Integridade do dispositivo, Microsoft Defender relatório de integridade antivírus
Aplica-se a:
- Microsoft Defender XDR
- Microsoft Defender para Ponto de Extremidade
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Plano 2 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender para Empresas
Deseja experimentar o Microsoft Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.
O relatório Integridade do Dispositivo fornece informações sobre os dispositivos em sua organização. O relatório inclui informações de tendência mostrando as versões do mecanismo antivírus status e Microsoft Defender Antivírus, inteligência e plataforma.
Importante
Para que os dispositivos apareçam em Microsoft Defender relatórios de integridade do dispositivo Antivírus, eles devem atender aos seguintes pré-requisitos:
- O dispositivo está integrado ao Microsoft Defender para Ponto de Extremidade
- SISTEMA OPERACIONAL: Windows 10, Windows 11, Windows Server 2012 R2/, 2016 R2/ 2019/2022 (não MMA), MacOS, Linux
- Sentido (MsSense.exe): 10.8210. *+. Consulte Seção Pré-requisitos para obter detalhes relacionados.
Para que Windows Server 2012 R2 e Windows Server 2016 apareçam em relatórios de integridade do dispositivo, esses dispositivos devem ser integrados usando o pacote de solução unificada moderno. Para obter mais informações, confira Nova funcionalidade na solução unificada moderna para Windows Server 2012 R2 e 2016.
No painel de navegação dashboard segurança do Microsoft 365, selecione Relatórios e abra a integridade e a conformidade do dispositivo. A guia de integridade antivírus Microsoft Defender tem oito cartões que relatam os seguintes aspectos do Microsoft Defender Antivírus:
- Modo antivírus cartão
- Versão do mecanismo antivírus cartão
- Cartão de versão de inteligência de segurança antivírus
- Versão da plataforma antivírus cartão
- Resultados recentes da verificação de antivírus cartão
- Atualizações do mecanismo antivírus cartão
- Atualizações de inteligência de segurança cartão
- Atualizações da plataforma antivírus cartão
Permissões de acesso de relatório
Para acessar o relatório de conformidade de integridade do dispositivo e antivírus no microsoft 365 Security dashboard, as seguintes permissões são necessárias:
| Nome da permissão | Tipo de permissão |
|---|---|
| Exibir dados | Gerenciamento de ameaças e vulnerabilidades (TVM) |
Para atribuir essas permissões:
- Entre em Microsoft Defender XDR usando a conta com o administrador de segurança ou Administrador global função atribuída.
- No painel de navegação, selecione Configurações>Funçõesde Pontos de> Extremidade (em Permissões).
- Selecione a função que você gostaria de editar.
- Selecione Editar.
- Na função Editar, na guia Geral , em Nome da Função, digite um nome para a função.
- Em Descrição digite um breve resumo da função.
- Em Permissões, selecione Exibir Dados e, em Exibir Dados , selecione Gerenciamento de ameaças e vulnerabilidades (TVM).
Para obter mais informações sobre o gerenciamento de função de usuário, consulte Create e gerenciar funções para controle de acesso baseado em função.
Microsoft Defender guia de integridade antivírus
A guia Microsoft Defender integridade antivírus contém oito cartões que relatam vários aspectos do Antivírus Microsoft Defender em sua organização:
Dois cartões, cartão de modo antivírus e resultados recentes de verificação antivírus cartão, relatam Microsoft Defender funções antivírus.
Os seis cartões restantes relatam o status antivírus Microsoft Defender para dispositivos em sua organização:
| cartões de versão : | atualizar cartões{1} |
|---|---|
| Versão do mecanismo antivírus cartão Cartão de versão de inteligência de segurança antivírus Versão da plataforma antivírus cartão |
Atualizações do mecanismo antivírus cartão Atualizações de inteligência de segurança cartão Atualizações da plataforma antivírus cartão |
| Os três cartões de versão fornecem relatórios de sobrevoo que fornecem informações adicionais e permitem uma exploração adicional. | Os três cartões de relatórios atualizados fornecem links para recursos para saber mais. |
{1} Para os três cartões de atualizações (também conhecidos como cartões de relatório atualizados), "Nenhum dado disponível" (ou valor "Desconhecido") indica dispositivos que não estão relatando atualização status. Dispositivos que não estão relatando a atualização status podem ser devido a vários motivos, como:
- O computador está desconectado da rede.
