Поделиться через

Работоспособности устройств, Microsoft Defender отчет о работоспособности антивирусной программы

  • Статья

Область применения:

Хотите попробовать Microsoft Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Отчет о работоспособности устройств содержит сведения об устройствах в вашей организации. Отчет содержит сведения о состоянии антивирусной программы и Microsoft Defender версии антивирусной программы, аналитики и платформы.

Важно!

Чтобы устройства отображались в Microsoft Defender отчетах о работоспособности антивирусных устройств, они должны соответствовать следующим предварительным требованиям:

  • Устройство подключено к Microsoft Defender для конечной точки
  • ОС: Windows 10, Windows 11, Windows Server 2012 R2/, 2016 R2/ 2019/2022 (не MMA), MacOS, Linux
  • Sense (MsSense.exe): 10.8210. *+. Дополнительные сведения см. в разделе Предварительные требования .

Чтобы Windows Server 2012 R2 и Windows Server 2016 отображались в отчетах о работоспособности устройств, эти устройства должны быть подключены с помощью современного унифицированного пакета решения. Дополнительные сведения см. в статье Новые функции в современном унифицированном решении для Windows Server 2012 R2 и 2016.

На портале Microsoft Defender в области навигации выберите Отчеты, а затем откройте раздел Работоспособности и соответствия устройств. Вкладка работоспособности антивирусной программы Microsoft Defender содержит восемь карточек, которые сообщают о следующих аспектах антивирусной программы Microsoft Defender:

Разрешения на доступ к отчетам

Для доступа к отчету о работоспособности устройств и соответствии антивирусной программы на портале Microsoft Defender требуются следующие разрешения:

Имя разрешения Тип разрешения
Просмотр данных Управление угрозами и уязвимостями (TVM)

Важно!

Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Это помогает повысить безопасность вашей организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.

Чтобы назначить эти разрешения, выполните следующие действия:

  1. Войдите на портал Microsoft Defender, используя учетную запись администратора безопасности или глобальный администратор назначенную роль.

  2. В области навигации выберите Параметры>Роли конечных> точек разделе Разрешения).

  3. Выберите роль, которую вы хотите изменить.

  4. Нажмите Изменить.

  5. В разделе Изменение роли на вкладке Общие в поле Имя роли введите имя роли.

  6. В поле Описание введите краткую сводку по роли.

  7. В разделе Разрешения выберите Просмотр данных и в разделе Просмотр данных выберите Управление угрозами и уязвимостями (TVM).

Дополнительные сведения об управлении ролями пользователей см. в статье Создание ролей и управление ими для управления доступом на основе ролей.

вкладка "Работоспособности антивирусной программы" Microsoft Defender

Вкладка работоспособности антивирусной программы Microsoft Defender содержит восемь карточек, которые сообщают о нескольких аспектах Microsoft Defender антивирусной программы в вашей организации:

Две карточки, антивирусная карта и последние результаты антивирусной проверки карта, сообщают о Microsoft Defender антивирусных функциях.

Оставшиеся шесть карточек сообщают о состоянии антивирусной программы Microsoft Defender для устройств в вашей организации:

version карты: update карточки{1}
карта версии антивирусного ядра
Карта версии аналитики безопасности антивирусной программы
карта версии антивирусной платформы		 Обновления антивирусного ядра карта
Обновления аналитики безопасности карта
Обновления антивирусной платформы карта
Три карточки версий предоставляют всплывающие отчеты, которые предоставляют дополнительные сведения и обеспечивают дальнейшее изучение. В трех актуальных карточках отчетов содержатся ссылки на ресурсы, чтобы узнать больше.

{1} Для трех updates карточек (также известных как актуальные карточки отчетов) значение "Нет доступных данных" (или "Неизвестно") указывает на устройства, которые не сообщают о состоянии обновления. Устройства, которые не сообщают о состоянии обновления, могут быть вызваны различными причинами, например:

  • Компьютер отключен от сети.
  • Компьютер выключен или находится в режиме гибернации.
  • Microsoft Defender антивирусная программа отключена.
  • Устройство не является устройством Windows (Mac или Linux).
  • Защита облака не включена.
  • Устройство не соответствует предварительным требованиям для антивирусного ядра или версии платформы.

Предварительные условия

Актуальные отчеты создают сведения для устройств, соответствующих следующим критериям:

  • Версия обработчика: 1.1.19300.2+

  • Версия платформы: 4.18.2202.1+

  • Облачная защита включена

  • Смысл (MsSense.exe): 10,8210. *+

  • ОС Windows — Windows 10 1809 или более поздней версии

    Примечание.

    * В настоящее время актуальные отчеты доступны только для устройств Windows. Кроссплатформенные устройства, такие как Mac и Linux, перечислены в разделе "Нет доступных данных"/Неизвестно.

Отображает вкладку работоспособности антивирусной программы Microsoft Defender.

Функциональность карточки

Функциональность по существу одинакова для всех карточек. Щелкнув нумерованную полосу в любой из карточек, откроется всплывающее окно сведения о антивирусной программе Microsoft Defender, чтобы просмотреть сведения обо всех устройствах, настроенных с номером версии аспекта на этом карта.

