Del via


Enhetstilstand, Microsoft Defender antivirustilstandsrapport

Gjelder for:

Vil du oppleve Microsoft Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Enhetstilstand-rapporten gir informasjon om enhetene i organisasjonen. Rapporten inneholder populær informasjon som viser antivirusstatus og Microsoft Defender antivirusmotor, intelligens og plattformversjoner.

Viktig

For at enheter skal vises i Microsoft Defender tilstandsrapporter for antivirusenheter, må de oppfylle følgende forutsetninger:

  • Enheten er innebygd i Microsoft Defender for endepunkt
  • OS: Windows 10, Windows 11, Windows Server 2012 R2/, 2016 R2/ 2019/2022 (ikke MMA), MacOS, Linux
  • Sense (MsSense.exe): 10.8210. *+. Se avsnittet Om forutsetninger for relaterte detaljer.

For at Windows Server 2012 R2 og Windows Server 2016 skal vises i enhetstilstandsrapporter, må disse enhetene være pålastet ved hjelp av den moderne enhetlige løsningspakken. Hvis du vil ha mer informasjon, kan du se Ny funksjonalitet i den moderne enhetlige løsningen for Windows Server 2012 R2 og 2016.

Velg Rapporter i navigasjonspanelet for Microsoft 365 Security-instrumentbordet, og åpne deretter Enhetstilstand og samsvar. Fanen Microsoft Defender antivirustilstand har åtte kort som rapporterer om følgende aspekter ved Microsoft Defender Antivirus:

Tilgangstillatelser for rapporter

Hvis du vil ha tilgang til rapporten om enhetstilstand og antivirussamsvar på instrumentbordet for Microsoft 365 Security, kreves følgende tillatelser:

Navn på tillatelse Tillatelsestype
Vis data Trussel- og sårbarhetsbehandling (TVM)

Slik tilordner du disse tillatelsene:

  1. Logg på Microsoft Defender XDR med sikkerhetsadministrator eller global administrator rolle tilordnet.
  2. VelgInnstillinger-endepunktroller>> (under Tillatelser) i navigasjonsruten.
  3. Velg rollen du vil redigere.
  4. Velg Rediger.
  5. Skriv inn et navn på rollen i RollenavnGenerelt-fanen i Rediger-rollen.
  6. Skriv inn et kort sammendrag av rollen i Beskrivelse .
  7. I Tillatelser velger du Vis data, og under Vis data velger du Behandling av trussel og sårbarhet (TVM).

Hvis du vil ha mer informasjon om administrasjon av brukerrolle, kan du se Opprett og behandle roller for rollebasert tilgangskontroll.

fanen Microsoft Defender antivirustilstand

Fanen Microsoft Defender antivirustilstand inneholder åtte kort som rapporterer om flere aspekter ved Microsoft Defender Antivirus i organisasjonen:

To kort, kort for antivirusmodus og resultatkort for nylig antivirusskanning, rapporterer om Microsoft Defender antivirusfunksjoner.

De resterende seks kortene rapporterer om Microsoft Defender antivirusstatus for enheter i organisasjonen:

versjonskort : oppdater kort{1}
Versjonskort for antivirusmotor
Versjonskort for antivirussikkerhetsintelligens
Versjonskort for antivirusplattform
Kort for antivirusmotoroppdateringer
Kort med sikkerhetsintelligensoppdateringer
Kort med oppdateringer for antivirusplattform
Kort med tre versjoner inneholder undermenyrapporter som gir tilleggsinformasjon og muliggjør videre utforskning. De tre oppdaterte rapporteringskortene inneholder koblinger til ressurser for å finne ut mer.

{1} For de tre oppdateringskortene (også kjent som oppdaterte rapporteringskort), angir «Ingen data tilgjengelig» (eller «Ukjent»-verdi) enheter som ikke rapporterer oppdateringsstatus. Enheter som ikke rapporterer oppdateringsstatus, kan skyldes ulike årsaker, for eksempel:

  • Datamaskinen er koblet fra nettverket.
  • Datamaskinen er slått av eller i dvalemodus.
  • Microsoft Defender Antivirus er deaktivert.
  • Enheten er en enhet som ikke er Windows -enhet (Mac eller Linux).
  • Skybeskyttelse er ikke aktivert.
  • Enheten oppfyller ikke forutsetninger for antivirusmotor eller plattformversjon.

