Exportation du rapport de santé antivirus de l'appareil

S’applique à :

• Microsoft Defender pour point de terminaison Plan 1
• Microsoft Defender pour point de terminaison Plan 2
• Microsoft Defender XDR

Vous voulez découvrir Microsoft Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Remarque

Si vous êtes un client du gouvernement des États-Unis, utilisez les URI répertoriés dans Microsoft Defender pour point de terminaison pour les clients du gouvernement des États-Unis.

Conseil

Pour de meilleures performances, vous pouvez utiliser le serveur plus près de votre emplacement géographique :

• us.api.security.microsoft.com
• eu.api.security.microsoft.com
• uk.api.security.microsoft.com
• au.api.security.microsoft.com
• swa.api.security.microsoft.com

Importante

Certaines informations contenues dans cet article concernent le produit en préversion, qui peut être considérablement modifié avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.

Cette API dispose de deux méthodes pour récupérer Microsoft Defender détails de l’intégrité de l’antivirus des appareils antivirus :

• Méthode 1 :1 Exporter les rapports d’intégrité (réponse JSON) La méthode extrait toutes les données de votre organization sous forme de réponses JSON. Cette méthode est idéale pour les petites organisations avec moins de 100 000 appareils. La réponse étant paginée, vous pouvez utiliser le champ @odata.nextLink de la réponse pour extraire les résultats suivants.

• Méthode 2 :2 Exporter les rapports d’intégrité (via des fichiers) Cette méthode permet d’extraire de plus grandes quantités de données plus rapidement et de manière plus fiable. Il est donc recommandé pour les grandes organisations, avec plus de 100 000 appareils. Cette API extrait toutes les données de votre organization en tant que fichiers de téléchargement. La réponse contient des URL pour télécharger toutes les données à partir du stockage Azure. Cette API vous permet de télécharger toutes vos données à partir du Stockage Azure comme suit :

  • Appelez l’API pour obtenir une liste d’URL de téléchargement avec toutes vos données organization.
  • Téléchargez tous les fichiers à l’aide des URL de téléchargement et traitez les données comme vous le souhaitez.

Les données collectées à l’aide de « réponse JSON ou via des fichiers » sont les instantané actuelles de l’état actuel. Il ne contient pas de données historiques. Pour collecter des données historiques, les clients doivent enregistrer les données dans leurs propres stockages de données. Consultez Exporter les méthodes et propriétés de l’API détails de l’intégrité de l’appareil.

Importante

Actuellement, seule la réponse JSON d’intégrité de l’antivirus est en disponibilité générale. L’API d’intégrité antivirus via des fichiers n’est actuellement disponible qu’en préversion publique.

La requête personnalisée de chasse avancée n’est actuellement disponible qu’en préversion publique, même si les requêtes sont toujours visibles.

Importante

Pour que Windows Server 2012 R2 et Windows Server 2016 apparaissent dans les rapports d’intégrité des appareils, ces appareils doivent être intégrés à l’aide du package de solution unifiée moderne. Pour plus d’informations, consultez Nouvelles fonctionnalités de la solution unifiée moderne pour Windows Server 2012 R2 et 2016.

Remarque

Pour plus d’informations sur l’utilisation de l’outil de création de rapports sur l’intégrité de l’appareil et la conformité antivirus dans le tableau de bord sécurité Microsoft 365, consultez : Rapport sur l’intégrité de l’appareil et la conformité antivirus dans Microsoft Defender pour point de terminaison.

1 Exporter les rapports d’intégrité (réponse JSON)

1.1 Description de la méthode d’API

Cette API récupère une liste des détails d’intégrité de l’antivirus des appareils antivirus Microsoft Defender. Retourne une table avec une entrée pour chaque combinaison unique de :

• DeviceId
• Nom du périphérique
• Mode AV
• Status à jour
• Résultats de l'analyse

1.1.1 Limitations

• la taille maximale de la page est de 200 000
• Les limitations de débit pour cette API sont de 30 appels par minute et de 1 000 appels par heure.

