デバイスの正常性、Microsoft Defender ウイルス対策の正常性レポート
適用対象:
- Microsoft Defender XDR
- Microsoft Defender for Endpoint
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender for Business
Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。
Device Health レポートには、組織内のデバイスに関する情報が表示されます。 レポートには、ウイルス対策の状態と Microsoft Defender ウイルス対策エンジン、インテリジェンス、プラットフォームのバージョンを示すトレンド情報が含まれています。
重要
デバイスを Microsoft Defender ウイルス対策デバイスの正常性レポートに表示するには、次の前提条件を満たす必要があります。
- デバイスが Microsoft Defender for Endpoint にオンボードされている
- OS: Windows 10、Windows 11、Windows Server 2012 R2/、2016 R2/2019/2022 (MMA 以外)、MacOS、Linux
- Sense (MsSense.exe): 10.8210. *+ 関連する詳細については 、「前提条件 」セクションを参照してください。
Windows Server 2012 R2 と Windows Server 2016 をデバイス正常性レポートに表示するには、最新の統合ソリューション パッケージを使用してこれらのデバイスをオンボードする必要があります。 詳細については、「Windows Server 2012 R2 と 2016 の最新の統合ソリューションの新機能」を参照してください。
Microsoft Defender ポータルのナビゲーション ウィンドウで、[ レポート] を選択し、[ デバイスの正常性とコンプライアンス] を開きます。 [Microsoft Defender ウイルス対策の正常性] タブには、Microsoft Defender ウイルス対策の次の側面を報告する 8 枚のカードがあります。
- ウイルス対策モード カード
- ウイルス対策エンジンのバージョン カード
- ウイルス対策セキュリティ インテリジェンス バージョン カード
- ウイルス対策プラットフォームのバージョン カード
- 最近のウイルス対策スキャン結果カード
- ウイルス対策エンジンの更新カード
- セキュリティ インテリジェンス更新プログラム カード
- ウイルス対策プラットフォームの更新カード
レポート アクセス許可
Microsoft Defender ポータルでデバイスの正常性とウイルス対策コンプライアンス レポートにアクセスするには、次のアクセス許可が必要です。
| アクセス許可名 | アクセス許可の種類 |
|---|---|
| データの表示 | 脅威と脆弱性の管理 (TVM) |
重要
Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 これにより、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急シナリオに限定する必要があります。
これらのアクセス許可を割り当てるには:
セキュリティ管理者またはグローバル管理者ロールが割り当てられているアカウントを使用して 、Microsoft Defender ポータル にサインインします。
ナビゲーション ウィンドウで、 設定>Endpoints>Roles ( [アクセス許可] の下) を選択します。
編集するロールを選択します。
[編集] を選択します。
[ ロールの編集] の [ 全般 ] タブの [ ロール名] に、ロールの名前を入力します。
[ 説明] に、ロールの概要を入力します。
[ アクセス許可] で [ データの表示] を選択し、[ データの表示 ] で [ 脅威と脆弱性の管理 (TVM)] を選択します。
ユーザー ロールの管理の詳細については、「 ロールベースのアクセス制御のロールを作成および管理する」を参照してください。
[Microsoft Defender ウイルス対策の正常性] タブ
[Microsoft Defender ウイルス対策の正常性] タブには、組織内の Microsoft Defender ウイルス対策のいくつかの側面について報告する 8 枚のカードが含まれています。
2 枚のカード ( ウイルス対策モード カード と 最近のウイルス対策スキャン結果カード) は、Microsoft Defender ウイルス対策機能に関するレポートです。
残りの 6 枚のカードでは、組織内のデバイスの Microsoft Defender ウイルス対策の状態に関するレポートが表示されます。
