Enhetstilstand, Microsoft Defender antivirustilstandsrapport
Gjelder for:
- Microsoft Defender XDR
- Microsoft Defender for endepunkt
- Microsoft Defender for endepunkt plan 1
- Microsoft Defender for endepunkt plan 2
- Microsoft Defender for Business
Vil du oppleve Microsoft Defender for endepunkt? Registrer deg for en gratis prøveperiode.
Enhetstilstand-rapporten gir informasjon om enhetene i organisasjonen. Rapporten inneholder populær informasjon som viser antivirusstatus og Microsoft Defender antivirusmotor, intelligens og plattformversjoner.
Viktig
For at enheter skal vises i Microsoft Defender tilstandsrapporter for antivirusenheter, må de oppfylle følgende forutsetninger:
- Enheten er innebygd i Microsoft Defender for endepunkt
- OS: Windows 10, Windows 11, Windows Server 2012 R2/, 2016 R2/ 2019/2022 (ikke MMA), MacOS, Linux
- Sense (MsSense.exe): 10.8210. *+. Se avsnittet Om forutsetninger for relaterte detaljer.
For at Windows Server 2012 R2 og Windows Server 2016 skal vises i enhetstilstandsrapporter, må disse enhetene være pålastet ved hjelp av den moderne enhetlige løsningspakken. Hvis du vil ha mer informasjon, kan du se Ny funksjonalitet i den moderne enhetlige løsningen for Windows Server 2012 R2 og 2016.
Velg Rapporter i navigasjonsruten i Microsoft Defender-portalen, og åpne deretter Enhetstilstand og samsvar. Fanen Microsoft Defender antivirustilstand har åtte kort som rapporterer om følgende aspekter ved Microsoft Defender Antivirus:
- Antivirusmoduskort
- Versjonskort for antivirusmotor
- Versjonskort for antivirussikkerhetsintelligens
- Versjonskort for antivirusplattform
- Kort med nylige resultater for antivirusskanning
- Kort for antivirusmotoroppdateringer
- Kort med sikkerhetsintelligensoppdateringer
- Kort med oppdateringer for antivirusplattform
Tilgangstillatelser for rapporter
Hvis du vil ha tilgang til rapporten om enhetstilstand og antivirussamsvar i Microsoft Defender-portalen, kreves følgende tillatelser:
| Navn på tillatelse | Tillatelsestype |
|---|---|
| Vis data | Trussel- og sårbarhetsbehandling (TVM) |
Viktig
Microsoft anbefaler at du bruker roller med færrest tillatelser. Dette bidrar til å forbedre sikkerheten for organisasjonen. Global administrator er en svært privilegert rolle som bør begrenses til nødscenarioer når du ikke kan bruke en eksisterende rolle.
Slik tilordner du disse tillatelsene:
Logg på Microsoft Defender-portalen ved hjelp av kontoen med sikkerhetsadministrator eller global administrator rolle tilordnet.
VelgInnstillinger-endepunktroller>> (under Tillatelser) i navigasjonsruten.
Velg rollen du vil redigere.
Velg Rediger.
Skriv inn et navn på rollen i Rollenavn på Generelt-fanen i Rediger-rollen.
Skriv inn et kort sammendrag av rollen i Beskrivelse .
I Tillatelser velger du Vis data, og under Vis data velger du Behandling av trussel og sårbarhet (TVM).
Hvis du vil ha mer informasjon om administrasjon av brukerrolle, kan du se Opprette og administrere roller for rollebasert tilgangskontroll.
fanen Microsoft Defender antivirustilstand
Fanen Microsoft Defender antivirustilstand inneholder åtte kort som rapporterer om flere aspekter ved Microsoft Defender Antivirus i organisasjonen:
To kort, kort for antivirusmodus og resultatkort for nylig antivirusskanning, rapporterer om Microsoft Defender antivirusfunksjoner.
