Udostępnij za pośrednictwem


Eksportowanie raportu kondycji programu antywirusowego urządzenia

Dotyczy:

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Uwaga

Jeśli jesteś klientem rządowym USA, użyj identyfikatorów URI wymienionych w Ochrona punktu końcowego w usłudze Microsoft Defender dla klientów rządowych USA.

Porada

Aby uzyskać lepszą wydajność, możesz użyć serwera bliżej lokalizacji geograficznej:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com

Ważna

Niektóre informacje zawarte w tym artykule odnoszą się do wersji wstępnej produktu, który może zostać znacznie zmodyfikowany do czasu wydania wersji komercyjnej. Firma Microsoft nie udziela żadnych gwarancji, wyrażonych ani dorozumianych, w odniesieniu do informacji podanych tutaj.

Ten interfejs API ma dwie metody pobierania szczegółów kondycji programu antywirusowego Microsoft Defender antywirusowego:

  • Metoda 1:1 Eksportowanie raportowania kondycji (odpowiedź JSON) Metoda pobiera wszystkie dane w organizacji jako odpowiedzi JSON. Ta metoda jest najlepsza w przypadku małych organizacji z urządzeniami o rozmiarze mniejszym niż 100 K. Odpowiedź jest podzielona na strony, więc możesz użyć pola @odata.nextLink z odpowiedzi, aby pobrać następne wyniki.

  • Metoda 2:2 Eksportowanie raportowania kondycji (za pośrednictwem plików) Ta metoda umożliwia szybsze i bardziej niezawodne ściąganie większych ilości danych. Dlatego jest to zalecane w przypadku dużych organizacji z ponad 100-K urządzeń. Ten interfejs API pobiera wszystkie dane w organizacji jako pliki do pobrania. Odpowiedź zawiera adresy URL umożliwiające pobranie wszystkich danych z usługi Azure Storage. Ten interfejs API umożliwia pobranie wszystkich danych z usługi Azure Storage w następujący sposób:

    • Wywołaj interfejs API, aby uzyskać listę adresów URL pobierania ze wszystkimi danymi organizacji.
    • Pobierz wszystkie pliki przy użyciu adresów URL pobierania i przetwórz dane zgodnie z tym, co chcesz.

Dane zbierane przy użyciu "odpowiedzi JSON lub za pośrednictwem plików" to bieżąca migawka bieżącego stanu. Nie zawiera danych historycznych. Aby zbierać dane historyczne, klienci muszą zapisywać dane we własnych magazynach danych. Zobacz Eksportowanie metod i właściwości interfejsu API szczegółów kondycji urządzenia.

Ważna

Obecnie ogólnie dostępna jest tylko odpowiedź JSON kondycji programu antywirusowego . Interfejs API kondycji programu antywirusowego za pośrednictwem plików jest obecnie dostępny tylko w publicznej wersji zapoznawczej.

Zaawansowane zapytanie niestandardowe wyszukiwania zagrożeń jest obecnie dostępne tylko w publicznej wersji zapoznawczej, nawet jeśli zapytania są nadal widoczne.

Ważna

Aby Windows Server 2012 R2 i Windows Server 2016 pojawiały się w raportach dotyczących kondycji urządzeń, te urządzenia muszą zostać dołączone przy użyciu nowoczesnego ujednoliconego pakietu rozwiązań. Aby uzyskać więcej informacji, zobacz New functionality in the modern unified solution for Windows Server 2012 R2 and 2016 (Nowe funkcje w nowoczesnym ujednoliconym rozwiązaniu dla Windows Server 2012 R2 i 2016).

Uwaga

Aby uzyskać informacje na temat korzystania z narzędzia do raportowania zgodności urządzeń i oprogramowania antywirusowego na pulpicie nawigacyjnym zabezpieczeń platformy Microsoft 365, zobacz: Raport zgodności kondycji urządzenia i oprogramowania antywirusowego w Ochrona punktu końcowego w usłudze Microsoft Defender.

1 Eksportowanie raportowania kondycji (odpowiedź JSON)

Opis metody interfejsu API 1.1

Ten interfejs API pobiera listę szczegółów kondycji programu antywirusowego Microsoft Defender antywirusowego. Zwraca tabelę z wpisem dla każdej unikatowej kombinacji:

  • Deviceid
  • Nazwa urządzenia
  • Tryb AV
  • Aktualny stan
  • Skanuj wyniki

1.1.1 Ograniczenia

  • maksymalny rozmiar strony to 200 000
  • Ograniczenia szybkości dla tego interfejsu API to 30 wywołań na minutę i 1000 wywołań na godzinę.