version カード: |
update cards{1} |
|---|---|
| ウイルス対策エンジンのバージョン カード ウイルス対策セキュリティ インテリジェンス バージョン カード ウイルス対策プラットフォームのバージョン カード |
ウイルス対策エンジンの更新カード セキュリティ インテリジェンス更新プログラム カード ウイルス対策プラットフォームの更新カード |
| 3 つのバージョン カードは、追加情報を提供するポップアップ レポートを提供し、さらに探索できるようにします。 | 3 つの最新のレポート カードには、詳細を確認するためのリソースへのリンクが用意されています。 |
{1} 3 つの updates カード (最新のレポート カードとも呼ばれます) の場合、"使用できるデータなし" (または "不明" の値) は、更新プログラムの状態を報告していないデバイスを示します。 更新の状態を報告していないデバイスは、次のようなさまざまな理由が原因である可能性があります。
- コンピューターがネットワークから切断されています。
- コンピューターの電源が切れているか、休止状態です。
- Microsoft Defender ウイルス対策が無効になっています。
- デバイスは Windows (Mac または Linux) 以外のデバイスです。
- クラウド保護が有効になっていません。
- デバイスがウイルス対策エンジンまたはプラットフォーム バージョンの前提条件を満たしていません。
前提条件
最新のレポートでは、次の条件を満たすデバイスの情報が生成されます。
エンジン バージョン: 1.1.19300.2 以降
プラットフォーム バージョン: 4.18.2202.1 以降
クラウド保護が有効
Sense (MsSense.exe): 10.8210。 *+
Windows OS - Windows 10 1809 以降
注:
* 現在、最新のレポートは Windows デバイスでのみ使用できます。 Mac や Linux などのクロス プラットフォーム デバイスは、[データなし] または [不明] の下に一覧表示されます。
![[Microsoft Defender ウイルス対策の正常性] タブが表示されます。](media/device-health-defender-antivirus-health-tab.png#lightbox)
カード機能
この機能は基本的にすべてのカードで同じです。 いずれかのカードの番号付きバーをクリックすると、 Microsoft Defender ウイルス対策の詳細 ポップアップが開き、そのカードのアスペクトのバージョン番号で構成されているすべてのデバイスに関する情報を確認できます。
クリックしたバージョン番号が次の場合:
- 現在のバージョン、次に 修復が必要 であり、 セキュリティに関する推奨事項 は存在しません。
- 古いバージョンでは、レポートの上部に通知が表示され、 修復が必要であることを示す通知が表示され、 セキュリティの推奨事項 リンクが存在します。 [セキュリティに関する推奨事項] リンクを選択して、脅威と脆弱性管理コンソールに移動します。これにより、適切なウイルス対策更新プログラムを推奨できます。
Microsoft Defender ウイルス対策の詳細ポップアップで特定の種類の情報を追加または削除するには、[列のカスタマイズ] を選択します。 [ 列のカスタマイズ] で、項目を選択または選択解除して、Microsoft Defender ウイルス対策の詳細レポートに含める内容を指定します。
新しい Microsoft Defender ウイルス対策フィルター定義
次の表に、Microsoft Defender ウイルス対策レポートを初めて使用する用語の一覧を示します。
| 列名 | 説明 |
|---|---|
| セキュリティ インテリジェンスの発行時間 | デバイス上のセキュリティ インテリジェンス更新プログラムのバージョンの Microsoft のリリース日を示します。 セキュリティ インテリジェンスの発行時間が 7 日を超えるデバイスは、レポートでは古いと見なされます。 |
| 最終受信日 | デバイスが最後に接続された日付を示します。 |
| データ更新タイムスタンプ | レポートの対象としてクライアント イベントが最後に受信されたタイミングを示します。AV モード、AV エンジンのバージョン、AV プラットフォームのバージョン、AV セキュリティ インテリジェンスのバージョン、スキャン情報。 |
| 署名の更新時刻 | エンジン、プラットフォーム、署名の最新の状態に関するレポートに対してクライアント イベントが最後に受信されたタイミングを示します。 |
ポップアップ内: デバイスの名前をクリックすると、そのデバイスの [デバイス] ページにリダイレクトされ、詳細なレポートにアクセスできます。