De resterende seks kortene rapporterer om Microsoft Defender antivirusstatus for enheter i organisasjonen:
version kortspill: |
update kort{1} |
|---|---|
|
Versjonskort for antivirusmotor Versjonskort for antivirussikkerhetsintelligens Versjonskort for antivirusplattform |
Kort for antivirusmotoroppdateringer Kort med sikkerhetsintelligensoppdateringer Kort med oppdateringer for antivirusplattform |
| Kort med tre versjoner inneholder undermenyrapporter som gir tilleggsinformasjon og muliggjør videre utforskning. | De tre oppdaterte rapporteringskortene inneholder koblinger til ressurser for å finne ut mer. |
{1} For de tre updates kortene (også kjent som oppdaterte rapporteringskort), angir «Ingen tilgjengelige data» (eller «Ukjent»-verdi) enheter som ikke rapporterer oppdateringsstatus. Enheter som ikke rapporterer oppdateringsstatus, kan skyldes ulike årsaker, for eksempel:
- Datamaskinen er koblet fra nettverket.
- Datamaskinen er slått av eller i dvalemodus.
- Microsoft Defender Antivirus er deaktivert.
- Enheten er en enhet som ikke er Windows -enhet (Mac eller Linux).
- Skybeskyttelse er ikke aktivert.
- Enheten oppfyller ikke forutsetninger for antivirusmotor eller plattformversjon.
Forutsetninger
Oppdatert rapportering genererer informasjon for enheter som oppfyller følgende kriterier:
Motorversjon: 1.1.19300.2+
Plattformversjon: 4.18.2202.1+
Skybeskyttelse aktivert
Sense (MsSense.exe): 10.8210. *+
Windows OS – Windows 10 1809 eller nyere
Obs!
* For øyeblikket er oppdatert rapportering bare tilgjengelig for Windows-enheter. Enheter på tvers av plattformer, for eksempel Mac og Linux, er oppført under «Ingen data tilgjengelig»/Ukjent.
Kortfunksjonalitet
Funksjonaliteten er stort sett den samme for alle kortene. Ved å klikke på en nummerert stolpe i noen av kortene, åpnes undermenyen for Microsoft Defender antivirusdetaljer, slik at du kan se gjennom informasjon om alle enhetene som er konfigurert med versjonsnummeret til et aspekt på det kortet.
Hvis versjonsnummeret du klikket på, er:
- En gjeldende versjon, deretter krever utbedring og sikkerhetsanbefaling er ikke til stede.
- En utdatert versjon, et varsel øverst i rapporten er til stede, noe som indikerer utbedring kreves, og en sikkerhetsanbefalingskobling er til stede. Velg koblingen for sikkerhetsanbefalinger for å navigere til Håndtering av trusler og sikkerhetsproblemer-konsollen, som kan anbefale aktuelle antivirusoppdateringer.
Hvis du vil legge til eller fjerne bestemte typer informasjon på undermenyen for Microsoft Defender antivirusdetaljer, velger du Tilpass kolonner. Velg eller fjern elementer i Tilpass kolonner for å angi hva du vil inkludere i rapporten Microsoft Defender antivirusdetaljer.
Nye Microsoft Defender antivirusfilterdefinisjoner
Tabellen nedenfor inneholder en liste over termer som er nye for Microsoft Defender antivirusrapportering.
| Kolonnenavn | Beskrivelse |
|---|---|
| Publiseringstidspunkt for sikkerhetsintelligens | Angir Microsofts utgivelsesdato for sikkerhetsanalyseoppdateringsversjonen på enheten. Enheter med en sikkerhetsintelligens som publiserer tid som er større enn sju dager, anses som utdaterte i rapportene. |
| Sist sett | Angir datoen enheten sist hadde tilkobling. |
| Tidsstempel for dataoppdatering | Angir når klienthendelser sist ble mottatt for rapportering om: AV-modus, AV-motorversjon, AV-plattformversjon, AV-sikkerhetsintelligensversjon og skanneinformasjon. |
| Oppdateringstidspunkt for signatur | Angir når klienthendelser sist ble mottatt for rapportering om motor, plattform og signatur oppdatert status. |
I undermenyen: Hvis du klikker på navnet på enheten, omdirigeres du til enhetssiden for den enheten, der du kan få tilgang til detaljerte rapporter.
Eksporter rapport
Det finnes to nivåer med rapporter som du kan eksportere:
Eksport på øverste nivå
Det finnes to forskjellige eksport-CSV-funksjoner gjennom portalen:
- Eksport på øverste nivå. Du kan bruke eksportknappen på øverste nivå til å samle inn en Microsoft Defender antivirustilstandsrapport (grense på 500 K).