Forutsetninger

Oppdatert rapportering genererer informasjon for enheter som oppfyller følgende kriterier:

  • Motorversjon: 1.1.19300.2+

  • Plattformversjon: 4.18.2202.1+

  • Skybeskyttelse aktivert

  • Sense (MsSense.exe): 10.8210. *+

  • Windows OS – Windows 10 1809 eller nyere

    Obs!

    * For øyeblikket er oppdatert rapportering bare tilgjengelig for Windows-enheter. Enheter på tvers av plattformer, for eksempel Mac og Linux, er oppført under «Ingen data tilgjengelig»/Ukjent.

Viser fanen Microsoft Defender antivirustilstand.

Kortfunksjonalitet

Funksjonaliteten er stort sett den samme for alle kortene. Ved å klikke på en nummerert stolpe i noen av kortene, åpnes undermenyen for Microsoft Defender antivirusdetaljer, slik at du kan se gjennom informasjon om alle enhetene som er konfigurert med versjonsnummeret til et aspekt på det kortet.

Viser undermenyen for Microsoft Defender antivirusdetaljer.

Hvis versjonsnummeret du klikket på, er:

  • En gjeldende versjon, deretter krever utbedring og sikkerhetsanbefaling er ikke til stede.
  • En utdatert versjon, et varsel øverst i rapporten er til stede, noe som indikerer utbedring kreves, og en sikkerhetsanbefalingskobling er til stede. Velg koblingen for sikkerhetsanbefalinger for å navigere til Håndtering av trusler og sikkerhetsproblemer-konsollen, som kan anbefale aktuelle antivirusoppdateringer.

Hvis du vil legge til eller fjerne bestemte typer informasjon på undermenyen for Microsoft Defender antivirusdetaljer, velger du Tilpass kolonner. Velg eller fjern elementer i Tilpass kolonner for å angi hva du vil inkludere i rapporten Microsoft Defender antivirusdetaljer.

Viser egendefinerte kolonnealternativer for Microsoft Defender antivirustilstandsrapportering.

Nye Microsoft Defender antivirusfilterdefinisjoner

Tabellen nedenfor inneholder en liste over termer som er nye for Microsoft Defender antivirusrapportering.

Kolonnenavn Beskrivelse
Publiseringstidspunkt for sikkerhetsintelligens Angir Microsofts utgivelsesdato for sikkerhetsanalyseoppdateringsversjonen på enheten. Enheter med en sikkerhetsintelligens som publiserer tid som er større enn sju dager, anses som utdaterte i rapportene.
Sist sett Angir datoen enheten sist hadde tilkobling.
Tidsstempel for dataoppdatering Angir når klienthendelser sist ble mottatt for rapportering om: AV-modus, AV-motorversjon, AV-plattformversjon, AV-sikkerhetsintelligensversjon og skanneinformasjon.
Oppdateringstidspunkt for signatur Angir når klienthendelser sist ble mottatt for rapportering om motor, plattform og signatur oppdatert status.

I undermenyen: Hvis du klikker på navnet på enheten, omdirigeres du til enhetssiden for den enheten, der du kan få tilgang til detaljerte rapporter.

Eksporter rapport

Det finnes to nivåer med rapporter som du kan eksportere:

Eksport på øverste nivå

Det finnes to forskjellige eksport-CSV-funksjoner gjennom portalen:

  • Eksport på øverste nivå. Du kan bruke eksportknappen på øverste nivå til å samle inn en Microsoft Defender antivirustilstandsrapport (grense på 500 K).

Skjermbilde som viser eksportrapportknappen på øverste nivå.

