Eszköz víruskereső állapotjelentésének exportálása
Érintett szolgáltatás:
Szeretné megismerni a Végponthoz készült Microsoft Defendert? Regisztráció az ingyenes próbaverzióra
Megjegyzés:
Ha Ön az USA kormányzati szerveinek ügyfele, használja a Végponthoz készült Microsoft Defender-ben felsorolt URI-kat az USA kormányzati ügyfelei számára.
Tipp
A jobb teljesítmény érdekében a földrajzi helyhez közelebbi kiszolgálót használhat:
- api-us.securitycenter.microsoft.com
- api-eu.securitycenter.microsoft.com
- api-uk.securitycenter.microsoft.com
Fontos
Bizonyos információk az előzetesen forgalomba hozott termékre vonatkoznak, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal semmilyen, kifejezett vagy vélelmezett jótállást az itt megadott információkra vonatkozóan.
Ez az API két módszerrel kéri le Microsoft Defender víruskereső eszköz víruskereső állapotadatait:
1.módszer:1 Állapotjelentés exportálása (JSON-válasz) A metódus JSON-válaszként lekéri a szervezet összes adatát. Ez a módszer a 100 K-nál kisebb eszközökkel rendelkező kis szervezetek számára ajánlott. A válasz lapszámozott, így a válasz @odata.nextLink mezőjével lekérheti a következő eredményeket.
Második módszer:2 Állapotjelentés exportálása (fájlokon keresztül) Ezzel a módszerrel gyorsabban és megbízhatóbbá válik a nagyobb mennyiségű adat lekérése. Ezért a 100 K-nál több eszközzel rendelkező nagy szervezetek számára ajánlott. Ez az API lekéri a szervezet összes adatát letöltési fájlokként. A válasz URL-címeket tartalmaz az összes adat Azure Storage-ból való letöltéséhez. Ez az API az alábbi módon teszi lehetővé az összes adat letöltését az Azure Storage-ból:
- Hívja meg az API-t a letöltési URL-címek listájának lekéréséhez az összes szervezeti adattal.
- Töltse le az összes fájlt a letöltési URL-címekkel, és tetszés szerint dolgozza fel az adatokat.
A "JSON-válasz vagy fájlok" használatával gyűjtött adatok az aktuális állapot aktuális pillanatképei. Nem tartalmaz előzményadatokat. Az előzményadatok gyűjtéséhez az ügyfeleknek a saját adattárukban kell menteniük az adatokat. Lásd: Eszközállapot részleteinek exportálása API-metódusok és tulajdonságok.
Fontos
Jelenleg csak a víruskereső állapotának JSON-válasza érhető el általánosan. A víruskereső health API fájlokon keresztül jelenleg csak nyilvános előzetes verzióban érhető el.
A Speciális veszélyforrás-keresés egyéni lekérdezés jelenleg csak nyilvános előzetes verzióban érhető el, még akkor is, ha a lekérdezések továbbra is láthatók.
Fontos
Ahhoz, hogy Windows Server 2012 R2 és Windows Server 2016 megjelenjenek az eszközállapot-jelentésekben, ezeket az eszközöket a modern egységes megoldáscsomag használatával kell elővenni. További információ: Új funkciók az Windows Server 2012 R2 és 2016 modern egységes megoldásában.
Megjegyzés:
A Microsoft 365 Biztonsági irányítópult eszközállapot- és víruskereső-megfelelőségi jelentéskészítő eszközének használatáról a következő témakörben olvashat: Eszközállapot- és víruskereső-megfelelőségi jelentés Végponthoz készült Microsoft Defender.
1 Állapotjelentés exportálása (JSON-válasz)
1.1 API-metódus leírása
Ez az API lekéri az Microsoft Defender víruskereső eszköz víruskeresőjének állapotadatait. Egy olyan táblát ad vissza, amelynek minden egyedi kombinációja tartalmaz egy bejegyzést:
- Deviceid
- Eszköz neve
- AV mód
- Naprakész állapot
- Vizsgálati eredmények
1.1.1 Korlátozások
- a maximális oldalméret 200 000
- Az API sebességkorlátozásai percenként 30 hívás és óránként 1000 hívás.