Отображает всплывающее окно сведений о антивирусной программе Microsoft Defender.

Если вы нажали номер версии:

  • Текущая версия, а затем требуется исправление и рекомендации по безопасности отсутствуют.
  • Устаревшая версия, в верхней части отчета отображается уведомление, указывающее, что требуется исправление, а также ссылка Рекомендации по безопасности . Щелкните ссылку рекомендации по безопасности, чтобы перейти к консоли контроль угроз и уязвимостей, которая может порекомендовать соответствующие обновления антивирусной программы.

Чтобы добавить или удалить определенные типы сведений во всплывающем меню сведения о антивирусной программе Microsoft Defender, выберите Настроить столбцы. В разделе Настройка столбцов выберите или снимите флажки, чтобы указать, что нужно включить в отчет Microsoft Defender сведения о антивирусной программе.

Отображает настраиваемые параметры столбцов для отчетов о работоспособности антивирусной программы Microsoft Defender.

Новые Microsoft Defender определения фильтров антивирусной программы

В следующей таблице содержится список терминов, которые являются новыми для Microsoft Defender антивирусных отчетов.

Столбец Описание
Время публикации аналитики безопасности Указывает дату выпуска майкрософт версии обновления аналитики безопасности на устройстве. Устройства с временем публикации аналитики безопасности более семи дней считаются устаревшими в отчетах.
Был(-а) в сети Указывает дату последнего подключения устройства.
Метка времени обновления данных Указывает, когда в последний раз были получены события клиента для создания отчетов в: режим av, версия обработчика AV, версия платформы AV, версия аналитики безопасности av и сведения о сканировании.
Время обновления сигнатуры Указывает, когда в последний раз были получены события клиента для создания отчетов о состоянии обработчика, платформы и сигнатуры.

Во всплывающем окне: щелкнув имя устройства, вы перейдете на страницу "Устройство" для этого устройства, где можно получить доступ к подробным отчетам.

Экспорт отчета

Существует два уровня отчетов, которые можно экспортировать:

Экспорт верхнего уровня

Существует две различные функции экспорта CSV на портале:

  • Экспорт верхнего уровня. С помощью кнопки экспорта верхнего уровня можно собрать общий отчет о работоспособности антивирусной программы Microsoft Defender (ограничение в 500 кб).

Снимок экрана: кнопка экспорта отчета верхнего уровня.

  • Экспорт на уровне всплывающего меню. Вы можете использовать кнопку Экспорт во всплывающих элементах для экспорта отчета в электронную таблицу Excel (ограничение в 100 кб).

Экспортированные отчеты фиксируют сведения на основе точки входа в отчет со сведениями и заданных фильтров или настраиваемых столбцов.

Сведения об экспорте с помощью API см. в следующих статьях:

Важно!

В настоящее время общедоступен только ответ JSON работоспособности антивирусной программы . API работоспособности антивирусной программы через файлы доступен только в общедоступной предварительной версии.

Настраиваемый запрос расширенной охоты в настоящее время доступен только в общедоступной предварительной версии, даже если запросы видны.

Microsoft Defender версия антивирусной программы и функции карточек обновления

Ниже приведены описания шести карточек, которые сообщают о versionupdate и сведениях для Microsoft Defender антивирусной подсистемы, аналитики безопасности и компонентов платформы.

Полный отчет

На любой из трех version карточек выберите Просмотреть полный отчет, чтобы отобразить девять последних отчетов Microsoft Defender антивирусной программы version для каждого из трех типов устройств: Windows, Mac и Linux. Если существует меньше девяти, они отображаются. Категория Other записывает последние версии антивирусного ядра с десятым и более поздним, если они обнаружены.

Показывает распределение девяти основных операционных систем каждого типа

Основное преимущество трех version карточек заключается в том, что они предоставляют быстрые индикаторы того, используются ли самые последние версии антивирусных ядр, платформ и аналитики безопасности. В сочетании с подробными сведениями, связанными с карта, карточки версий становятся мощным инструментом для проверка актуальности версий и сбора сведений об отдельных компьютерах или группах компьютеров. В идеале при запуске этих отчетов они указывают на то, что установлены самые последние версии антивирусной программы, а не более старые версии. Используйте эти отчеты, чтобы определить, использует ли ваша организация все преимущества самых последних версий.

Отображение сведений о версии антивирусной программы Microsoft Defender

Чтобы убедиться, что ваше решение для защиты от вредоносных программ обнаруживает последние угрозы, автоматически получайте обновления в рамках клиентский компонент Центра обновления Windows.

Дополнительные сведения о текущих версиях и об обновлении различных компонентов антивирусной программы Microsoft Defender см. в статье Поддержка платформы антивирусной программы Microsoft Defender.

