Exportar relatório de estado de funcionamento do antivírus do dispositivo

Aplica-se a:

• API do Microsoft Defender para Endpoint 1
• Microsoft Defender para Endpoint Plano 2
• Microsoft Defender XDR

Quer experimentar o Microsoft Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.

Nota

Se for um cliente do Us Government, utilize os URIs listados no Microsoft Defender para Endpoint para clientes do Us Government.

Sugestão

Para um melhor desempenho, pode utilizar o servidor mais próximo da localização geográfica:

• api-us.securitycenter.microsoft.com
• api-eu.securitycenter.microsoft.com
• api-uk.securitycenter.microsoft.com
• api-au.securitycenter.microsoft.com

Importante

Algumas informações neste artigo estão relacionadas com o produto pré-lançado que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, em relação às informações aqui fornecidas.

Esta API tem dois métodos para obter Microsoft Defender detalhes do estado de funcionamento do antivírus do dispositivo antivírus:

• Método1:1 Exportar relatórios de estado de funcionamento (resposta JSON) O método extrai todos os dados na sua organização como respostas JSON. Este método é melhor para pequenas organizações com menos de 100 K dispositivos. A resposta é paginada, pelo que pode utilizar o campo @odata.nextLink da resposta para obter os resultados seguintes.

• Método 2:2 Exportar relatórios de estado de funcionamento (através de ficheiros) Este método permite extrair grandes quantidades de dados de forma mais rápida e fiável. Por isso, é recomendado para grandes organizações, com mais de 100 K dispositivos. Esta API extrai todos os dados na sua organização como ficheiros de transferência. A resposta contém URLs para transferir todos os dados do Armazenamento do Azure. Esta API permite-lhe transferir todos os seus dados do Armazenamento do Azure da seguinte forma:

  • Chame a API para obter uma lista de URLs de transferência com todos os dados da sua organização.
  • Transfira todos os ficheiros com os URLs de transferência e processe os dados conforme quiser.

Os dados recolhidos através de "resposta JSON ou através de ficheiros" são o instantâneo atual do estado atual. Não contém dados históricos. Para recolher dados históricos, os clientes têm de guardar os dados nos seus próprios armazenamentos de dados. Veja Exportar os métodos e propriedades da API de detalhes do estado de funcionamento do dispositivo.

Importante

Atualmente, apenas a Resposta JSON do Estado de Funcionamento do Antivírus está geralmente disponível. Atualmente, a API de Estado de Funcionamento do Antivírus através de ficheiros só está disponível em pré-visualização pública.

Atualmente, a consulta personalizada de Investigação Avançada só está disponível na pré-visualização pública, mesmo que as consultas ainda estejam visíveis.

Importante

Para que Windows Server 2012 R2 e Windows Server 2016 apareçam nos relatórios de estado de funcionamento do dispositivo, estes dispositivos têm de ser integrados com o pacote de solução unificado moderno. Para obter mais informações, veja New functionality in the modern unified solution for Windows Server 2012 R2 and 2016 (Novas funcionalidades na solução unificada moderna para Windows Server 2012 R2 e 2016).

Nota

Para obter informações sobre como utilizar a ferramenta de relatórios de conformidade do estado de funcionamento e do antivírus do dispositivo no dashboard segurança do Microsoft 365, consulte: Relatório de conformidade do estado de funcionamento e do antivírus do dispositivo no Microsoft Defender para Endpoint.

1 Exportar relatórios de estado de funcionamento (resposta JSON)

1.1 Descrição do método da API

Esta API obtém uma lista de Microsoft Defender detalhes do estado de funcionamento do antivírus do dispositivo antivírus. Devolve uma tabela com uma entrada para cada combinação exclusiva de:

• DeviceId
• Nome do dispositivo
• Modo AV
• Estado atualizado
• Resultados da análise

1.1.1 Limitações

• o tamanho máximo da página é 200 000
• As limitações de taxa para esta API são 30 chamadas por minuto e 1000 chamadas por hora.