Obsługiwane operatory OData

  • $filteron: machineId, , computerDnsName, osPlatformosKind, osVersion, avMode, avSignatureVersion, avEngineVersion, , avPlatformVersion, quickScanResult, quickScanError, , fullScanResult, fullScanError, avIsSignatureUpToDate, , avIsEngineUpToDateavIsPlatformUpToDaterbacGroupId
  • $top z maksymalną wartością 10 000.
  • $skip

Ważna

Należy pamiętać, że rbacgroupname i Id nie są obsługiwane operatory filtrów.

1.2 Uprawnienia

Do wywołania tego interfejsu API jest wymagane jedno z następujących uprawnień. Aby dowiedzieć się więcej, w tym jak wybrać uprawnienia, zobacz Używanie interfejsów API Ochrona punktu końcowego w usłudze Microsoft Defender, aby uzyskać szczegółowe informacje.

Typ uprawnień Uprawnienie Nazwa wyświetlana uprawnień
Aplikacja Machine.Read.All "Odczyt wszystkich profilów maszyny"
Delegowane (konto służbowe) Machine.Read "Odczytywanie informacji o maszynie"

Adres URL 1.3 (żądanie HTTP)

URL: GET: /api/deviceavinfo

1.3.1 Nagłówki żądań

Name (Nazwa) Wpisać Opis
Autoryzacji Ciąg Element nośny {token}. Wymagane.

1.3.2 Treść żądania

Pusty

Odpowiedź 1.3.3

W przypadku powodzenia ta metoda zwraca wartość 200 OK z listą szczegółów kondycji urządzenia.

Parametry 1.4

1.5 Właściwości

Zobacz: 1.3 Eksportowanie właściwości interfejsu API szczegółów kondycji programu antywirusowego urządzenia (odpowiedź JSON)

Obsługuje zapytania OData V4.

Przykład 1.6

Przykład żądania

Oto przykładowe żądanie:

GET https://api.securitycenter.microsoft.com/api/deviceavinfo

Przykład odpowiedzi

Oto przykładowa odpowiedź:

{

    @odata.context: "https://api.securitycenter.microsoft.com/api/$metadata#DeviceAvInfo",

"value": [{

            "id": "Sample Guid",

            "machineId": "Sample Machine Guid",

            "computerDnsName": "appblockstg1",

            "osKind": "windows",

            "osPlatform": "Windows10",

            "osVersion": "10.0.19044.1865",

            "avMode": "0",

            "avSignatureVersion": "1.371.1279.0",

            "avEngineVersion": "1.1.19428.0",

            "avPlatformVersion": "4.18.2206.108",

            "lastSeenTime": "2022-08-02T19:40:45Z",

            "quickScanResult": "Completed",

            "quickScanError": "",

            "quickScanTime": "2022-08-02T18:40:15.882Z",

            "fullScanResult": "",

            "fullScanError": "",

            "fullScanTime": null,

            "dataRefreshTimestamp": "2022-08-02T21:16:23Z",

            "avEngineUpdateTime": "2022-08-02T00:03:39Z",

            "avSignatureUpdateTime": "2022-08-02T00:03:39Z",

            "avPlatformUpdateTime": "2022-06-20T16:59:35Z",

            "avIsSignatureUpToDate": "True",

            "avIsEngineUpToDate": "True",

            "avIsPlatformUpToDate": "True",

            "avSignaturePublishTime": "2022-08-02T00:03:39Z",

            "rbacGroupName": "TVM1",

            "rbacGroupId": 4415

        },

        ...

     ]

}

2 Eksportowanie raportowania kondycji (za pośrednictwem plików)

Ważna

Informacje w tej sekcji dotyczą wstępnie wydanego produktu, który może zostać znacząco zmodyfikowany przed jego komercyjną premierą. Firma Microsoft nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, w odniesieniu do podanych tutaj informacji.

Opis metody interfejsu API w wersji 2.1

Ta odpowiedź interfejsu API zawiera wszystkie dane dotyczące kondycji i stanu programu antywirusowego na urządzenie. Zwraca tabelę z wpisem dla każdej unikatowej kombinacji:

  • Deviceid
  • nazwa urządzenia
  • Tryb AV
  • Aktualny stan
  • Skanuj wyniki

2.1.2 Ograniczenia

  • Maksymalny rozmiar strony to 200 000.
  • Ograniczenia szybkości dla tego interfejsu API to 30 wywołań na minutę i 1000 wywołań na godzinę.