- O computador está desligado ou em estado de hibernação.
- Microsoft Defender Antivírus está desabilitado.
- O dispositivo é um dispositivo que não é Windows (Mac ou Linux).
- A proteção de nuvem não está habilitada.
- O dispositivo não atende aos pré-requisitos para o mecanismo antivírus ou a versão da plataforma.
Pré-requisitos
Relatórios atualizados geram informações para dispositivos que atendem aos seguintes critérios:
Versão do mecanismo: 1.1.19300.2+
Versão da plataforma: 4.18.2202.1+
Proteção na nuvem habilitada
Sentido (MsSense.exe): 10.8210. *+
Sistema operacional Windows – Windows 10 1809 ou posterior
Observação
* Atualmente, os relatórios atualizados só estão disponíveis para dispositivos Windows. Dispositivos entre plataformas, como Mac e Linux, estão listados em "Sem dados disponíveis"/Desconhecido.
Funcionalidade de cartão
A funcionalidade é essencialmente a mesma para todos os cartões. Ao clicar em uma barra numerada em qualquer um dos cartões, o flyout de detalhes do Microsoft Defender Antivírus é aberto permitindo que você examine informações sobre todos os dispositivos configurados com o número de versão de um aspecto nesse cartão.
Se o número de versão que você clicou for:
- Uma versão atual, em seguida , Correção necessária e Recomendação de segurança não estão presentes.
- Uma versão desatualizada, uma notificação na parte superior do relatório está presente, indicando a correção necessária e um link de recomendação de segurança está presente. Selecione o link de recomendação de segurança para navegar até o console Gerenciamento de Ameaças e Vulnerabilidades, que pode recomendar atualizações antivírus apropriadas.
Para adicionar ou remover tipos específicos de informações no flyout de detalhes do Microsoft Defender Antivírus, selecione Personalizar Colunas. Em Personalizar Colunas, selecione ou desmarque itens para especificar o que você deseja incluir no relatório de detalhes do Microsoft Defender Antivírus.
Novas definições de filtro antivírus Microsoft Defender
A tabela a seguir contém uma lista de termos que são novos para Microsoft Defender relatórios antivírus.
| Nome da coluna | Descrição |
|---|---|
| Tempo de publicação da inteligência de segurança | Indica a data de lançamento da Microsoft da versão de atualização de inteligência de segurança no dispositivo. Dispositivos com um tempo de publicação de inteligência de segurança superior a sete dias são considerados desatualizados nos relatórios. |
| Visto pela última vez | Indica a data em que o dispositivo teve conexão pela última vez. |
| Carimbo de data/hora de atualização de dados | Indica quando os eventos do cliente foram recebidos pela última vez para relatórios sobre: modo AV, versão do mecanismo AV, versão da plataforma AV, versão de inteligência de segurança do AV e informações de verificação. |
| Hora da atualização da assinatura | Indica quando os eventos do cliente foram recebidos pela última vez para relatórios sobre mecanismo, plataforma e assinatura atualizados status. |
No flyout: clicar no nome do dispositivo redirecionará você para a "página dispositivo" para esse dispositivo, onde você pode acessar relatórios detalhados.
Exportar relatório
Há dois níveis de relatórios que você pode exportar:
Exportação de nível superior
Há duas funcionalidades de csv de exportação diferentes por meio do portal:
- Exportação de nível superior. Você pode usar o botão Exportar de nível superior para reunir um relatório de integridade Microsoft Defender Antivírus (limite de 500 K).
- Exportação em nível de flyout. Você pode usar o botão Exportar dentro dos flyouts para exportar um relatório para uma planilha do Excel (limite de 100 K).
Relatórios exportados capturam informações com base no ponto de entrada no relatório de detalhes e quais filtros ou colunas personalizadas você definiu.