Opérateurs pris en charge par OData

• $filteron : machineId, computerDnsName, osKind, osPlatform, osVersion, , , avEngineVersionavPlatformVersionavIsEngineUpToDateavSignatureVersionquickScanErroravIsPlatformUpToDatequickScanResultfullScanResultfullScanErroravIsSignatureUpToDateavModerbacGroupId
• $top avec la valeur maximale de 10 000.
• $skip

Importante

Notez que rbacgroupname et ID ne sont pas des opérateurs de filtre pris en charge.

1.2 Autorisations

L’une des autorisations suivantes est nécessaire pour appeler cette API. Pour en savoir plus, notamment sur le choix des autorisations, consultez Utiliser les API Microsoft Defender pour point de terminaison pour plus d’informations.

Type d’autorisation	Autorisation	Nom complet de l’autorisation
Application	Machine.Read.All	« Lire tous les profils d’ordinateur »
Déléguée (compte professionnel ou scolaire)	Machine.Read	« Lire les informations de l’ordinateur »

1.3 URL (requête HTTP)

URL: GET: /api/deviceavinfo

1.3.1 En-têtes de requête

Nom	Type	Description
Autorisation	Chaîne	Porteur {token}. Obligatoire.

1.3.2 Corps de la demande

Empty

1.3.3 Réponse

Si elle réussit, cette méthode retourne 200 OK avec une liste de détails d’intégrité de l’appareil.

1.4 Paramètres

• La taille de page par défaut est 20
• Consultez des exemples dans requêtes OData avec Microsoft Defender pour point de terminaison.

1.5 Propriétés

Consultez : 1.3 Exporter les propriétés de l’API détails de l’intégrité de l’antivirus de l’appareil (réponse JSON)

Prend en charge les requêtes OData V4.

1.6 Exemple

Exemple de requête

Voici un exemple de demande :

GET https://api.securitycenter.microsoft.com/api/deviceavinfo

Exemple de réponse

Voici un exemple de réponse :

{

    @odata.context: "https://api.securitycenter.microsoft.com/api/$metadata#DeviceAvInfo",

"value": [{

            "id": "Sample Guid",

            "machineId": "Sample Machine Guid",

            "computerDnsName": "appblockstg1",

            "osKind": "windows",

            "osPlatform": "Windows10",

            "osVersion": "10.0.19044.1865",

            "avMode": "0",

            "avSignatureVersion": "1.371.1279.0",

            "avEngineVersion": "1.1.19428.0",

            "avPlatformVersion": "4.18.2206.108",

            "lastSeenTime": "2022-08-02T19:40:45Z",

            "quickScanResult": "Completed",

            "quickScanError": "",

            "quickScanTime": "2022-08-02T18:40:15.882Z",

            "fullScanResult": "",

            "fullScanError": "",

            "fullScanTime": null,

            "dataRefreshTimestamp": "2022-08-02T21:16:23Z",

            "avEngineUpdateTime": "2022-08-02T00:03:39Z",

            "avSignatureUpdateTime": "2022-08-02T00:03:39Z",

            "avPlatformUpdateTime": "2022-06-20T16:59:35Z",

            "avIsSignatureUpToDate": "True",

            "avIsEngineUpToDate": "True",

            "avIsPlatformUpToDate": "True",

            "avSignaturePublishTime": "2022-08-02T00:03:39Z",

            "rbacGroupName": "TVM1",

            "rbacGroupId": 4415

        },

        ...

     ]

}

2 Exporter les rapports d’intégrité (via des fichiers)

Importante

Les informations contenues dans cette section concernent les produits pré-publiés qui peuvent être modifiés de manière substantielle avant sa commercialisation. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.

2.1 Description de la méthode d’API

Cette réponse d’API contient toutes les données d’intégrité et de status antivirus par appareil. Retourne une table avec une entrée pour chaque combinaison unique de :

• DeviceId
• nom du périphérique
• Mode AV
• Status à jour
• Résultats de l'analyse

2.1.2 Limitations

• La taille maximale de la page est de 200 000.
• Les limitations de débit pour cette API sont de 30 appels par minute et de 1 000 appels par heure.

