Eszköz víruskereső állapotjelentésének exportálása

Érintett szolgáltatás:

Szeretné megismerni a Végponthoz készült Microsoft Defendert? Regisztráció az ingyenes próbaverzióra

Megjegyzés:

Ha Ön az USA kormányzati szerveinek ügyfele, használja a Végponthoz készült Microsoft Defender-ben felsorolt URI-kat az USA kormányzati ügyfelei számára.

Tipp

A jobb teljesítmény érdekében a földrajzi helyhez közelebbi kiszolgálót használhat:

  • api-us.securitycenter.microsoft.com
  • api-eu.securitycenter.microsoft.com
  • api-uk.securitycenter.microsoft.com

Fontos

Bizonyos információk az előzetesen forgalomba hozott termékre vonatkoznak, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal semmilyen, kifejezett vagy vélelmezett jótállást az itt megadott információkra vonatkozóan.

Ez az API két módszerrel kéri le Microsoft Defender víruskereső eszköz víruskereső állapotadatait:

  • 1.módszer:1 Állapotjelentés exportálása (JSON-válasz) A metódus JSON-válaszként lekéri a szervezet összes adatát. Ez a módszer a 100 K-nál kisebb eszközökkel rendelkező kis szervezetek számára ajánlott. A válasz lapszámozott, így a válasz @odata.nextLink mezőjével lekérheti a következő eredményeket.

  • Második módszer:2 Állapotjelentés exportálása (fájlokon keresztül) Ezzel a módszerrel gyorsabban és megbízhatóbbá válik a nagyobb mennyiségű adat lekérése. Ezért a 100 K-nál több eszközzel rendelkező nagy szervezetek számára ajánlott. Ez az API lekéri a szervezet összes adatát letöltési fájlokként. A válasz URL-címeket tartalmaz az összes adat Azure Storage-ból való letöltéséhez. Ez az API az alábbi módon teszi lehetővé az összes adat letöltését az Azure Storage-ból:

    • Hívja meg az API-t a letöltési URL-címek listájának lekéréséhez az összes szervezeti adattal.
    • Töltse le az összes fájlt a letöltési URL-címekkel, és tetszés szerint dolgozza fel az adatokat.

A "JSON-válasz vagy fájlok" használatával gyűjtött adatok az aktuális állapot aktuális pillanatképei. Nem tartalmaz előzményadatokat. Az előzményadatok gyűjtéséhez az ügyfeleknek a saját adattárukban kell menteniük az adatokat. Lásd: Eszközállapot részleteinek exportálása API-metódusok és tulajdonságok.

Fontos

Jelenleg csak a víruskereső állapotának JSON-válasza érhető el általánosan. A víruskereső health API fájlokon keresztül jelenleg csak nyilvános előzetes verzióban érhető el.

A Speciális veszélyforrás-keresés egyéni lekérdezés jelenleg csak nyilvános előzetes verzióban érhető el, még akkor is, ha a lekérdezések továbbra is láthatók.

Fontos

Ahhoz, hogy Windows Server 2012 R2 és Windows Server 2016 megjelenjenek az eszközállapot-jelentésekben, ezeket az eszközöket a modern egységes megoldáscsomag használatával kell elővenni. További információ: Új funkciók az Windows Server 2012 R2 és 2016 modern egységes megoldásában.

Megjegyzés:

A Microsoft 365 Biztonsági irányítópult eszközállapot- és víruskereső-megfelelőségi jelentéskészítő eszközének használatáról a következő témakörben olvashat: Eszközállapot- és víruskereső-megfelelőségi jelentés Végponthoz készült Microsoft Defender.

1 Állapotjelentés exportálása (JSON-válasz)

1.1 API-metódus leírása

Ez az API lekéri az Microsoft Defender víruskereső eszköz víruskeresőjének állapotadatait. Egy olyan táblát ad vissza, amelynek minden egyedi kombinációja tartalmaz egy bejegyzést:

  • Deviceid
  • Eszköz neve
  • AV mód
  • Naprakész állapot
  • Vizsgálati eredmények

1.1.1 Korlátozások

  • a maximális oldalméret 200 000
  • Az API sebességkorlátozásai percenként 30 hívás és óránként 1000 hívás.