Para obter informações sobre como exportar usando a API, confira os seguintes artigos:
- Exportar relatório de integridade do antivírus do dispositivo
- Exportar propriedades e métodos de API de detalhes de integridade do dispositivo
Importante
Atualmente, apenas a Resposta JSON de Integridade Antivírus está disponível em geral. A API de Integridade antivírus por meio de arquivos só está disponível em versão prévia pública.
Atualmente, a consulta personalizada de Caça Avançada só está disponível em versão prévia pública, mesmo que as consultas estejam visíveis.
Microsoft Defender funcionalidade de cartões de atualização e versão do Antivírus
Veja a seguir as descrições dos seis cartões que relatam sobre a versão e atualizam informações para Microsoft Defender mecanismo antivírus, inteligência de segurança e componentes da plataforma:
Relatório completo
Em qualquer um dos três cartões de versão, selecione Exibir relatório completo para exibir os nove relatórios de versão mais recentes Microsoft Defender Antivírus para cada um dos três tipos de dispositivo: Windows, Mac e Linux; se menos de nove existirem, todos eles serão mostrados. Uma outra categoria captura versões recentes do mecanismo antivírus no décimo e abaixo, se detectadas.
Um dos principais benefícios dos três cartões de versão é que eles fornecem indicadores rápidos sobre se as versões mais atuais dos mecanismos antivírus, plataformas e inteligência de segurança estão sendo utilizadas. Juntamente com as informações detalhadas vinculadas ao cartão, os cartões de versões se tornam uma ferramenta poderosa para marcar se as versões estiverem atualizadas e coletar informações sobre computadores individuais ou grupos de computadores. Idealmente, quando você executar esses relatórios, eles indicarão que as versões antivírus mais atuais estão instaladas, em vez de versões mais antigas. Use esses relatórios para determinar se sua organização está aproveitando ao máximo as versões mais atuais.
Para ajudar a garantir que sua solução anti-malware detecte as ameaças mais recentes, obtenha atualizações automaticamente como parte do Windows Update.
Para obter mais detalhes sobre as versões atuais e como atualizar os diferentes componentes Microsoft Defender Antivírus, visite Microsoft Defender suporte à plataforma Antivírus.
Descrições de cartão
A seguir estão breves resumos das informações coletadas relatadas em cada um dos cartões de versão do Antivírus :
Modo antivírus cartão
Relatórios sobre quantos dispositivos em sua organização – na data indicada no cartão – estão em qualquer um dos seguintes modos Microsoft Defender Antivírus:
| valor | Modo |
|---|---|
| 0 | Ativo |
| 1 | Passiva |
| 2 | Desabilitado (desinstalado, desabilitado ou SideBySidePassive {também conhecido como Verificação Periódica Baixa}) |
| 3 | Outros (Não em execução, Desconhecido) |
| 4 | EDRBlocked |
A seguir estão as descrições de cada modo:
- Modo ativo – No modo ativo, Microsoft Defender Antivírus é usado como o aplicativo antivírus primário no dispositivo. Os arquivos são verificados, as ameaças são corrigidas e as ameaças detectadas são listadas nos relatórios de segurança da sua organização e no seu aplicativo de Segurança do Windows.
- Modo passivo – No modo passivo, Microsoft Defender Antivírus não é usado como o aplicativo antivírus primário no dispositivo. Os arquivos são verificados e as ameaças detectadas são relatadas, mas as ameaças não são corrigidas pelo Microsoft Defender Antivírus. importante: o Microsoft Defender Antivírus pode ser executado no modo passivo somente em pontos de extremidade integrados ao Microsoft Defender para Ponto de Extremidade. Consulte Requisitos para a execução do Microsoft Defender Antivírus no modo passivo.
- Modo desabilitado – sinônimo de: desinstalado, desabilitado, sideBySidePassive e Verificação Periódica Baixa. Quando desabilitado, Microsoft Defender Antivírus não é usado. Os arquivos não são verificados e as ameaças não são corrigidas. Em geral, a Microsoft não recomenda desabilitar ou desinstalar Microsoft Defender Antivírus.