- Undermenynivåeksport. Du kan bruke Eksporter-knappen i undermenyene til å eksportere en rapport til et Excel-regneark (100-K-grense).
Eksporterte rapporter henter informasjon basert på inngangspunktet i detaljrapporten, og hvilke filtre eller tilpassede kolonner du har angitt.
Hvis du vil ha informasjon om hvordan du eksporterer ved hjelp av API, kan du se følgende artikler:
- Eksporter antivirustilstandsrapport for enhet
- Eksporter API-metoder og egenskaper for antivirustilstand for enheter
Viktig
Foreløpig er bare Antivirus Health JSON Response generelt tilgjengelig. Antivirustilstand-API via filer er bare tilgjengelig i offentlig forhåndsversjon.
Egendefinert spørring for avansert jakt er for øyeblikket bare tilgjengelig i offentlig forhåndsversjon, selv om spørringene er synlige.
funksjonalitet for Microsoft Defender antivirusversjon og oppdateringskort
Følgende er beskrivelser for de seks kortene som rapporterer om version og update informasjon for komponenter for Microsoft Defender antivirusmotor, sikkerhetsintelligens og plattform:
Fullstendig rapport
I noen av de tre version kortene velger du Vis fullstendig rapport for å vise de ni nyeste Microsoft Defender Antivirus-rapportene version for hver av de tre enhetstypene: Windows, Mac og Linux. Hvis det finnes færre enn ni, vises alle. En annen kategori registrerer nylige antivirusmotorversjoner som rangerer tiende og under, hvis det oppdages.
En primær fordel med de tre version kortene er at de gir raske indikatorer på om de nyeste versjonene av antivirusmotorer, plattformer og sikkerhetsintelligens brukes. Sammen med den detaljerte informasjonen som er koblet til kortet, blir versjonskortene et kraftig verktøy for å kontrollere om versjonene er oppdaterte og samle inn informasjon om individuelle datamaskiner eller grupper med datamaskiner.
Ideelt sett, når du kjører disse rapportene, vil de indikere at de nyeste antivirusversjonene er installert, i motsetning til eldre versjoner.
Bruk disse rapportene til å finne ut om organisasjonen drar full nytte av de nyeste versjonene.
For å sikre at løsningen mot skadelig programvare oppdager de nyeste truslene, kan du få oppdateringer automatisk som en del av Windows Update.
Hvis du vil ha mer informasjon om gjeldende versjoner og hvordan du oppdaterer de ulike Microsoft Defender Antivirus-komponentene, kan du gå til støtte for Microsoft Defender Antivirus-plattformen.
Kortbeskrivelser
Nedenfor finner du korte sammendrag av den innsamlede informasjonen som rapporteres i hvert av Antivirus version kortene:
Antivirusmoduskort
Rapporter om hvor mange enheter i organisasjonen – på datoen som er angitt på kortet – er i ett av følgende Microsoft Defender antivirusmoduser:
| verdi | modus |
|---|---|
0 |
Active |
1 |
Passive |
2 |
Disabled (avinstallert, deaktivert eller SideBySidePassive {også kjent som Low Periodic Scan}) |
3 |
Others (Kjører ikke, ukjent) |
4 |
EDRBlocked |
Følgende er beskrivelser for hver modus:
- Aktiv modus – i aktiv modus brukes Microsoft Defender Antivirus som den primære antivirusappen på enheten. Filer skannes, trusler utbedres og oppdagede trusler er oppført i organisasjonens sikkerhetsrapporter og i Windows Sikkerhet-appen.
- Passiv modus – i passiv modus brukes ikke Microsoft Defender Antivirus som den primære antivirusappen på enheten. Filer skannes og oppdagede trusler rapporteres, men trusler utbedres ikke av Microsoft Defender Antivirus. VIKTIG: Microsoft Defender Antivirus kan bare kjøre i passiv modus på endepunkter som er registrert i Microsoft Defender for endepunkt. Se Krav for at Microsoft Defender Antivirus skal kjøre i passiv modus.
