デバイス ウイルス対策の正常性レポートをエクスポートする

適用対象:

Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。

注:

米国政府機関のお客様の場合は、米国政府機関のお客様のMicrosoft Defender for Endpointに記載されている URI を使用してください。

ヒント

パフォーマンスを向上させるために、地理的な場所に近いサーバーを使用できます。

  • api-us.securitycenter.microsoft.com
  • api-eu.securitycenter.microsoft.com
  • api-uk.securitycenter.microsoft.com

重要

一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここに記載された情報に関して、明示または黙示を問わず、いかなる保証も行いません。

この API には、ウイルス対策デバイスウイルス対策の正常性の詳細Microsoft Defender取得する 2 つの方法があります。

  • 方法 1:1 正常性レポートのエクスポート (JSON 応答) メソッドは、組織内のすべてのデータを JSON 応答としてプルします。 この方法は、 100 K 未満のデバイスを持つ小規模な組織に最適です。 応答はページ分割されるため、応答の@odata.nextLink フィールドを使用して、次の結果をフェッチできます。

  • 方法 2:2 (ファイルを使用して) 正常性レポートをエクスポートするこの 方法を使用すると、大量のデータをより迅速かつ確実にプルできます。 そのため、100 K を超えるデバイスを持つ大規模な組織におすすめです。 この API は、組織内のすべてのデータをダウンロード ファイルとしてプルします。 応答には、Azure Storage からすべてのデータをダウンロードするための URL が含まれています。 この API を使用すると、次のように Azure Storage からすべてのデータをダウンロードできます:

    • すべての組織データを含むダウンロード URL の一覧を取得するには、API を呼び出します。
    • ダウンロード URL を使用してすべてのファイルをダウンロードし、データを好きなように処理します。

"JSON 応答 または ファイル経由" を使用して収集されるデータは、現在の状態の現在のスナップショットです。 履歴データは含まれません。 履歴データを収集するには、お客様が独自のデータ ストレージにデータを保存する必要があります。 「 デバイス正常性の詳細 API のメソッドとプロパティをエクスポートする」を参照してください。

重要

現時点では、 ウイルス対策正常性 JSON 応答 のみが一般公開されています。 ファイル経由のウイルス対策正常性 API は現在、パブリック プレビューでのみ使用できます。

高度なハンティング カスタム クエリ は、現在、クエリがまだ表示されている場合でも、パブリック プレビューでのみ使用できます。

重要

Windows Server 2012 R2 とWindows Server 2016をデバイス正常性レポートに表示するには、最新の統合ソリューション パッケージを使用してこれらのデバイスをオンボードする必要があります。 詳細については、「Windows Server 2012 R2 と 2016 の最新の統合ソリューションの新機能」を参照してください。

注:

Microsoft 365 セキュリティ ダッシュボードでデバイスの正常性とウイルス対策のコンプライアンス レポート ツールを使用する方法については、「Microsoft Defender for Endpoint のデバイスの正常性とウイルス対策のコンプライアンス レポート」を参照してください。

1 正常性レポートのエクスポート (JSON 応答)

1.1 API メソッドの説明

この API は、ウイルス対策デバイスのウイルス対策の正常性の詳細Microsoft Defender一覧を取得します。 次の一意の組み合わせごとにエントリを持つテーブルを返します。

  • DeviceId
  • デバイス名
  • AV モード
  • 最新の状態
  • スキャン結果

1.1.1 制限事項

  • 最大ページ サイズは 200,000 です
  • この API のレート制限は、1 分あたり 30 呼び出しと 1 時間あたり 1000 呼び出しです。

OData でサポートされる演算子

  • $filteron: machineId, , computerDnsName, osKind, osPlatform, , osVersion, , avMode, avSignatureVersion, avEngineVersion, , fullScanErroravIsSignatureUpToDateavIsPlatformUpToDatequickScanResultquickScanErrorfullScanResultavIsEngineUpToDateavPlatformVersionrbacGroupId
  • $top 最大値が 10,000 です。
  • $skip

重要

rbacgroupnameId は、フィルター演算子としてサポートされていないことに注意してください。

1.2 アクセス許可

この API を呼び出すには、次のいずれかのアクセス許可が必要です。 アクセス許可の選択方法など、詳細については、「エンドポイント API に Microsoft Defender を使用する」を参照してください。

アクセス許可の種類 アクセス許可 アクセス許可の表示名
アプリケーション Machine.Read.All 'すべてのマシン プロファイルを読み取る'
委任 (職場または学校のアカウント) Machine.Read 'マシン情報の読み取り'

1.3 URL (HTTP 要求)

URL: GET: /api/deviceavinfo

1.3.1 要求ヘッダー

名前 説明
Authorization String ベアラー {token}。 必須です。

1.3.2 要求本文

Empty

1.3.3 応答

成功した場合、このメソッドは 200 OK をデバイスの正常性の詳細のリストと共に返します。

1.4 パラメーター

  • 既定のページ サイズは 20 です
  • Microsoft Defender for Endpointを使用した OData クエリの例を参照してください。

1.5 プロパティ

参照: 1.3 デバイスウイルス対策の正常性の詳細 API プロパティのエクスポート (JSON 応答)

OData V4 クエリをサポートします。

1.6 例

要求の例

要求の例を次に示します。

GET https://api.securitycenter.microsoft.com/api/deviceavinfo

応答の例

応答の例を次に示します。

{

    @odata.context: "https://api.securitycenter.microsoft.com/api/$metadata#DeviceAvInfo",