OData által támogatott operátorok
$filteron:machineId,computerDnsName,osKind,osPlatform,osVersion,avMode,avSignatureVersion,avEngineVersion,avPlatformVersion, ,quickScanResult,quickScanError, ,fullScanResult,fullScanError,avIsPlatformUpToDateavIsSignatureUpToDateavIsEngineUpToDate,rbacGroupId$toplegfeljebb 10 000 értékkel.$skip
Fontos
Vegye figyelembe, hogy az rbacgroupname és id nem támogatott szűrőoperátorok.
1.2 Engedélyek
Az API meghívásához az alábbi engedélyek egyikére van szükség. További információ, többek között az engedélyek kiválasztása: Végponthoz készült Microsoft Defender API-k használata.
| Engedély típusa | Engedély | Engedély megjelenítendő neve |
|---|---|---|
| Alkalmazás | Machine.Read.All | "Az összes gépprofil olvasása" |
| Delegált (munkahelyi vagy iskolai fiók) | Machine.Read | "Gépi információk olvasása" |
1.3 URL (HTTP-kérés)
URL: GET: /api/deviceavinfo
1.3.1 Kérelemfejlécek
| Name (Név) | Típus | Leírás |
|---|---|---|
| Engedélyezési | Karakterlánc | Tulajdonos : {token}. Szükséges. |
1.3.2 Kérelem törzse
Üres
1.3.3 Válasz
Ha sikeres, ez a metódus 200 OK értéket ad vissza az eszközállapot részleteinek listájával.
1.4 Paraméterek
- Az alapértelmezett oldalméret 20
- Lásd a példákat az OData-lekérdezések Végponthoz készült Microsoft Defender.
1.5 Tulajdonságok
Lásd: 1.3 Az eszköz víruskereső állapotadatainak exportálása API-tulajdonságok (JSON-válasz)
Támogatja az OData V4-lekérdezéseket.
1.6 Példa
Példa kérésre
Íme egy példakérés:
GET https://api.securitycenter.microsoft.com/api/deviceavinfo
Példa válaszra
Íme egy példa a válaszra:
{
@odata.context: "https://api.securitycenter.microsoft.com/api/$metadata#DeviceAvInfo",
"value": [{
"id": "Sample Guid",
"machineId": "Sample Machine Guid",
"computerDnsName": "appblockstg1",
"osKind": "windows",
"osPlatform": "Windows10",
"osVersion": "10.0.19044.1865",
"avMode": "0",
"avSignatureVersion": "1.371.1279.0",
"avEngineVersion": "1.1.19428.0",
"avPlatformVersion": "4.18.2206.108",
"lastSeenTime": "2022-08-02T19:40:45Z",
"quickScanResult": "Completed",
"quickScanError": "",
"quickScanTime": "2022-08-02T18:40:15.882Z",
"fullScanResult": "",
"fullScanError": "",
"fullScanTime": null,
"dataRefreshTimestamp": "2022-08-02T21:16:23Z",
"avEngineUpdateTime": "2022-08-02T00:03:39Z",
"avSignatureUpdateTime": "2022-08-02T00:03:39Z",
"avPlatformUpdateTime": "2022-06-20T16:59:35Z",
"avIsSignatureUpToDate": "True",
"avIsEngineUpToDate": "True",
"avIsPlatformUpToDate": "True",
"avSignaturePublishTime": "2022-08-02T00:03:39Z",
"rbacGroupName": "TVM1",
"rbacGroupId": 4415
},
...
]
}
2 Állapotjelentés exportálása (fájlokon keresztül)
Fontos
Az ebben a szakaszban található információk az előre kiadott termékre vonatkoznak, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal semmilyen, kifejezett vagy vélelmezett jótállást az itt megadott információkra vonatkozóan.