2.2 Uprawnienia

Do wywołania tego interfejsu API jest wymagane jedno z następujących uprawnień.

Typ uprawnień Uprawnienie Nazwa wyświetlana uprawnień
Aplikacja Vulnerability.Read.All "Przeczytaj informacje o lukach w zabezpieczeniach "Zarządzanie zagrożeniami i lukami"
Delegowane (konto służbowe) Luka w zabezpieczeniach.Odczyt "Przeczytaj informacje o lukach w zabezpieczeniach "Zarządzanie zagrożeniami i lukami"

Aby dowiedzieć się więcej, w tym jak wybrać uprawnienia, zobacz Używanie interfejsów API Ochrona punktu końcowego w usłudze Microsoft Defender, aby uzyskać szczegółowe informacje.

Adres URL 2.3

GET /api/machines/InfoGatheringExport

Parametry 2.4

  • sasValidHours: liczba godzin, przez które adresy URL pobierania będą prawidłowe (maksymalnie 24 godziny).

2.5 Właściwości

Zobacz: 1.4 Eksportowanie właściwości interfejsu API szczegółów kondycji programu antywirusowego urządzenia (za pośrednictwem plików).

2.6 Przykłady

2.6.1 Przykład żądania

Oto przykładowe żądanie:

GET https://api-us.securitycenter.contoso.com/api/machines/InfoGatheringExport

Przykład odpowiedzi 2.6.2

Oto przykładowa odpowiedź:

{

   "@odata.context": "https://api-us.securitycenter.windows.com/api/$metadata#microsoft.windowsDefenderATP.api.ExportFilesResponse",

   "exportFiles": [

       "https://tvmexportexternalprdeus.blob.core.windows.net/temp-../2022-08-02/2201/InfoGatheringExport/json/OrgId=../_RbacGroupId=../part-00055-12fc2fcd-8f56-4e09-934f-e8efe7ce74a0.c000.json.gz?sv=2020-08-04&st=2022-08-02T22%3A47%3A11Z&se=2022-08-03T01%3A47%3A11Z&sr=b&sp=r&sig=..",

       "https://tvmexportexternalprdeus.blob.core.windows.net/temp-../2022-08-02/2201/InfoGatheringExport/json/OrgId=../_RbacGroupId=../part-00055-12fc2fcd-8f56-4e09-934f-e8efe7ce74a0.c000.json.gz?sv=2020-08-04&st=2022-08-02T22%3A47%3A11Z&se=2022-08-03T01%3A47%3A11Z&sr=b&sp=r&sig=.."

   ],


   "generatedTime": "2022-08-02T22:01:00Z"


}

Porada

Porada dotycząca wydajności Ze względu na różne czynniki (przykłady wymienione poniżej) Microsoft Defender Program antywirusowy, podobnie jak inne oprogramowanie antywirusowe, może powodować problemy z wydajnością na urządzeniach punktu końcowego. W niektórych przypadkach może być konieczne dostosowanie wydajności programu antywirusowego Microsoft Defender w celu złagodzenia tych problemów z wydajnością. Analizator wydajności firmy Microsoft to narzędzie wiersza polecenia programu PowerShell, które pomaga określić, które pliki, ścieżki plików, procesy i rozszerzenia plików mogą powodować problemy z wydajnością; Oto kilka przykładów:

  • Najważniejsze ścieżki wpływające na czas skanowania
  • Najważniejsze pliki, które mają wpływ na czas skanowania
  • Najważniejsze procesy wpływające na czas skanowania
  • Najważniejsze rozszerzenia plików, które mają wpływ na czas skanowania
  • Kombinacje — na przykład:
    • najważniejsze pliki na rozszerzenie
    • górne ścieżki na rozszerzenie
    • najważniejsze procesy na ścieżkę
    • najczęściej skanuje na plik
    • najczęściej skanuje na plik na proces

Informacje zebrane przy użyciu analizatora wydajności umożliwiają lepszą ocenę problemów z wydajnością i stosowanie akcji korygowania. Zobacz: Analizator wydajności dla programu antywirusowego Microsoft Defender.

Zobacz też

Eksportowanie metod i właściwości kondycji urządzenia

Raportowanie kondycji i zgodności urządzeń

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.