  • Undermenynivåeksport. Du kan bruke Eksporter-knappen i undermenyene til å eksportere en rapport til et Excel-regneark (100-K-grense).

Eksporterte rapporter henter informasjon basert på inngangspunktet i detaljrapporten, og hvilke filtre eller tilpassede kolonner du har angitt.

Hvis du vil ha informasjon om hvordan du eksporterer ved hjelp av API, kan du se følgende artikler:

Viktig

Foreløpig er bare Antivirus Health JSON Response generelt tilgjengelig. Antivirustilstand-API via filer er bare tilgjengelig i offentlig forhåndsversjon.

Egendefinert spørring for avansert jakt er for øyeblikket bare tilgjengelig i offentlig forhåndsversjon, selv om spørringene er synlige.

funksjonalitet for Microsoft Defender antivirusversjon og oppdateringskort

Følgende er beskrivelser for de seks kortene som rapporterer om versjons- og oppdateringsinformasjon for Microsoft Defender antivirusmotor, sikkerhetsintelligens og plattformkomponenter:

Fullstendig rapport

I noen av de tre versjonskortene velger du Vis fullstendig rapport for å vise de ni nyeste rapportene Microsoft Defender Antivirus-versjonen for hver av de tre enhetstypene: Windows, Mac og Linux. Hvis det finnes færre enn ni, vises de alle. En annen kategori registrerer nylige antivirusmotorversjoner som rangerer tiende og under, hvis det oppdages.

Viser fordelingen av de ni beste operativsystemene av hver type

En primær fordel med de tre versjonskortene er at de gir raske indikatorer på om de nyeste versjonene av antivirusmotorer, plattformer og sikkerhetsintelligens brukes. Sammen med den detaljerte informasjonen som er koblet til kortet, blir versjonskortene et kraftig verktøy for å kontrollere om versjonene er oppdaterte og samle inn informasjon om individuelle datamaskiner eller grupper med datamaskiner. Ideelt sett, når du kjører disse rapportene, vil de indikere at de nyeste antivirusversjonene er installert, i motsetning til eldre versjoner. Bruk disse rapportene til å finne ut om organisasjonen drar full nytte av de nyeste versjonene.

Viser Microsoft Defender antivirusversjonsdetaljer

For å sikre at løsningen mot skadelig programvare oppdager de nyeste truslene, kan du få oppdateringer automatisk som en del av Windows Update.

Hvis du vil ha mer informasjon om gjeldende versjoner og hvordan du oppdaterer de ulike Microsoft Defender Antivirus-komponentene, kan du gå til støtte for Microsoft Defender Antivirus-plattformen.

Kortbeskrivelser

Nedenfor finner du korte sammendrag av den innsamlede informasjonen som rapporteres i hvert av antivirusversjonskortene :

Antivirusmoduskort

Rapporter om hvor mange enheter i organisasjonen – på datoen som er angitt på kortet – er i ett av følgende Microsoft Defender antivirusmoduser:

Verdi Modus
0 Aktiv
1 Passiv
2 Deaktivert (avinstallert, deaktivert eller SideBySidePassive {også kjent som Low Periodic Scan})
3 Andre (kjører ikke, ukjent)
4 EDRBlocked

Viser filtrering Microsoft Defender antivirusmoduser

Følgende er beskrivelser for hver modus:

  • Aktiv modus – i aktiv modus brukes Microsoft Defender Antivirus som den primære antivirusappen på enheten. Filer skannes, trusler utbedres og oppdagede trusler er oppført i organisasjonens sikkerhetsrapporter og i Windows Sikkerhet-appen.
  • Passiv modus – i passiv modus brukes ikke Microsoft Defender Antivirus som den primære antivirusappen på enheten. Filer skannes og oppdagede trusler rapporteres, men trusler utbedres ikke av Microsoft Defender Antivirus. VIKTIG: Microsoft Defender Antivirus kan bare kjøre i passiv modus på endepunkter som er registrert i Microsoft Defender for endepunkt. Se Krav for at Microsoft Defender Antivirus skal kjøre i passiv modus.
  • Deaktivert modus – synonymt med: avinstallert, deaktivert, sideBySidePassive og Lav periodisk skanning. Når den er deaktivert, brukes ikke Microsoft Defender Antivirus. Filer skannes ikke, og trusler utbedres ikke. Generelt sett anbefaler ikke Microsoft å deaktivere eller avinstallere Microsoft Defender Antivirus.
  • Andre-modus - Kjører ikke, Ukjent
  • EDR i blokkmodus – i gjenkjenning av endepunkt og respons (EDR) blokkert modus. Se Gjenkjenning og svar for endepunkt i blokkmodus