レポートのエクスポート
エクスポートできるレポートには、次の 2 つのレベルがあります。
最上位レベルのエクスポート
ポータルを介してエクスポートする csv 機能には、次の 2 種類があります。
- 最上位レベルのエクスポート。 最上位の [エクスポート] ボタンを使用して、すべての Microsoft Defender ウイルス対策の正常性レポート (500-K の制限) を収集できます。
- ポップアップ レベルのエクスポート。 ポップアップ内の [エクスポート] ボタンを使用して、レポートを Excel スプレッドシートにエクスポートできます (100 K の制限)。
エクスポートされたレポートは、エントリ ポイントに基づいて詳細レポートに情報をキャプチャし、設定したフィルターまたはカスタマイズされた列を取得します。
API を使用したエクスポートの詳細については、次の記事を参照してください。
重要
現時点では、 ウイルス対策正常性 JSON 応答 のみが一般公開されています。 ファイル経由のウイルス対策正常性 API は、パブリック プレビューでのみ使用できます。
高度なハンティング カスタム クエリ は、現在、クエリが表示されている場合でも、パブリック プレビューでのみ使用できます。
Microsoft Defender ウイルス対策のバージョンと更新カードの機能
Microsoft Defender ウイルス対策エンジン、セキュリティ インテリジェンス、プラットフォーム コンポーネントの version と update 情報を報告する 6 枚のカードの説明を次に示します。
完全なレポート
3 つの version カードのいずれかで、[ 完全なレポートの表示 ] を選択して、Windows、Mac、Linux の 3 つのデバイスの種類ごとに最新の 9 つの Microsoft Defender ウイルス対策 version レポートを表示します。存在するデバイスが 9 つ未満の場合は、すべて表示されます。 その他のカテゴリは、検出された場合、10 番目以下の最新のウイルス対策エンジンのバージョンをキャプチャします。
3 つの version カードの主な利点は、ウイルス対策エンジン、プラットフォーム、およびセキュリティ インテリジェンスの最新バージョンが利用されているかどうかを示すクイック インジケーターを提供することです。 カードにリンクされている詳細情報と組み合わせて、バージョンカードは、バージョンが最新であるかどうかを確認し、個々のコンピュータ、またはコンピュータのグループに関する情報を収集するための強力なツールになります。
これらのレポートを実行すると、古いバージョンではなく、最新のウイルス対策バージョンがインストールされていることを示すのが理想的です。
これらのレポートを使用して、組織が最新バージョンを最大限に活用しているかどうかを判断します。
マルウェア対策ソリューションが最新の脅威を検出できるように、Windows Update の一部として更新プログラムを自動的に取得します。
現在のバージョンと、さまざまな Microsoft Defender ウイルス対策コンポーネントを更新する方法の詳細については、 Microsoft Defender ウイルス対策プラットフォームのサポートに関するページを参照してください。
カードの説明
各 Antivirus version カードで報告された収集された情報の簡単な概要を次に示します。
ウイルス対策モード カード
組織内のデバイスの数 (カードに示されている日付) が、次のいずれかの Microsoft Defender ウイルス対策モードで報告されます。
| 値 | mode |
|---|---|
0 |
Active |
1 |
Passive |
2 |
Disabled (アンインストール、無効化、または SideBySidePassive {低定期スキャンとも呼ばれます}) |
3 |
Others (実行されていない、不明) |
4 |
EDRBlocked |
各モードの説明を次に示します。
- アクティブ モード - アクティブ モードでは、Microsoft Defender ウイルス対策がデバイス上のプライマリ ウイルス対策アプリとして使用されます。 ファイルがスキャンされ、脅威が修正され、検出された脅威が組織のセキュリティ レポートと Windows セキュリティ アプリに一覧表示されます。
- パッシブ モード - パッシブ モードでは、Microsoft Defender ウイルス対策はデバイス上のプライマリ ウイルス対策アプリとして使用されません。 ファイルがスキャンされ、検出された脅威が報告されますが、脅威は Microsoft Defender ウイルス対策によって修復されません。 重要: Microsoft Defender ウイルス対策は、Microsoft Defender for Endpoint にオンボードされているエンドポイントでのみパッシブ モードで実行できます。 「Microsoft Defender ウイルス対策をパッシブ モードで実行するための要件」を参照してください。