- Modo Outros – Não em execução, Desconhecido
- EDR no modo Bloquear – No modo bloqueado de detecção e resposta do ponto de extremidade (EDR). Consulte Detecção e resposta do ponto de extremidade no modo de bloco
Os dispositivos que estão em passivo, LPS ou Off apresentam um risco potencial de segurança e devem ser investigados.
Para obter detalhes sobre LPS, consulte Usar verificação periódica limitada no Microsoft Defender Antivírus.
Resultados recentes da verificação de antivírus cartão
Este cartão tem dois grafos de barras mostrando resultados completos para verificações rápidas e verificações completas. Em ambos os grafos, a primeira barra indica a taxa de conclusão para verificações e indica Concluído, Cancelado ou Com Falha. A segunda barra em cada seção fornece os códigos de erro para verificações com falha. Ao examinar as colunas De modo e resultados de verificação recentes , você pode identificar rapidamente dispositivos que não estão no modo de verificação antivírus ativo e dispositivos que falharam ou cancelaram verificações recentes de antivírus. Você pode retornar ao relatório com essas informações e coletar mais detalhes e recomendações de segurança. Se algum código de erro for relatado neste cartão, haverá um link para saber mais sobre códigos de erro.
Para obter mais detalhes sobre as versões atuais Microsoft Defender Antivírus e como atualizar os diferentes componentes Microsoft Defender Antivírus, visite Gerenciar Microsoft Defender atualizações antivírus e aplique linhas de base.
Versão do mecanismo antivírus cartão
Mostra os resultados em tempo real das versões mais atuais do mecanismo Microsoft Defender Antivírus instaladas em dispositivos Windows, dispositivos Mac e dispositivos Linux em sua organização. Microsoft Defender mecanismo Antivírus é atualizado mensalmente. Para obter mais informações sobre as versões atuais e como atualizar os diferentes componentes Microsoft Defender Antivírus, consulte Microsoft Defender suporte à plataforma Antivírus.
Cartão de versão de inteligência de segurança antivírus
Listas as versões mais comuns Microsoft Defender inteligência de segurança antivírus instaladas em dispositivos em sua rede. A Microsoft atualiza continuamente Microsoft Defender inteligência de segurança para lidar com as ameaças mais recentes e para refinar a lógica de detecção. Esses refinamentos à inteligência de segurança aprimoram a capacidade de Microsoft Defender Antivírus" (e outras soluções anti-malware da Microsoft) para identificar com precisão possíveis ameaças. Essa inteligência de segurança funciona diretamente com proteção baseada em nuvem para fornecer proteção de próxima geração aprimorada por IA que é rápida e poderosa.
Versão da plataforma antivírus cartão
Mostra os resultados em tempo real das versões mais atuais da plataforma antivírus Microsoft Defender instaladas em versões de dispositivos Windows, Mac e Linux em sua organização. Microsoft Defender plataforma Antivírus é atualizada mensalmente. Para obter mais informações sobre as versões atuais e como atualizar os diferentes componentes Microsoft Defender Antivírus, consulte Microsoft Defender suporte à plataforma Antivírus
Cartões atualizados
Os cartões atualizados mostram as versões atualizadas do status para o mecanismo Antivírus, a plataforma Antivírus e a atualização de inteligência de segurança. Há três estados possíveis: atualizados ('True'), desatualizados ('False') e sem dados disponíveis ('Desconhecido').
Importante
A lógica usada para fazer determinações atualizadas foi recentemente aprimorada e simplificada. O novo comportamento está documentado nesta seção.
As definições para atualizado, desatualizado e sem dados disponíveis são fornecidas para cada cartão abaixo.
Microsoft Defender Antivírus usa os critérios adicionais de "Hora de atualização de assinatura" (a última vez que o dispositivo se comunicava com relatórios atualizados) para compor relatórios atualizados e determinações para atualizações de mecanismo, plataforma e inteligência de segurança.