Enheter som er i passiv, LPS eller Av utgjør en potensiell sikkerhetsrisiko og bør undersøkes.

Hvis du vil ha mer informasjon om LPS, kan du se Bruke begrenset periodisk skanning i Microsoft Defender Antivirus.

Kort med nylige resultater for antivirusskanning

Dette kortet har to stolper som viser altopprettede resultater for raske skanninger og fullstendige skanninger. I begge grafene angir den første linjen fullføringsfrekvensen for skanninger, og angir fullført, avbrutt eller mislykket. Den andre linjen i hver inndeling inneholder feilkodene for mislykkede skanninger. Ved å skanne kolonnene modus og nylige skanneresultater , kan du raskt identifisere enheter som ikke er i aktiv antivirusskanningsmodus, og enheter som har mislyktes eller avbrutt nylige antivirusskanninger. Du kan gå tilbake til rapporten med denne informasjonen og samle inn flere detaljer og sikkerhetsanbefalinger. Hvis feilkoder rapporteres i dette kortet, vil det være en kobling for å lære mer om feilkoder.

Hvis du vil ha mer informasjon om gjeldende Microsoft Defender antivirusversjoner og hvordan du oppdaterer de ulike Microsoft Defender Antivirus-komponentene, kan du gå til Administrere Microsoft Defender Antivirus-oppdateringer og bruke opprinnelige planer.

Versjonskort for antivirusmotor

Viser sanntidsresultatene for de nyeste Microsoft Defender Antivirus-motorversjonene som er installert på tvers av Windows-enheter, Mac-enheter og Linux-enheter i organisasjonen. Microsoft Defender antivirusmotor oppdateres månedlig. Hvis du vil ha mer informasjon om gjeldende versjoner og hvordan du oppdaterer de ulike Microsoft Defender Antivirus-komponentene, kan du se støtte for antivirusplattformen Microsoft Defender.

Versjonskort for antivirussikkerhetsintelligens

Lister de vanligste Microsoft Defender antivirussikkerhetsintelligens-versjonene som er installert på enheter på nettverket. Microsoft oppdaterer kontinuerlig Microsoft Defender sikkerhetsintelligens for å håndtere de nyeste truslene, og for å begrense gjenkjenningslogikken. Disse forbedringene for sikkerhetsintelligens forbedrer Microsoft Defender Antivirus' (og andre løsninger mot skadelig programvare fra Microsoft) til å identifisere potensielle trusler nøyaktig. Denne sikkerhetsintelligensen fungerer direkte med skybasert beskyttelse for å levere kunstig intelligens-forbedret, neste generasjons beskyttelse som er rask og kraftig.

Versjonskort for antivirusplattform

Viser sanntidsresultatene for de nyeste versjonene av antivirusplattformen for Microsoft Defender installert på tvers av versjoner av Windows-, Mac- og Linux-enheter i organisasjonen. Microsoft Defender Antivirus-plattformen oppdateres månedlig. Hvis du vil ha mer informasjon om gjeldende versjoner og hvordan du oppdaterer de ulike Microsoft Defender Antivirus-komponentene, kan du se støtte for antivirusplattformen Microsoft Defender

Oppdaterte kort

De oppdaterte kortene viser den oppdaterte statusen for oppdateringsversjoner av antivirusmotor, antivirusplattform og sikkerhetsintelligens . Det finnes tre mulige tilstander: Oppdatert (Sann), utdatert (Usann) og ingen tilgjengelige data (Ukjent).