- 無効 モード - と同義: アンインストール、無効化、sideBySidePassive、低定期スキャン。 無効にすると、Microsoft Defender ウイルス対策は使用されません。 ファイルはスキャンされず、脅威は修復されません。 一般に、Microsoft は Microsoft Defender ウイルス対策を無効またはアンインストールすることはお勧めしません。
- その他 のモード - 実行中ではない、不明
- ブロック モードの EDR - エンドポイント検出と応答 (EDR) ブロック モード。 「ブロック モードでのエンドポイントの検出と応答」を参照してください
パッシブ、LPS、またはオフのいずれかのデバイスには、潜在的なセキュリティ リスクが存在し、調査する必要があります。
LPS の詳細については、「 Microsoft Defender ウイルス対策で限定的な定期的スキャンを使用する」を参照してください。
最近のウイルス対策スキャン結果カード
このカードには、クイック スキャンとフル スキャンの全結果を示す 2 つの棒グラフがあります。 どちらのグラフでも、最初のバーはスキャンの完了率を示し、 完了、 取り消し、または 失敗を示します。 各セクションの 2 番目のバーには、失敗したスキャンのエラー コードが表示されます。 [モード] 列と [最近のスキャン結果] 列をスキャンすると、アクティブなウイルス対策スキャン モードではないデバイスと、最近のウイルス対策スキャンに失敗または取り消されたデバイスをすばやく特定できます。 この情報を使用してレポートに戻り、詳細とセキュリティに関する推奨事項を収集できます。 このカードでエラー コードが報告された場合は、エラー コードの詳細を確認するためのリンクが表示されます。
現在の Microsoft Defender ウイルス対策のバージョンと、さまざまな Microsoft Defender ウイルス対策コンポーネントを更新する方法の詳細については、「 Microsoft Defender ウイルス対策の更新プログラムを管理し、ベースラインを適用する」を参照してください。
ウイルス対策エンジンのバージョン カード
組織内の Windows デバイス、Mac デバイス、Linux デバイスにインストールされている最新の Microsoft Defender ウイルス対策エンジンバージョンのリアルタイム結果を表示します。 Microsoft Defender ウイルス対策エンジンが毎月更新されます。 現在のバージョンと、さまざまな Microsoft Defender ウイルス対策コンポーネントを更新する方法の詳細については、「 Microsoft Defender ウイルス対策プラットフォームのサポート」を参照してください。
ウイルス対策セキュリティ インテリジェンス バージョン カード
ネットワーク上のデバイスにインストールされている最も一般的な Microsoft Defender ウイルス対策セキュリティ インテリジェンス のバージョンを一覧表示します。 Microsoft は、最新の脅威に対処し、検出ロジックを改良するために、Microsoft Defender セキュリティ インテリジェンスを継続的に更新します。 セキュリティ インテリジェンスに対するこれらの改良により、Microsoft Defender ウイルス対策 (およびその他の Microsoft マルウェア対策ソリューション) が潜在的な脅威を正確に特定する機能が強化されます。 このセキュリティ インテリジェンスは、クラウドベースの保護と直接連携して、高速かつ強力な AI 強化の次世代保護を実現します。
ウイルス対策プラットフォームのバージョン カード
組織内の Windows、Mac、Linux デバイスのバージョン間でインストールされている最新の Microsoft Defender ウイルス対策プラットフォーム バージョンのリアルタイム結果を表示します。 Microsoft Defender ウイルス対策プラットフォームは毎月更新されます。 現在のバージョンの詳細と、さまざまな Microsoft Defender ウイルス対策コンポーネントを更新する方法については、「Microsoft Defender ウイルス対策プラットフォームのサポート」を参照してください。
最新のカード
最新のカードには、ウイルス対策エンジン、ウイルス対策プラットフォーム、およびセキュリティ インテリジェンス更新プログラムのバージョンの最新の状態が表示されます。 可能な状態は、 Up to date (True)、 out of date (False)、 no data available (Unknown) の 3 種類です。