2.2 Autorisations

L’une des autorisations suivantes est nécessaire pour appeler cette API.

Type d’autorisation	Autorisation	Nom complet de l’autorisation
Application	Vulnerability.Read.All	« Lire les informations de vulnérabilité « Gestion des menaces et des vulnérabilités »
Déléguée (compte professionnel ou scolaire)	Vulnerability.Read	« Lire les informations de vulnérabilité « Gestion des menaces et des vulnérabilités »

Pour en savoir plus, notamment sur le choix des autorisations, consultez Utiliser les API Microsoft Defender pour point de terminaison pour plus d’informations.

2.3 URL

GET /api/machines/InfoGatheringExport

2.4 Paramètres

• sasValidHours: nombre d’heures pendant lesquelles les URL de téléchargement seront valides (maximum 24 heures).

2.5 Propriétés

Consultez : 1.4 Exporter les propriétés de l’API détails de l’intégrité de l’antivirus de l’appareil (via des fichiers).

2.6 Exemples

2.6.1 Exemple de demande

Voici un exemple de demande :

GET https://api-us.securitycenter.contoso.com/api/machines/InfoGatheringExport

2.6.2 Exemple de réponse

Voici un exemple de réponse :

{

   "@odata.context": "https://api-us.securitycenter.windows.com/api/$metadata#microsoft.windowsDefenderATP.api.ExportFilesResponse",

   "exportFiles": [

       "https://tvmexportexternalprdeus.blob.core.windows.net/temp-../2022-08-02/2201/InfoGatheringExport/json/OrgId=../_RbacGroupId=../part-00055-12fc2fcd-8f56-4e09-934f-e8efe7ce74a0.c000.json.gz?sv=2020-08-04&st=2022-08-02T22%3A47%3A11Z&se=2022-08-03T01%3A47%3A11Z&sr=b&sp=r&sig=..",

       "https://tvmexportexternalprdeus.blob.core.windows.net/temp-../2022-08-02/2201/InfoGatheringExport/json/OrgId=../_RbacGroupId=../part-00055-12fc2fcd-8f56-4e09-934f-e8efe7ce74a0.c000.json.gz?sv=2020-08-04&st=2022-08-02T22%3A47%3A11Z&se=2022-08-03T01%3A47%3A11Z&sr=b&sp=r&sig=.."

   ],


   "generatedTime": "2022-08-02T22:01:00Z"


}

Conseil

Conseil sur les performances En raison de divers facteurs (exemples répertoriés ci-dessous), Microsoft Defender Antivirus, comme d’autres logiciels antivirus, peut entraîner des problèmes de performances sur les appareils de point de terminaison. Dans certains cas, vous devrez peut-être régler les performances de Microsoft Defender Antivirus pour atténuer ces problèmes de performances. L’analyseur de performances de Microsoft est un outil en ligne de commande PowerShell qui permet de déterminer quels fichiers, chemins d’accès de fichiers, processus et extensions de fichier peuvent être à l’origine de problèmes de performances . voici quelques exemples :

• Principaux chemins d’accès qui ont un impact sur la durée d’analyse
• Principaux fichiers qui ont un impact sur la durée de l’analyse
• Principaux processus qui ont un impact sur le temps d’analyse
• Principales extensions de fichier qui ont un impact sur la durée de l’analyse
• Combinaisons : par exemple :
  • fichiers principaux par extension
  • principaux chemins d’accès par extension
  • principaux processus par chemin d’accès
  • principales analyses par fichier
  • principales analyses par fichier et par processus

Vous pouvez utiliser les informations collectées à l’aide de l’Analyseur de performances pour mieux évaluer les problèmes de performances et appliquer des actions de correction. Consultez : Analyseur de performances pour Microsoft Defender Antivirus.

Voir aussi

Méthodes et propriétés de l'état de santé de l'appareil d'exportation

Rapports sur l’intégrité et la conformité des appareils

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.