- Deaktivert modus – synonymt med: avinstallert, deaktivert, sideBySidePassive og Lav periodisk skanning. Når den er deaktivert, brukes ikke Microsoft Defender Antivirus. Filer skannes ikke, og trusler utbedres ikke. Generelt sett anbefaler ikke Microsoft å deaktivere eller avinstallere Microsoft Defender Antivirus.
- Andre-modus - Kjører ikke, Ukjent
- EDR i blokkmodus – i gjenkjenning av endepunkt og respons (EDR) blokkert modus. Se Gjenkjenning og svar for endepunkt i blokkmodus
Enheter som er i passiv, LPS eller Av utgjør en potensiell sikkerhetsrisiko og bør undersøkes.
Hvis du vil ha mer informasjon om LPS, kan du se Bruke begrenset periodisk skanning i Microsoft Defender Antivirus.
Kort med nylige resultater for antivirusskanning
Dette kortet har to stolper som viser altopprettede resultater for raske skanninger og fullstendige skanninger. I begge grafene angir den første linjen fullføringsfrekvensen for skanninger, og angir fullført, avbrutt eller mislykket. Den andre linjen i hver inndeling inneholder feilkodene for mislykkede skanninger. Ved å skanne kolonnene modus og nylige skanneresultater , kan du raskt identifisere enheter som ikke er i aktiv antivirusskanningsmodus, og enheter som har mislyktes eller avbrutt nylige antivirusskanninger. Du kan gå tilbake til rapporten med denne informasjonen og samle inn flere detaljer og sikkerhetsanbefalinger. Hvis feilkoder rapporteres i dette kortet, vil det være en kobling for å lære mer om feilkoder.
Hvis du vil ha mer informasjon om gjeldende Microsoft Defender antivirusversjoner og hvordan du oppdaterer de ulike Microsoft Defender Antivirus-komponentene, kan du gå til Administrere Microsoft Defender Antivirus-oppdateringer og bruke opprinnelige planer.
Versjonskort for antivirusmotor
Viser sanntidsresultatene for de nyeste Microsoft Defender Antivirus-motorversjonene som er installert på tvers av Windows-enheter, Mac-enheter og Linux-enheter i organisasjonen. Microsoft Defender antivirusmotor oppdateres månedlig. Hvis du vil ha mer informasjon om gjeldende versjoner og hvordan du oppdaterer de ulike Microsoft Defender Antivirus-komponentene, kan du se støtte for antivirusplattformen Microsoft Defender.
Versjonskort for antivirussikkerhetsintelligens
Lister de vanligste Microsoft Defender antivirussikkerhetsintelligens-versjonene som er installert på enheter på nettverket. Microsoft oppdaterer kontinuerlig Microsoft Defender sikkerhetsintelligens for å håndtere de nyeste truslene, og for å begrense gjenkjenningslogikken. Disse forbedringene for sikkerhetsintelligens forbedrer muligheten for Microsoft Defender Antivirus (og andre løsninger mot skadelig programvare fra Microsoft) til å identifisere potensielle trusler nøyaktig. Denne sikkerhetsintelligensen fungerer direkte med skybasert beskyttelse for å levere kunstig intelligens-forbedret, neste generasjons beskyttelse som er rask og kraftig.
Versjonskort for antivirusplattform
Viser sanntidsresultatene for de nyeste versjonene av antivirusplattformen for Microsoft Defender installert på tvers av versjoner av Windows-, Mac- og Linux-enheter i organisasjonen. Microsoft Defender Antivirus-plattformen oppdateres månedlig. Hvis du vil ha mer informasjon om gjeldende versjoner og hvordan du oppdaterer de ulike Microsoft Defender Antivirus-komponentene, kan du se støtte for antivirusplattformen Microsoft Defender
Oppdaterte kort
De oppdaterte kortene viser den oppdaterte statusen for oppdateringsversjoner av antivirusmotor, antivirusplattform og sikkerhetsintelligens . Det finnes tre mulige tilstander: Up to date (True), out of date (False) og no data available (Unknown).
Viktig
Logikken som brukes til å gjøre oppdaterte bestemmelser har nylig blitt forbedret og forenklet. Den nye virkemåten er dokumentert i denne delen.
Definisjoner for Up to date, out of dateog no data available er angitt for hvert kort nedenfor.