OData által támogatott operátorok

  • $filteron: machineId, computerDnsName, osKind, osPlatform, osVersion, avMode, avSignatureVersion, avEngineVersion, avPlatformVersion, , quickScanResult, quickScanError, , fullScanResult, fullScanError, avIsPlatformUpToDateavIsSignatureUpToDateavIsEngineUpToDate,rbacGroupId
  • $top legfeljebb 10 000 értékkel.
  • $skip

Fontos

Vegye figyelembe, hogy az rbacgroupname és id nem támogatott szűrőoperátorok.

1.2 Engedélyek

Az API meghívásához az alábbi engedélyek egyikére van szükség. További információ, többek között az engedélyek kiválasztása: Végponthoz készült Microsoft Defender API-k használata.

Engedély típusa Engedély Engedély megjelenítendő neve
Alkalmazás Machine.Read.All "Az összes gépprofil olvasása"
Delegált (munkahelyi vagy iskolai fiók) Machine.Read "Gépi információk olvasása"

1.3 URL (HTTP-kérés)

URL: GET: /api/deviceavinfo

1.3.1 Kérelemfejlécek

Name (Név) Típus Leírás
Engedélyezési Karakterlánc Tulajdonos : {token}. Szükséges.

1.3.2 Kérelem törzse

Üres

1.3.3 Válasz

Ha sikeres, ez a metódus 200 OK értéket ad vissza az eszközállapot részleteinek listájával.

1.4 Paraméterek

1.5 Tulajdonságok

Lásd: 1.3 Az eszköz víruskereső állapotadatainak exportálása API-tulajdonságok (JSON-válasz)

Támogatja az OData V4-lekérdezéseket.

1.6 Példa

Példa kérésre

Íme egy példakérés:

GET https://api.securitycenter.microsoft.com/api/deviceavinfo

Példa válaszra

Íme egy példa a válaszra:

{

    @odata.context: "https://api.securitycenter.microsoft.com/api/$metadata#DeviceAvInfo",

"value": [{

            "id": "Sample Guid",

            "machineId": "Sample Machine Guid",

            "computerDnsName": "appblockstg1",

            "osKind": "windows",

            "osPlatform": "Windows10",

            "osVersion": "10.0.19044.1865",

            "avMode": "0",

            "avSignatureVersion": "1.371.1279.0",

            "avEngineVersion": "1.1.19428.0",

            "avPlatformVersion": "4.18.2206.108",

            "lastSeenTime": "2022-08-02T19:40:45Z",

            "quickScanResult": "Completed",

            "quickScanError": "",

            "quickScanTime": "2022-08-02T18:40:15.882Z",

            "fullScanResult": "",

            "fullScanError": "",

            "fullScanTime": null,

            "dataRefreshTimestamp": "2022-08-02T21:16:23Z",

            "avEngineUpdateTime": "2022-08-02T00:03:39Z",

            "avSignatureUpdateTime": "2022-08-02T00:03:39Z",

            "avPlatformUpdateTime": "2022-06-20T16:59:35Z",

            "avIsSignatureUpToDate": "True",

            "avIsEngineUpToDate": "True",

            "avIsPlatformUpToDate": "True",

            "avSignaturePublishTime": "2022-08-02T00:03:39Z",

            "rbacGroupName": "TVM1",

            "rbacGroupId": 4415

        },

        ...

     ]

}

2 Állapotjelentés exportálása (fájlokon keresztül)

Fontos

Az ebben a szakaszban található információk az előre kiadott termékre vonatkoznak, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal semmilyen, kifejezett vagy vélelmezett jótállást az itt megadott információkra vonatkozóan.

2.1 API-metódus leírása

Ez az API-válasz eszközönként tartalmazza a víruskereső állapotának és állapotának összes adatát. Egy olyan táblát ad vissza, amelynek minden egyedi kombinációja tartalmaz egy bejegyzést:

  • Deviceid
  • eszköz neve
  • AV mód
  • Naprakész állapot
  • Vizsgálati eredmények

2.1.2 Korlátozások

  • A maximális oldalméret 200 000.
  • Az API sebességkorlátozásai percenként 30 hívás és óránként 1000 hívás.