Viktig

Logikken som brukes til å gjøre oppdaterte bestemmelser har nylig blitt forbedret og forenklet. Den nye virkemåten er dokumentert i denne delen.

Definisjoner for oppdatert, utdatert og ingen tilgjengelige data er angitt for hvert kort nedenfor.

Microsoft Defender Antivirus bruker tilleggsvilkårene for «Signaturoppdateringstidspunkt» (siste gang enheten kommuniserte med oppdaterte rapporter) til å lage oppdaterte rapporter og bestemmelser for oppdateringer for motor, plattform og sikkerhetsintelligens.

Den oppdaterte statusen merkes automatisk som "ukjent" eller "ingen data tilgjengelig" hvis enheten ikke har kommunisert med rapporter på mer enn sju dager (signaturoppdateringstid >7).

Hvis du vil ha mer informasjon om de nevnte termene, kan du se avsnittet: Ny Microsoft Defender antivirusfilterdefinisjoner

Obs!

Oppdaterte forutsetninger for rapportering

Oppdatert rapportering genererer informasjon for enheter som oppfyller følgende kriterier:

  • Motorversjon: 1.1.19300.2+
  • Plattformversjon: 4.18.2202.1+
  • Skybeskyttelse aktivert
  • Windows OS*

*Oppdatert rapportering er for øyeblikket bare tilgjengelig for Windows-enheter. Enheter på tvers av plattformer, for eksempel Mac og Linux, er oppført under «ingen tilgjengelige data»

Oppdaterte definisjoner

Følgende er oppdaterte definisjoner for motor og plattform:

Motoren/plattformen på enheten vurderes: Situasjonen
oppdatert Hvis enheten kommuniserte med rapporthendelsen Defender («Signaturoppdateringstid») i løpet av de siste sju dagene, og versjonen for motor- eller plattformbygging er større enn eller lik (>=) den nyeste månedlige versjonsversjonen.
Foreldet Hvis enheten kommuniserte med rapporthendelsen Defender («Signaturoppdateringstid») i løpet av de siste sju dagene, men byggversjonen for motor eller plattform er mindre enn (<) den nyeste månedlige versjonen.
ukjent (ingen tilgjengelige data) Hvis enheten ikke har kommunisert med rapporthendelsen («Tid for signaturoppdatering») i mer enn sju dager.

Følgende er definisjonene for oppdatert sikkerhetsintelligens:

Oppdateringen for sikkerhetsintelligens vurderes: Situasjonen
oppdatert Hvis sikkerhetsintelligensversjonen på enheten ble skrevet i løpet av de siste sju dagene, og enheten har kommunisert med rapporthendelsen de siste sju dagene.

Hvis du vil ha mer informasjon, kan du se:

Kort for antivirusmotoroppdateringer

Dette kortet identifiserer enheter som har antivirusmotorversjoner som er oppdaterte kontra utdaterte.

Den generelle definisjonen av "oppdatert" - Motorversjonen på enheten er den nyeste motorutgivelsen. Motoren utgis vanligvis månedlig, via Windows Update (WU)). Det er gitt en tre-dagers løpeperiode fra dagen da Windows Update (WU) slippes.

Tabellen nedenfor beskriver mulige verdier for oppdaterte rapporter for antivirusmotoren. Rapportert status er basert på siste gang rapporteringshendelsen ble mottatt (tidspunktet for signaturoppdatering). Hvis enheten ikke har kommunisert med rapporter på mer enn sju dager (signaturoppdateringstid >7 dager), merkes statusen automatisk som Ukjent / Ingen data tilgjengelig.

Tidspunkt for siste oppdatering for hendelsen (også kjent som «Oppdateringstid for signatur» i rapporter) Rapportert status:
< 7 dager (ny) uansett klientrapporter (oppdatert
Utdatert
Ukjent)
> 7 dager (gammel) Ukjent

Hvis du vil ha informasjon om administrering Microsoft Defender antivirusoppdateringsversjoner, kan du se Månedsplattform og motorversjoner.