Microsoft Defender Antivirus bruker tilleggsvilkårene for «Signaturoppdateringstidspunkt» (siste gang enheten kommuniserte med oppdaterte rapporter) til å lage oppdaterte rapporter og bestemmelser for oppdateringer for motor, plattform og sikkerhetsintelligens.
Den oppdaterte statusen merkes automatisk som "ukjent" eller "ingen data tilgjengelig" hvis enheten ikke har kommunisert med rapporter på mer enn sju dager (signaturoppdateringstid >7).
Hvis du vil ha mer informasjon om de nevnte termene, kan du se avsnittet: Ny Microsoft Defender antivirusfilterdefinisjoner
Obs!
Oppdatert rapportering genererer informasjon for enheter som oppfyller følgende kriterier:
- Motorversjon:
1.1.19300.2eller nyere - Plattformversjon:
4.18.2202.1eller nyere - Skybeskyttelse aktivert
- Windows OS
Oppdatert rapportering er for øyeblikket bare tilgjengelig for Windows-enheter. Enheter på tvers av plattformer, for eksempel Mac og Linux, er oppført under no data available.>
Oppdaterte definisjoner
Følgende er oppdaterte definisjoner for motor og plattform:
| Motoren/plattformen på enheten vurderes: | Situasjon |
|---|---|
| oppdatert | Hvis enheten kommuniserte med Defender-rapporthendelsen (Signature refresh time) i løpet av de siste sju dagene, og versjonen for motor- eller plattformbygging er større enn eller lik (>=) den nyeste månedlige versjonen. |
| Foreldet | Hvis enheten kommuniserte med Defender-rapporthendelsen (Signature refresh time) i løpet av de siste sju dagene, men motor- eller plattformbyggversjonen er mindre enn (<) den nyeste månedlige versjonen. |
| ukjent (ingen tilgjengelige data) | Hvis enheten ikke har kommunisert med rapporthendelsen (Signature refresh time) på mer enn sju dager. |
Følgende er definisjonene for oppdatert sikkerhetsintelligens:
| Oppdateringen for sikkerhetsintelligens vurderes: | Situasjon |
|---|---|
| oppdatert | Hvis sikkerhetsintelligensversjonen på enheten ble skrevet i løpet av de siste sju dagene, og enheten har kommunisert med rapporthendelsen de siste sju dagene. |
Hvis du vil ha mer informasjon, kan du se:
- Kort for antivirusmotoroppdateringer
- Kort med sikkerhetsintelligensoppdateringer
- Kort med oppdateringer for antivirusplattform
Kort for antivirusmotoroppdateringer
Dette kortet identifiserer enheter som har antivirusmotorversjoner som er oppdaterte kontra utdaterte.
Den generelle definisjonen av up to date – Motorversjonen på enheten er den nyeste motorutgivelsen. Motoren utgis vanligvis månedlig via Windows Update (WU). Det er gitt en tre-dagers løpeperiode fra dagen da Windows Update (WU) slippes.
Tabellen nedenfor beskriver mulige verdier for oppdaterte rapporter for antivirusmotoren. Rapportert status er basert på siste gang rapporteringshendelsen ble mottatt (tidspunktet for signaturoppdatering). Hvis enheten ikke har kommunisert med rapporter på mer enn sju dager (signaturoppdateringstid >7 dager), merkes statusen automatisk som / UnknownNo Data Available .
| Tidspunkt for siste oppdatering for hendelsen (også kjent som «Oppdateringstid for signatur» i rapporter) | Rapportert status |
|---|---|
| < 7 dager (ny) | uansett klientrapporter (oppdatert Utdatert Ukjent) |
| > 7 dager (gammel) | Unknown |
Hvis du vil ha informasjon om administrering Microsoft Defender antivirusoppdateringsversjoner, kan du se Månedsplattform og motorversjoner.
Kort med oppdateringer for antivirusplattform
Dette kortet identifiserer enheter som har antivirusplattformversjoner som er oppdaterte kontra utdaterte.
Den generelle definisjonen av up to date er at plattformversjonen på enheten er den nyeste plattformutgivelsen. Plattformen utgis vanligvis månedlig via Windows Update (WU). Det er en tre-dagers løpeperiode fra dagen da WU slippes.