2.1 API-metódus leírása
Ez az API-válasz eszközönként tartalmazza a víruskereső állapotának és állapotának összes adatát. Egy olyan táblát ad vissza, amelynek minden egyedi kombinációja tartalmaz egy bejegyzést:
- Deviceid
- eszköz neve
- AV mód
- Naprakész állapot
- Vizsgálati eredmények
2.1.2 Korlátozások
- A maximális oldalméret 200 000.
- Az API sebességkorlátozásai percenként 30 hívás és óránként 1000 hívás.
2.2 Engedélyek
Az API meghívásához az alábbi engedélyek egyikére van szükség.
| Engedély típusa | Engedély | Engedély megjelenítendő neve |
|---|---|---|
| Alkalmazás | Vulnerability.Read.All | "Veszélyforrás- és biztonságirés-kezelés" biztonsági rések adatainak olvasása |
| Delegált (munkahelyi vagy iskolai fiók) | Biztonsági rés.Read | "Veszélyforrás- és biztonságirés-kezelés" biztonsági rések adatainak olvasása |
További információ, többek között az engedélyek kiválasztása: Végponthoz készült Microsoft Defender API-k használata.
2.3 URL
GET /api/machines/InfoGatheringExport
2.4 Paraméterek
sasValidHours: A letöltési URL-címek érvényességi ideje (legfeljebb 24 óra).
2.5 Tulajdonságok
Lásd: 1.4 Az eszköz víruskereső állapotadatainak exportálása API-tulajdonságok (fájlokon keresztül).
2.6 Példák
2.6.1 Példa kérésre
Íme egy példakérés:
GET https://api-us.securitycenter.contoso.com/api/machines/InfoGatheringExport
2.6.2 Példa válaszra
Íme egy példa a válaszra:
{
"@odata.context": "https://api-us.securitycenter.windows.com/api/$metadata#microsoft.windowsDefenderATP.api.ExportFilesResponse",
"exportFiles": [
"https://tvmexportexternalprdeus.blob.core.windows.net/temp-../2022-08-02/2201/InfoGatheringExport/json/OrgId=../_RbacGroupId=../part-00055-12fc2fcd-8f56-4e09-934f-e8efe7ce74a0.c000.json.gz?sv=2020-08-04&st=2022-08-02T22%3A47%3A11Z&se=2022-08-03T01%3A47%3A11Z&sr=b&sp=r&sig=..",
"https://tvmexportexternalprdeus.blob.core.windows.net/temp-../2022-08-02/2201/InfoGatheringExport/json/OrgId=../_RbacGroupId=../part-00055-12fc2fcd-8f56-4e09-934f-e8efe7ce74a0.c000.json.gz?sv=2020-08-04&st=2022-08-02T22%3A47%3A11Z&se=2022-08-03T01%3A47%3A11Z&sr=b&sp=r&sig=.."
],
"generatedTime": "2022-08-02T22:01:00Z"
}
Tipp
Teljesítménnyel kapcsolatos tipp Számos tényező (alább felsorolt példák) miatt Microsoft Defender víruskereső a többi víruskereső szoftverhez hasonlóan teljesítményproblémákat okozhat a végponteszközökön. Bizonyos esetekben előfordulhat, hogy a teljesítményproblémák enyhítése érdekében hangolnia kell a Microsoft Defender víruskereső teljesítményét. Microsoft Teljesítményelemzője egy PowerShell parancssori eszköz, amely segít meghatározni, hogy mely fájlok, fájlelérési utak, folyamatok és fájlkiterjesztések okozhatnak teljesítményproblémákat. Néhány példa:
- A vizsgálati időt befolyásoló leggyakoribb elérési utak
- A vizsgálati időt befolyásoló leggyakoribb fájlok
- A vizsgálati időt befolyásoló legfontosabb folyamatok
- A vizsgálati időt befolyásoló leggyakoribb fájlkiterjesztések
- Kombinációk – például:
- top files per extension
- top paths per extension
- top process per path
- top scans per file
- top scans per file per process
A Teljesítményelemzővel összegyűjtött információk segítségével jobban felmérheti a teljesítményproblémákat, és szervizelési műveleteket alkalmazhat. Lásd: Teljesítményelemző Microsoft Defender víruskeresőhöz.