Operadores suportados pelo OData

• $filterem: machineId, , osKindcomputerDnsName, osPlatform, osVersion, avMode, avSignatureVersion, avEngineVersion, avPlatformVersion, , quickScanResult, quickScanError, fullScanResult, , fullScanError, avIsSignatureUpToDate, avIsEngineUpToDate, , , avIsPlatformUpToDaterbacGroupId
• $top com o valor máximo de 10 000.
• $skip

Importante

Tenha em atenção que rbacgroupname e ID não são operadores de filtro suportados.

1.2 Permissões

É necessária uma das seguintes permissões para chamar esta API. Para saber mais, incluindo como escolher permissões, veja Utilizar Microsoft Defender para Endpoint APIs para obter detalhes.

Tipo de permissão	Permissão	Nome a apresentar da permissão
Aplicação	Machine.Read.All	"Ler todos os perfis de máquina"
Delegado (conta escolar ou profissional)	Machine.Read	"Ler informações do computador"

1.3 URL (pedido HTTP)

URL: GET: /api/deviceavinfo

1.3.1 Cabeçalhos de pedido

Name	Tipo	Descrição
Autorização	Cadeia	Portador {token}. Obrigatório.

1.3.2 Corpo do pedido

Vazio

Resposta 1.3.3

Se for bem-sucedido, este método devolve 200 OK com uma lista de detalhes do estado de funcionamento do dispositivo.

1.4 Parâmetros

• O tamanho da página predefinido é 20
• Veja exemplos em Consultas OData com Microsoft Defender para Endpoint.

1.5 Propriedades

Veja: 1.3 Exportar as propriedades da API de detalhes do estado de funcionamento do antivírus do dispositivo (resposta JSON)

Suporta consultas OData V4.

1.6 Exemplo

Exemplo de pedido

Eis um pedido de exemplo:

GET https://api.securitycenter.microsoft.com/api/deviceavinfo

Exemplo de resposta

Eis uma resposta de exemplo:

{

    @odata.context: "https://api.securitycenter.microsoft.com/api/$metadata#DeviceAvInfo",

"value": [{

            "id": "Sample Guid",

            "machineId": "Sample Machine Guid",

            "computerDnsName": "appblockstg1",

            "osKind": "windows",

            "osPlatform": "Windows10",

            "osVersion": "10.0.19044.1865",

            "avMode": "0",

            "avSignatureVersion": "1.371.1279.0",

            "avEngineVersion": "1.1.19428.0",

            "avPlatformVersion": "4.18.2206.108",

            "lastSeenTime": "2022-08-02T19:40:45Z",

            "quickScanResult": "Completed",

            "quickScanError": "",

            "quickScanTime": "2022-08-02T18:40:15.882Z",

            "fullScanResult": "",

            "fullScanError": "",

            "fullScanTime": null,

            "dataRefreshTimestamp": "2022-08-02T21:16:23Z",

            "avEngineUpdateTime": "2022-08-02T00:03:39Z",

            "avSignatureUpdateTime": "2022-08-02T00:03:39Z",

            "avPlatformUpdateTime": "2022-06-20T16:59:35Z",

            "avIsSignatureUpToDate": "True",

            "avIsEngineUpToDate": "True",

            "avIsPlatformUpToDate": "True",

            "avSignaturePublishTime": "2022-08-02T00:03:39Z",

            "rbacGroupName": "TVM1",

            "rbacGroupId": 4415

        },

        ...

     ]

}

2 Exportar relatórios de estado de funcionamento (através de ficheiros)

Importante

As informações nesta secção estão relacionadas com o produto pré-lançado que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, em relação às informações aqui fornecidas.

Descrição do método da API 2.1

Esta resposta da API contém todos os dados do estado de funcionamento e estado do Antivírus por dispositivo. Devolve uma tabela com uma entrada para cada combinação exclusiva de:

• DeviceId
• nome do dispositivo
• Modo AV
• Estado atualizado
• Resultados da análise

2.1.2 Limitações

• O tamanho máximo da página é 200 000.
• As limitações de taxa para esta API são 30 chamadas por minuto e 1000 chamadas por hora.

