes de compatibilité. |
definitions_status |
État des définitions antivirus. Peut avoir l’une des valeurs suivantes : - up_to_date - actualisation - indisponible |
definitions_updated |
Date et heure de la dernière mise à jour de la définition antivirus. |
definitions_updated_minutes_ago |
Nombre de minutes depuis la dernière mise à jour de la définition de l’antivirus. |
definitions_version |
Version de la définition de l’antivirus. |
edr_client_version |
Version du client EDR en cours d’exécution sur l’appareil. |
edr_configuration_version |
Version de configuration EDR. |
edr_device_tags |
Liste des balises associées à l’appareil. |
edr_early_preview_enabled |
Paramètre de la préversion anticipée d’edr. Peut avoir l’une des valeurs suivantes : - handicapé - Activé |
edr_group_ids |
ID de groupe auquel l’appareil est associé. |
edr_machine_id |
Identificateur d’appareil utilisé dans le portail Microsoft Defender. |
engine_load_status |
État du moteur antivirus pour déterminer s’il est en cours d’exécution. Peut avoir l’une des valeurs suivantes : - Moteur non chargé : le processus du moteur antivirus est arrêté - Chargement du moteur réussi : le processus du moteur antivirus est opérationnel |
engine_version |
Version du moteur antivirus. |
healthy |
True si le produit est sain ; sinon, false . |
health_issues |
Listes problèmes d’intégrité, le cas échéant. |
licensed |
True si l’appareil est intégré à un locataire ; sinon, false . |
log_level |
Niveau de journal actuel pour le produit. Peut avoir l’une des valeurs suivantes : - info - déboguer |
machine_guid |
Identificateur de machine unique utilisé par le composant antivirus. |
network_protection_enforcement_level |
Mode de protection réseau. Peut avoir l’un des éléments suivants : - disabled : tous les composants associés à la protection réseau sont désactivés - bloquer : la protection réseau empêche la connexion à des sites web malveillants - audit - Vérifier la façon dont les blocs se produisent |
network_protection_status |
État du composant de protection réseau (macOS uniquement). Peut avoir l’une des valeurs suivantes : - démarrage : la protection du réseau démarre - failed_to_start - Impossible de démarrer la protection réseau en raison d’une erreur - démarré : la protection réseau est en cours d’exécution sur l’appareil - redémarrage : la protection réseau redémarre - arrêt : la protection réseau s’arrête - arrêté - La protection réseau n’est pas en cours d’exécution |
org_id |
Organisation à laquelle l’appareil est intégré. Si l’appareil n’est pas encore intégré à un organization, il s’affiche sous la forme unavailable . Pour plus d’informations sur l’intégration, consultez Intégrer à Microsoft Defender pour point de terminaison. |
passive_mode_enabled |
True si le composant antivirus est configuré pour s’exécuter en mode passif ; sinon, false . |
product_expiration |
Date et heure de fin du support de la version actuelle du produit. |
real_time_protection_available |
True si le composant de protection en temps réel est sain ; sinon, false . |
real_time_protection_enabled |
True si la protection antivirus en temps réel est activée ; sinon, false . |
real_time_protection_subsystem |
Sous-système utilisé pour servir la protection en temps réel. Si la protection en temps réel ne fonctionne pas comme prévu, elle s’affiche sous la forme unavailable . |
release_ring |
Anneau de libération. Pour plus d’informations, consultez Anneaux de déploiement. |
supplementary_events_subsystem |
Sous-système qui fournit des données d’événement supplémentaires. Peut avoir l’une des valeurs suivantes : - ebpf : par défaut à partir de la version de l’application : 101.2408.0000 - audité |
Vous pouvez obtenir des informations plus détaillées sur l’intégrité des différentes fonctionnalités de Defender avec mdatp health --details <feature>
. Par exemple :
mdatp health --details edr
mdatp health --details definitions
mdatp health --details help
Vous pouvez exécuter mdatp health --help
sur les versions récentes pour répertorier toutes les fonctionnalités prises en charge.
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.