Kort med oppdateringer for antivirusplattform

Dette kortet identifiserer enheter som har antivirusplattformversjoner som er oppdaterte kontra utdaterte.

Den generelle definisjonen av «oppdatert» er at plattformversjonen på enheten er den nyeste plattformutgivelsen. Plattformen utgis vanligvis månedlig via Windows Update (WU). Det er en tre-dagers løpeperiode fra dagen da WU slippes.

Tabellen nedenfor beskriver mulige oppdaterte rapportverdier for antivirusplattformen. Rapporterte verdier er basert på siste gang rapporteringshendelsen ble mottatt (tidspunktet for signaturoppdatering). Hvis enheten ikke har kommunisert med rapporter på mer enn sju dager (signaturoppdateringstid >7 dager), merkes statusen automatisk som Ukjent/ Ingen data tilgjengelig.

Tidspunkt for siste oppdatering for hendelsen (også kjent som «Oppdateringstid for signatur» i rapporter) Rapportert status
< 7 dager (ny) uansett klientrapporter (oppdatert
Utdatert
Ukjent)
> 7 dager (gammel) Ukjent

Hvis du vil ha informasjon om administrering Microsoft Defender antivirusoppdateringsversjoner, kan du se Månedsplattform og motorversjoner.

Kort med sikkerhetsintelligensoppdateringer

Dette kortet identifiserer enheter som har sikkerhetsintelligensversjoner som er oppdaterte kontra utdaterte.

Den generelle definisjonen av "oppdatert" er at sikkerhetsetterretningsversjonen på enheten ble skrevet de siste 7 dagene.

Tabellen nedenfor beskriver de mulige oppdaterte rapportverdiene for sikkerhetsanalyseoppdateringer . Rapporterte verdier er basert på siste gang rapporteringshendelsen ble mottatt, og publiseringstiden for sikkerhetsintelligensen. Hvis enheten ikke har kommunisert med rapporter på mer enn sju dager (signaturoppdateringstid >7 dager), merkes statusen automatisk som Ukjent/ Ingen tilgjengelige data. Ellers bestemmes avgjørelsen basert på om publiseringstiden for sikkerhetsintelligensen er innen syv dager.

Tidspunkt for siste oppdatering for hendelsen
(Også kjent som «Oppdateringstid for signatur» i rapporter)
Publiseringstidspunkt for sikkerhetsintelligens Rapportert status
>7 dager (gammel) >7 dager (gammel) Ukjent
<7 dager (ny) >7 dager (gammel) Utdatert
>7 dager (gammel) <7 dager (ny) Ukjent
<7 dager (ny) <7 dager (ny) Oppdatert

Se også

Tips

Ytelsestips På grunn av en rekke faktorer (eksempler oppført nedenfor) kan Microsoft Defender Antivirus, som andre antivirusprogrammer, forårsake ytelsesproblemer på endepunktenheter. I noen tilfeller må du kanskje justere ytelsen til Microsoft Defender Antivirus for å unngå disse ytelsesproblemene. Microsofts ytelsesanalyse er et powershell-kommandolinjeverktøy som bidrar til å avgjøre hvilke filer, filbaner, prosesser og filtyper som kan forårsake ytelsesproblemer. noen eksempler er:

  • De øverste banene som påvirker skannetiden
  • Populære filer som påvirker skannetiden
  • De viktigste prosessene som påvirker skannetiden
  • De mest populære filtypene som påvirker skannetiden
  • Kombinasjoner – for eksempel:
    • toppfiler per filtype
    • øverste baner per utvidelse
    • øverste prosesser per bane
    • toppskanninger per fil
    • toppskanninger per fil per prosess

Du kan bruke informasjonen som samles inn ved hjelp av Ytelsesanalyse, til å vurdere ytelsesproblemer bedre og bruke utbedringshandlinger. Se: Ytelsesanalyse for Microsoft Defender Antivirus.

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.