"value": [{

            "id": "Sample Guid",

            "machineId": "Sample Machine Guid",

            "computerDnsName": "appblockstg1",

            "osKind": "windows",

            "osPlatform": "Windows10",

            "osVersion": "10.0.19044.1865",

            "avMode": "0",

            "avSignatureVersion": "1.371.1279.0",

            "avEngineVersion": "1.1.19428.0",

            "avPlatformVersion": "4.18.2206.108",

            "lastSeenTime": "2022-08-02T19:40:45Z",

            "quickScanResult": "Completed",

            "quickScanError": "",

            "quickScanTime": "2022-08-02T18:40:15.882Z",

            "fullScanResult": "",

            "fullScanError": "",

            "fullScanTime": null,

            "dataRefreshTimestamp": "2022-08-02T21:16:23Z",

            "avEngineUpdateTime": "2022-08-02T00:03:39Z",

            "avSignatureUpdateTime": "2022-08-02T00:03:39Z",

            "avPlatformUpdateTime": "2022-06-20T16:59:35Z",

            "avIsSignatureUpToDate": "True",

            "avIsEngineUpToDate": "True",

            "avIsPlatformUpToDate": "True",

            "avSignaturePublishTime": "2022-08-02T00:03:39Z",

            "rbacGroupName": "TVM1",

            "rbacGroupId": 4415

        },

        ...

     ]

}

2 正常性レポートのエクスポート (ファイル経由)

重要

このセクションの情報は、市販される前に大幅に変更される可能性があるリリース済み製品に関連しています。 Microsoft は、ここに記載された情報に関して、明示または黙示を問わず、いかなる保証も行いません。

2.1 API メソッドの説明

この API 応答には、デバイスごとのウイルス対策の正常性と状態のすべてのデータが含まれています。 次の一意の組み合わせごとにエントリを持つテーブルを返します。

  • DeviceId
  • デバイス名
  • AV モード
  • 最新の状態
  • スキャン結果

2.1.2 制限事項

  • 最大ページ サイズは 200,000 です。
  • この API のレート制限は、1 分あたり 30 呼び出しと 1 時間あたり 1000 呼び出しです。

2.2 権限

この API を呼び出すには、次のいずれかのアクセス許可が必要です。

アクセス許可の種類 アクセス許可 アクセス許可の表示名
アプリケーション Vulnerability.Read.All '"脅威と脆弱性の管理" の脆弱性情報を読み取る
委任 (職場または学校のアカウント) Vulnerability.Read '"脅威と脆弱性の管理" の脆弱性情報を読み取る

アクセス許可の選択方法など、詳細については、「Microsoft Defender for Endpoint API を使用する」を参照してください

2.3 URL

GET /api/machines/InfoGatheringExport

2.4 パラメーター

  • sasValidHours: ダウンロード URL が有効になる時間数 (最大 24 時間)。

2.5 プロパティ

参照: 1.4 デバイスウイルス対策正常性の詳細 API プロパティを (ファイル経由で) エクスポートします

2.6 例

2.6.1 要求の例

要求の例を次に示します。

GET https://api-us.securitycenter.contoso.com/api/machines/InfoGatheringExport

2.6.2 応答の例

応答の例を次に示します。

{

   "@odata.context": "https://api-us.securitycenter.windows.com/api/$metadata#microsoft.windowsDefenderATP.api.ExportFilesResponse",

   "exportFiles": [

       "https://tvmexportexternalprdeus.blob.core.windows.net/temp-../2022-08-02/2201/InfoGatheringExport/json/OrgId=../_RbacGroupId=../part-00055-12fc2fcd-8f56-4e09-934f-e8efe7ce74a0.c000.json.gz?sv=2020-08-04&st=2022-08-02T22%3A47%3A11Z&se=2022-08-03T01%3A47%3A11Z&sr=b&sp=r&sig=..",

       "https://tvmexportexternalprdeus.blob.core.windows.net/temp-../2022-08-02/2201/InfoGatheringExport/json/OrgId=../_RbacGroupId=../part-00055-12fc2fcd-8f56-4e09-934f-e8efe7ce74a0.c000.json.gz?sv=2020-08-04&st=2022-08-02T22%3A47%3A11Z&se=2022-08-03T01%3A47%3A11Z&sr=b&sp=r&sig=.."

   ],


   "generatedTime": "2022-08-02T22:01:00Z"


}

ヒント

パフォーマンスのヒント他のウイルス対策ソフトウェアと同様に、ウイルス対策Microsoft Defenderさまざまな要因 (以下に示す例) が原因で、エンドポイント デバイスでパフォーマンスの問題が発生する可能性があります。 場合によっては、これらのパフォーマンスの問題を軽減するために、Microsoft Defenderウイルス対策のパフォーマンスを調整する必要がある場合があります。 Microsoftのパフォーマンス アナライザーは、パフォーマンスの問題を引き起こしている可能性があるファイル、ファイル パス、プロセス、およびファイル拡張子を判断するのに役立つ PowerShell コマンド ライン ツールです。次に例を示します。

  • スキャン時間に影響を与える上位パス
  • スキャン時間に影響を与える上位のファイル
  • スキャン時間に影響を与える上位プロセス
  • スキャン時間に影響を与える上位のファイル拡張子
  • 組み合わせ – 例:
    • 拡張子ごとに上位のファイル
    • 拡張機能ごとの上位パス
    • パスあたりの上位プロセス数
    • ファイルあたりの上位スキャン数
    • プロセスごとのファイルあたりの上位スキャン数

パフォーマンス アナライザーを使用して収集した情報を使用して、パフォーマンスの問題をより適切に評価し、修復アクションを適用できます。 「Microsoft Defender ウイルス対策のパフォーマンス アナライザー」を参照してください。

関連項目

デバイスの正常性のメソッドとプロパティをエクスポートする

デバイスの正常性とコンプライアンスのレポート