重要
最新の決定を行うために使用されるロジックが最近強化され、簡素化されました。 このセクションでは、新しい動作について説明します。
Up to date、out of date、およびno data availableの定義は、以下のカードごとに提供されます。
Microsoft Defender ウイルス対策では、エンジン、プラットフォーム、およびセキュリティ インテリジェンスの更新プログラムの最新のレポートと決定を行うために、"署名更新時刻" (デバイスが最新のレポートと最後に通信した時刻) の追加の条件が使用されます。
デバイスが 7 日を超えてレポートと通信していない場合、最新の状態は自動的に "不明" または "使用できない" とマークされます (署名の更新時刻 >7)。
前述の用語の詳細については、「新しい Microsoft Defender ウイルス対策フィルター定義」セクションを参照してください。
注:
最新のレポートでは、次の条件を満たすデバイスの情報が生成されます。
- エンジンのバージョン:
1.1.19300.2以降 - プラットフォーム のバージョン:
4.18.2202.1以降 - クラウド保護が有効
- Windows OS
現在、最新のレポートは Windows デバイスでのみ使用できます。 Mac や Linux などのクロス プラットフォーム デバイスは、 no data availableの下に一覧表示されます。>
最新の定義
エンジンとプラットフォームの最新の定義を次に示します。
| デバイス上のエンジン/プラットフォームは、次の処理が考慮されます。 | 状況 |
|---|---|
| 最新です | デバイスが過去 7 日以内に Defender レポート イベント (Signature refresh time) と通信し、エンジンまたはプラットフォームのビルド バージョンが最新の月次リリース バージョン (>=) 以上である場合。 |
| 古い | デバイスが過去 7 日以内に Defender レポート イベント (Signature refresh time) と通信したが、エンジンまたはプラットフォームのビルド バージョンが最新の月次リリース バージョン (<) 未満である場合。 |
| unknown (使用可能なデータなし) | デバイスがレポート イベント (Signature refresh time) と 7 日以上通信していない場合。 |
最新のセキュリティ インテリジェンスの定義を次に示します。
| セキュリティ インテリジェンスの更新プログラムは、次の場合に考慮されます。 | 状況 |
|---|---|
| 最新です | デバイスのセキュリティ インテリジェンス バージョンが過去 7 日間に書き込まれ、デバイスが過去 7 日間にレポート イベントと通信した場合。 |
詳細については、以下を参照してください:
ウイルス対策エンジンの更新カード
このカードは、ウイルス対策エンジンのバージョンが最新のデバイスと古いデバイスを識別します。
up to dateの一般的な定義- デバイスのエンジン バージョンは、最新のエンジン リリースです。 エンジンは通常、Windows Update (WU) を介して毎月リリースされます。 Windows Update (WU) がリリースされた日から 3 日間の猶予期間があります。
次の表は、 ウイルス対策エンジンの最新のレポートで使用できる値を示しています。 報告された状態は、レポート イベントが最後に受信された時刻 (署名の更新時刻) に基づいています。 デバイスが 7 日を超えるレポートと通信していない場合 (署名の更新時間 > 7 日間)、状態は自動的に Unknown / No Data Availableとしてマークされます。
| イベントの最終更新時刻 (レポートでは "署名更新時刻" とも呼ばれます) | 報告された状態 |
|---|---|
| < 7 日 (新規) | クライアントが報告するもの (最新の状態まで) 古い 不明) |
| > 7 日 (古い) | Unknown |
Microsoft Defender ウイルス対策の更新プログラムのバージョンの管理については、「 月単位のプラットフォームとエンジンのバージョン」を参照してください。
ウイルス対策プラットフォームの更新カード
このカードは、ウイルス対策プラットフォームのバージョンが最新のデバイスと古いデバイスを識別します。
up to dateの一般的な定義は、デバイス上のプラットフォーム バージョンが最新のプラットフォーム リリースであるということです。 プラットフォームは通常、Windows Update (WU) を介して毎月リリースされます。 WU がリリースされた日から 3 日間の猶予期間があります。