O status atualizado será marcado automaticamente como "desconhecido" ou "sem dados disponíveis" se o dispositivo não tiver se comunicado com relatórios por mais de sete dias (hora >de atualização da assinatura 7).
Para obter mais informações sobre os termos mencionados acima, consulte a seção: Novas definições de filtro antivírus Microsoft Defender
Observação
Pré-requisitos de relatórios atualizados
Relatórios atualizados geram informações para dispositivos que atendem aos seguintes critérios:
- Versão do mecanismo: 1.1.19300.2+
- Versão da plataforma: 4.18.2202.1+
- Proteção na nuvem habilitada
- Sistema operacional Windows*
*Atualmente, os relatórios atualizados só estão disponíveis para dispositivos Windows. Dispositivos entre plataformas, como Mac e Linux, estão listados em "sem dados disponíveis"
Definições atualizadas
A seguir estão definições atualizadas para o mecanismo e a plataforma:
| O mecanismo/plataforma no dispositivo é considerado: | Situação |
|---|---|
| Atualizado | Se o dispositivo se comunicou com o evento de relatório do Defender ('Tempo de atualização de assinatura') nos últimos sete dias, e a versão de build do Mecanismo ou plataforma for maior ou igual a (>=) a versão de versão mensal mais recente. |
| desatualizado | Se o dispositivo se comunicou com o evento de relatório do Defender ('Tempo de atualização de assinatura') nos últimos sete dias, mas a versão de build do Mecanismo ou plataforma é menor que (<) a versão de versão mensal mais recente. |
| desconhecido (sem dados disponíveis) | Se o dispositivo não tiver se comunicado com o evento de relatório ('Tempo de atualização de assinatura') por mais de sete dias. |
A seguir estão as definições para inteligência de segurança atualizada:
| A atualização de inteligência de segurança é considerada: | Situação |
|---|---|
| Atualizado | Se a versão de inteligência de segurança no dispositivo foi escrita nos últimos sete dias e o dispositivo se comunicou com o evento de relatório nos últimos sete dias. |
Para saber mais, veja:
- Atualizações do mecanismo antivírus cartão
- Atualizações de inteligência de segurança cartão
- Atualizações da plataforma antivírus cartão
Atualizações do mecanismo antivírus cartão
Esse cartão identifica dispositivos com versões do mecanismo antivírus atualizadas versus desatualizadas.
A definição geral de "atualizado" – A versão do mecanismo no dispositivo é a versão mais recente do mecanismo. O mecanismo normalmente é lançado mensalmente, por meio de Windows Update (WU)). Há um período de carência de três dias dado a partir do dia em que Windows Update (WU) é lançado.
A tabela a seguir define os valores possíveis para relatórios atualizados para o Mecanismo antivírus. O Status relatado é baseado na última vez que o evento de relatório foi recebido (hora da atualização da assinatura). Se o dispositivo não tiver se comunicado com relatórios por mais de sete dias (tempo >de atualização de assinatura 7 dias), o status será automaticamente marcado como 'Desconhecido' / 'Sem Dados Disponíveis'.
| A última hora de atualização do evento (também conhecida como "Hora de Atualização de Assinatura" em relatórios) | Status relatado: |
|---|---|
| < 7 dias (novo) | quaisquer relatórios de cliente (atualizados Desatualizado Desconhecido) |
| > 7 dias (antiga) | Unknown |
Para obter informações sobre Gerenciar Microsoft Defender versões de atualização do Antivírus, consulte Versões mensais de plataforma e mecanismo.
Atualizações da plataforma antivírus cartão
Esse cartão identifica dispositivos com versões da plataforma Antivírus atualizadas versus desatualizadas.
A definição geral de "atualizado" é que a versão da plataforma no dispositivo é a versão mais recente da plataforma. Normalmente, a plataforma é lançada mensalmente por meio de Windows Update (WU). Há um período de carência de três dias a partir do dia em que WU é lançado.