2.2 Engedélyek

Az API meghívásához az alábbi engedélyek egyikére van szükség.

Engedély típusa Engedély Engedély megjelenítendő neve
Alkalmazás Vulnerability.Read.All "Veszélyforrás- és biztonságirés-kezelés" biztonsági rések adatainak olvasása
Delegált (munkahelyi vagy iskolai fiók) Biztonsági rés.Read "Veszélyforrás- és biztonságirés-kezelés" biztonsági rések adatainak olvasása

További információ, többek között az engedélyek kiválasztása: Végponthoz készült Microsoft Defender API-k használata.

2.3 URL

GET /api/machines/InfoGatheringExport

2.4 Paraméterek

  • sasValidHours: A letöltési URL-címek érvényességi ideje (legfeljebb 24 óra).

2.5 Tulajdonságok

Lásd: 1.4 Az eszköz víruskereső állapotadatainak exportálása API-tulajdonságok (fájlokon keresztül).

2.6 Példák

2.6.1 Példa kérésre

Íme egy példakérés:

GET https://api-us.securitycenter.contoso.com/api/machines/InfoGatheringExport

2.6.2 Példa válaszra

Íme egy példa a válaszra:

{

   "@odata.context": "https://api-us.securitycenter.windows.com/api/$metadata#microsoft.windowsDefenderATP.api.ExportFilesResponse",

   "exportFiles": [

       "https://tvmexportexternalprdeus.blob.core.windows.net/temp-../2022-08-02/2201/InfoGatheringExport/json/OrgId=../_RbacGroupId=../part-00055-12fc2fcd-8f56-4e09-934f-e8efe7ce74a0.c000.json.gz?sv=2020-08-04&st=2022-08-02T22%3A47%3A11Z&se=2022-08-03T01%3A47%3A11Z&sr=b&sp=r&sig=..",

       "https://tvmexportexternalprdeus.blob.core.windows.net/temp-../2022-08-02/2201/InfoGatheringExport/json/OrgId=../_RbacGroupId=../part-00055-12fc2fcd-8f56-4e09-934f-e8efe7ce74a0.c000.json.gz?sv=2020-08-04&st=2022-08-02T22%3A47%3A11Z&se=2022-08-03T01%3A47%3A11Z&sr=b&sp=r&sig=.."

   ],


   "generatedTime": "2022-08-02T22:01:00Z"


}

Tipp

Teljesítménnyel kapcsolatos tipp Számos tényező (alább felsorolt példák) miatt Microsoft Defender víruskereső a többi víruskereső szoftverhez hasonlóan teljesítményproblémákat okozhat a végponteszközökön. Bizonyos esetekben előfordulhat, hogy a teljesítményproblémák enyhítése érdekében hangolnia kell a Microsoft Defender víruskereső teljesítményét. Microsoft Teljesítményelemzője egy PowerShell parancssori eszköz, amely segít meghatározni, hogy mely fájlok, fájlelérési utak, folyamatok és fájlkiterjesztések okozhatnak teljesítményproblémákat. Néhány példa:

  • A vizsgálati időt befolyásoló leggyakoribb elérési utak
  • A vizsgálati időt befolyásoló leggyakoribb fájlok
  • A vizsgálati időt befolyásoló legfontosabb folyamatok
  • A vizsgálati időt befolyásoló leggyakoribb fájlkiterjesztések
  • Kombinációk – például:
    • top files per extension
    • top paths per extension
    • top process per path
    • top scans per file
    • top scans per file per process

A Teljesítményelemzővel összegyűjtött információk segítségével jobban felmérheti a teljesítményproblémákat, és szervizelési műveleteket alkalmazhat. Lásd: Teljesítményelemző Microsoft Defender víruskeresőhöz.

Lásd még

Eszközállapot-módszerek és tulajdonságok exportálása

Eszközállapot- és megfelelőségi jelentések