Tabellen nedenfor beskriver mulige oppdaterte rapportverdier for antivirusplattformen. Rapporterte verdier er basert på siste gang rapporteringshendelsen ble mottatt (tidspunktet for signaturoppdatering). Hvis enheten ikke har kommunisert med rapporter på mer enn sju dager (signaturoppdateringstid >7 dager), merkes statusen automatisk som/ UnknownNo Data Available .
| Tidspunkt for siste oppdatering for hendelsen (også kjent som «Oppdateringstid for signatur» i rapporter) | Rapportert status |
|---|---|
| < 7 dager (ny) | uansett klientrapporter (Up to date Out of date Unknown) |
| > 7 dager (gammel) | Unknown |
Hvis du vil ha informasjon om administrering Microsoft Defender antivirusoppdateringsversjoner, kan du se Månedsplattform og motorversjoner.
Kort med sikkerhetsintelligensoppdateringer
Dette kortet identifiserer enheter som har sikkerhetsintelligensversjoner som er oppdaterte kontra utdaterte.
Den generelle definisjonen av up to date er at sikkerhetsetterretningsversjonen på enheten ble skrevet i løpet av de siste sju dagene.
Tabellen nedenfor beskriver de mulige oppdaterte rapportverdiene for sikkerhetsanalyseoppdateringer . Rapporterte verdier er basert på siste gang rapporteringshendelsen ble mottatt, og publiseringstiden for sikkerhetsintelligensen. Hvis enheten ikke har kommunisert med rapporter på mer enn sju dager (signaturoppdateringstid >7 dager), merkes statusen automatisk som Unknown/ No Data Available. Ellers bestemmes avgjørelsen basert på om publiseringstiden for sikkerhetsintelligensen er innen syv dager.
| Tidspunkt for siste oppdatering for hendelsen (Også kjent som «Oppdateringstid for signatur» i rapporter) |
Publiseringstidspunkt for sikkerhetsintelligens | Rapportert status |
|---|---|---|
| >7 dager (gammel) | >7 dager (gammel) | Unknown |
| <7 dager (ny) | >7 dager (gammel) | Out of date |
| >7 dager (gammel) | <7 dager (ny) | Unknown |
| <7 dager (ny) | <7 dager (ny) | Up to date |
Se også
Tips
Ytelsestips På grunn av en rekke faktorer (eksempler oppført nedenfor) kan Microsoft Defender Antivirus, som andre antivirusprogrammer, forårsake ytelsesproblemer på endepunktenheter. I noen tilfeller må du kanskje justere ytelsen til Microsoft Defender Antivirus for å unngå disse ytelsesproblemene. Microsofts ytelsesanalyse er et powershell-kommandolinjeverktøy som bidrar til å avgjøre hvilke filer, filbaner, prosesser og filtyper som kan forårsake ytelsesproblemer. noen eksempler er:
- De øverste banene som påvirker skannetiden
- Populære filer som påvirker skannetiden
- De viktigste prosessene som påvirker skannetiden
- De mest populære filtypene som påvirker skannetiden
- Kombinasjoner – for eksempel:
- toppfiler per filtype
- øverste baner per utvidelse
- øverste prosesser per bane
- toppskanninger per fil
- toppskanninger per fil per prosess
Du kan bruke informasjonen som samles inn ved hjelp av Ytelsesanalyse, til å vurdere ytelsesproblemer bedre og bruke utbedringshandlinger. Se: Ytelsesanalyse for Microsoft Defender Antivirus.
- Eksporter API-metoder og egenskaper for antivirustilstand for enheter
- Eksporter antivirustilstandsrapport for enhet
- Trusselbeskyttelsesrapport
Tips
Hvis du vil ha antivirusrelatert informasjon for andre plattformer, kan du se:
- Angi innstillinger for Microsoft Defender for endepunkt på macOS
- Microsoft Defender for endepunkt på Mac
- Innstillinger for macOS-antiviruspolicy for Microsoft Defender Antivirus for Intune
- Angi innstillinger for Microsoft Defender for endepunkt på Linux
- Microsoft Defender for endepunkt på Linux
- Konfigurer Defender for endepunkt på Android-funksjoner
- Konfigurer Microsoft Defender for endepunkt for iOS-funksjoner
Tips
Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.