A tabela a seguir define os possíveis valores de relatório atualizados para a Plataforma Antivírus. Os valores relatados são baseados na última vez que o evento de relatório foi recebido (hora da atualização da assinatura). Se o dispositivo não tiver se comunicado com relatórios por mais de sete dias (tempo >de atualização de assinatura 7 dias), o status será automaticamente marcado como 'Desconhecido'/ 'Sem Dados Disponíveis'.
| A última hora de atualização do evento (também conhecida como "Hora de Atualização de Assinatura" em relatórios) | Status relatado |
|---|---|
| < 7 dias (novo) | quaisquer relatórios de cliente (atualizados Desatualizado Desconhecido) |
| > 7 dias (antiga) | Unknown |
Para obter informações sobre Gerenciar Microsoft Defender versões de atualização do Antivírus, consulte Versões mensais de plataforma e mecanismo.
Atualizações de inteligência de segurança cartão
Esse cartão identifica dispositivos com versões de inteligência de segurança atualizadas versus desatualizadas.
A definição geral de "atualizado" é que a versão de inteligência de segurança no dispositivo foi escrita nos últimos 7 dias.
A tabela a seguir define os possíveis valores de relatório atualizados para atualizações do Security Intelligence . Os valores relatados são baseados na última vez que o evento de relatório foi recebido e na hora da publicação da inteligência de segurança. Se o dispositivo não tiver se comunicado com relatórios por mais de sete dias (tempo >de atualização de assinatura 7 dias), o status será automaticamente marcado como "Desconhecido/ Sem Dados Disponíveis". Caso contrário, a determinação é feita com base em se o tempo de publicação da inteligência de segurança é dentro de sete dias.
| Última atualização do evento (Também conhecido como "Hora de Atualização de Assinatura" em relatórios) |
Tempo de publicação da Inteligência de Segurança | Status relatado |
|---|---|---|
| >7 dias (antiga) | >7 dias (antiga) | Unknown |
| <7 dias (novo) | >7 dias (antiga) | Desatualizado |
| >7 dias (antiga) | <7 dias (novo) | Unknown |
| <7 dias (novo) | <7 dias (novo) | Atualizado |
Confira também
Dica
Dica de desempenho Devido a uma variedade de fatores (exemplos listados abaixo) Microsoft Defender Antivírus, como outros softwares antivírus, podem causar problemas de desempenho em dispositivos de ponto de extremidade. Em alguns casos, talvez seja necessário ajustar o desempenho de Microsoft Defender Antivírus para aliviar esses problemas de desempenho. O analisador de desempenho da Microsoft é uma ferramenta de linha de comando do PowerShell que ajuda a determinar quais arquivos, caminhos de arquivo, processos e extensões de arquivo podem estar causando problemas de desempenho; alguns exemplos são:
- Principais caminhos que afetam o tempo de verificação
- Principais arquivos que afetam o tempo de verificação
- Principais processos que afetam o tempo de verificação
- Principais extensões de arquivo que afetam o tempo de verificação
- Combinações – por exemplo:
- arquivos superiores por extensão
- caminhos superiores por extensão
- principais processos por caminho
- verificações superiores por arquivo
- verificações superiores por arquivo por processo
Você pode usar as informações coletadas usando o analisador de desempenho para avaliar melhor os problemas de desempenho e aplicar ações de correção. Consulte: Analisador de desempenho para Microsoft Defender Antivírus.
- Exportar propriedades e métodos de API de detalhes de integridade do dispositivo
- Exportar relatório de integridade do antivírus do dispositivo
- Relatório de proteção contra ameaças
Dica
Para obter informações relacionadas a antivírus para outras plataformas, consulte:
- Definir preferências para o Microsoft Defender para Ponto de Extremidade no macOS
- Microsoft Defender para Ponto de Extremidade no Mac
- Configurações de política de antivírus do macOS para o Microsoft Defender Antivírus para Intune
- Definir preferências para o Microsoft Defender para Ponto de Extremidade no Linux
- Microsoft Defender para Ponto de Extremidade para Linux
- Configurar o Defender para o Ponto de extremidade nos recursos do Android
- Configurar os recursos do Microsoft Defender para Ponto de Extremidade no iOS
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de