次の表は、 ウイルス対策プラットフォームで可能な最新のレポート値を示しています。 報告された値は、レポート イベントが最後に受信された時刻 (署名の更新時刻) に基づいています。 デバイスが 7 日を超えるレポートと通信していない場合 (署名の更新時刻 >7 日間)、状態は自動的に Unknown/ No Data Availableとしてマークされます。
| イベントの最終更新時刻 (レポートでは "署名更新時刻" とも呼ばれます) | 報告された状態 |
|---|---|
| < 7 日 (新規) | クライアントが報告するもの (Up to date Out of date Unknown) |
| > 7 日 (古い) | Unknown |
Microsoft Defender ウイルス対策の更新プログラムのバージョンの管理については、「 月単位のプラットフォームとエンジンのバージョン」を参照してください。
セキュリティ インテリジェンス更新プログラム カード
このカードは、セキュリティ インテリジェンスバージョンが最新のデバイスと古いデバイスを識別します。
up to dateの一般的な定義は、デバイス上のセキュリティ インテリジェンス バージョンが過去 7 日間に記述されたということです。
次の表は、 セキュリティ インテリジェンス 更新プログラムの最新のレポート値を示しています。 報告される値は、レポート イベントが最後に受信された時刻とセキュリティ インテリジェンスの発行時刻に基づいています。 デバイスが 7 日を超えるレポートと通信していない場合 (署名の更新時刻 >7 日間)、状態は自動的に Unknown/ No Data Availableとしてマークされます。 それ以外の場合、セキュリティ インテリジェンスの発行時間が 7 日以内かどうかに基づいて判断されます。
| イベントの最終更新時刻 (レポートでは "署名の更新時刻" とも呼ばれます) |
セキュリティ インテリジェンスの発行時間 | 報告された状態 |
|---|---|---|
| >7 日 (古い) | >7 日 (古い) | Unknown |
| <7 日 (新規) | >7 日 (古い) | Out of date |
| >7 日 (古い) | <7 日 (新規) | Unknown |
| <7 日 (新規) | <7 日 (新規) | Up to date |
関連項目
ヒント
パフォーマンスのヒント 他のウイルス対策ソフトウェアと同様に、さまざまな要因 (以下に示す例) が原因で、エンドポイント デバイスでパフォーマンスの問題が発生する可能性があります。 場合によっては、これらのパフォーマンスの問題を軽減するために、Microsoft Defender ウイルス対策のパフォーマンスを調整する必要がある場合があります。 Microsoft の パフォーマンス アナライザー は、パフォーマンスの問題を引き起こしている可能性のあるファイル、ファイル パス、プロセス、およびファイル拡張子を判断するのに役立つ PowerShell コマンド ライン ツールです。いくつかの例を次に示します。
- スキャン時間に影響を与える上位パス
- スキャン時間に影響を与える上位のファイル
- スキャン時間に影響を与える上位のプロセス
- スキャン時間に影響を与える上位のファイル拡張子
- 組み合わせ – 例:
- 拡張子ごとに上位のファイル
- 拡張機能ごとの上位パス
- パスあたりの上位プロセス数
- ファイルあたりの上位スキャン数
- プロセスごとのファイルあたりの上位スキャン数
パフォーマンス アナライザーを使用して収集した情報を使用して、パフォーマンスの問題をより適切に評価し、修復アクションを適用できます。 「 Microsoft Defender ウイルス対策のパフォーマンス アナライザー」を参照してください。
ヒント
他のプラットフォームのウイルス対策関連の情報については、次を参照してください。
- macOS 上で Microsoft Defender for Endpoint 用の基本設定を設定する
- Mac 用 Microsoft Defender for Endpoint
- Intune の Microsoft Defender ウイルス対策の macOS ウイルス対策ポリシー設定
- Linux 上で Microsoft Defender for Endpoint 用の基本設定を設定する
- Linux 用 Microsoft Defender for Endpoint
- Android 機能用 Defender for Endpoint を構成する
- iOS 機能用 Microsoft Defender for Endpoint を構成する
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示