2.2 Permissões

É necessária uma das seguintes permissões para chamar esta API.

Tipo de permissão	Permissão	Nome a apresentar da permissão
Aplicação	Vulnerability.Read.All	"Ler informações de vulnerabilidade "Gestão de Vulnerabilidades e Ameaças"
Delegado (conta escolar ou profissional)	Vulnerabilidade.Leitura	"Ler informações de vulnerabilidade "Gestão de Vulnerabilidades e Ameaças"

Para saber mais, incluindo como escolher permissões, veja Utilizar Microsoft Defender para Endpoint APIs para obter detalhes.

2.3 URL

GET /api/machines/InfoGatheringExport

2.4 Parâmetros

• sasValidHours: o número de horas durante as quais os URLs de transferência serão válidos (Máximo de 24 horas).

2.5 Propriedades

Veja: 1.4 Exportar propriedades da API de detalhes do estado de funcionamento do antivírus do dispositivo (através de ficheiros).

2.6 Exemplos

2.6.1 Exemplo de pedido

Eis um pedido de exemplo:

GET https://api-us.securitycenter.contoso.com/api/machines/InfoGatheringExport

2.6.2 Exemplo de resposta

Eis uma resposta de exemplo:

{

   "@odata.context": "https://api-us.securitycenter.windows.com/api/$metadata#microsoft.windowsDefenderATP.api.ExportFilesResponse",

   "exportFiles": [

       "https://tvmexportexternalprdeus.blob.core.windows.net/temp-../2022-08-02/2201/InfoGatheringExport/json/OrgId=../_RbacGroupId=../part-00055-12fc2fcd-8f56-4e09-934f-e8efe7ce74a0.c000.json.gz?sv=2020-08-04&st=2022-08-02T22%3A47%3A11Z&se=2022-08-03T01%3A47%3A11Z&sr=b&sp=r&sig=..",

       "https://tvmexportexternalprdeus.blob.core.windows.net/temp-../2022-08-02/2201/InfoGatheringExport/json/OrgId=../_RbacGroupId=../part-00055-12fc2fcd-8f56-4e09-934f-e8efe7ce74a0.c000.json.gz?sv=2020-08-04&st=2022-08-02T22%3A47%3A11Z&se=2022-08-03T01%3A47%3A11Z&sr=b&sp=r&sig=.."

   ],


   "generatedTime": "2022-08-02T22:01:00Z"


}

Sugestão

Sugestão de desempenho Devido a uma variedade de fatores (exemplos listados abaixo) Microsoft Defender o Antivírus, como outro software antivírus, pode causar problemas de desempenho em dispositivos de ponto final. Em alguns casos, poderá ter de ajustar o desempenho do Antivírus Microsoft Defender para aliviar esses problemas de desempenho. O Analisador de Desempenho da Microsoft é uma ferramenta de linha de comandos do PowerShell que ajuda a determinar que ficheiros, caminhos de ficheiros, processos e extensões de ficheiros podem estar a causar problemas de desempenho; alguns exemplos são:

• Principais caminhos que afetam o tempo de análise
• Ficheiros principais que afetam o tempo de análise
• Principais processos que afetam o tempo de análise
• Principais extensões de ficheiro que afetam o tempo de análise
• Combinações – por exemplo:
  • ficheiros principais por extensão
  • principais caminhos por extensão
  • principais processos por caminho
  • análises principais por ficheiro
  • principais análises por ficheiro por processo

Pode utilizar as informações recolhidas através do Analisador de desempenho para avaliar melhor os problemas de desempenho e aplicar ações de remediação. Veja: Analisador de desempenho do Antivírus Microsoft Defender.

Consulte também

Exportar métodos e propriedades do estado de funcionamento do dispositivo

Relatórios de estado de funcionamento e conformidade do dispositivo

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.