Описания карточек

Ниже приведены краткие сводки собранных сведений, сообщаемых в каждой Antivirus version из карточек:

Режим антивирусной программы карта

Сообщает о том, сколько устройств в вашей организации в дату, указанную в карта, находятся в любом из следующих Microsoft Defender антивирусных режимов:

значение mode
0 Active
1 Passive
2 Disabled (удалено, отключено или SideBySidePassive {также известно как Low Periodic Scan})
3 Others (Не выполняется, неизвестно)
4 EDRBlocked

Отображение режимов фильтрации Microsoft Defender антивирусной программы

Ниже приведены описания для каждого режима.

  • Активный режим. В активном режиме Microsoft Defender антивирусная программа используется в качестве основного антивирусного приложения на устройстве. Файлы проверяются, угрозы устраняются, а обнаруженные угрозы перечислены в отчетах о безопасности вашей организации и в приложении "Безопасность Windows".
  • Пассивный режим. В пассивном режиме антивирусная программа Microsoft Defender не используется в качестве основного антивирусного приложения на устройстве. Файлы сканируются и об обнаруженных угрозах сообщаются, но угрозы не устраняются Microsoft Defender антивирусной программой. ВАЖНО. Антивирусная программа в Microsoft Defender может работать в пассивном режиме только на конечных точках, подключенных к Microsoft Defender для конечной точки. См. статью Требования к запуску антивирусной программы в Microsoft Defender в пассивном режиме.
  • Отключенный режим — синонимы: удалено, отключено, sideBySidePassive и Low Periodic Scan. Если этот параметр отключен, антивирусная программа Microsoft Defender не используется. Файлы не сканируются, а угрозы не устраняются. Как правило, корпорация Майкрософт не рекомендует отключать или удалять антивирусную программу Microsoft Defender.
  • Режим "Другие " — не выполняется, неизвестно
  • EDR в режиме блокировки — в заблокированном режиме обнаружения и ответа конечной точки (EDR). См . статью Обнаружение конечных точек и реагирование в режиме блокировки

Устройства, которые находятся в пассивном режиме, LPS или Off, представляют потенциальную угрозу безопасности, и их следует исследовать.

Дополнительные сведения о LPS см. в статье Использование ограниченного периодического сканирования в Microsoft Defender антивирусной программы.

Последние результаты антивирусной проверки карта

Этот карта содержит две диаграммы, показывающие все результаты для быстрого и полного сканирования. На обоих графиках первая полоса указывает частоту завершения проверок и указывает завершено, отменено или сбой. Вторая панель в каждом разделе содержит коды ошибок для неудачных проверок. Просканировав столбцы Режим и Последние результаты сканирования , вы можете быстро определить устройства, которые не в активном режиме антивирусной проверки, а также устройства, которые завершились сбоем или отменили последние антивирусные проверки. Вы можете вернуться к отчету с этой информацией и собрать дополнительные сведения и рекомендации по безопасности. Если в этом карта отображаются какие-либо коды ошибок, появится ссылка для получения дополнительных сведений о кодах ошибок.

Дополнительные сведения о текущих версиях антивирусной программы Microsoft Defender и об обновлении различных компонентов антивирусной программы Microsoft Defender см. в статье Управление обновлениями антивирусной программы Microsoft Defender и применение базовых показателей.

карта версии антивирусного ядра

В режиме реального времени отображаются результаты самых последних версий ядра антивирусной программы Microsoft Defender, установленных на устройствах Windows, mac и устройствах Linux в вашей организации. Microsoft Defender антивирусная программа обновляется ежемесячно. Дополнительные сведения о текущих версиях и способах обновления различных компонентов антивирусной Microsoft Defender см. в разделе Поддержка платформы антивирусной программы Microsoft Defender.

Карта версии аналитики безопасности антивирусной программы

Списки наиболее распространенные версии Microsoft Defender антивирусной аналитики безопасности, установленные на устройствах в сети. Корпорация Майкрософт постоянно обновляет Microsoft Defender аналитику безопасности для устранения последних угроз и уточнения логики обнаружения. Эти уточнения в аналитике безопасности расширяют возможности Microsoft Defender антивирусной программы (и других решений майкрософт для защиты от вредоносных программ) для точного выявления потенциальных угроз. Эта аналитика безопасности работает непосредственно с облачной защитой, обеспечивая быструю и мощную защиту нового поколения с улучшенным ИИ.

карта версии антивирусной платформы

Показывает результаты в реальном времени самых последних версий платформы антивирусной программы Microsoft Defender, установленных в разных версиях устройств Windows, Mac и Linux в вашей организации. Microsoft Defender антивирусная платформа обновляется ежемесячно. Дополнительные сведения о текущих версиях и об обновлении различных компонентов антивирусной программы Microsoft Defender см. в разделе Поддержка Microsoft Defender антивирусной платформы.

Актуальные карточки

На актуальных карточках отображается актуальное состояние антивирусного ядра, антивирусной платформы и обновлений аналитики безопасности . Существует три возможных состояния: Up to date (True), out of date (False) и no data available (Unknown).

Важно!

Логика, используемая для создания актуальных определений, недавно была усовершенствована и упрощена. Новое поведение описано в этом разделе.

Определения для Up to date, out of dateи no data available предоставляются для каждой карта ниже.

антивирусная программа Microsoft Defender использует дополнительные критерии "Время обновления подписи" (время последнего взаимодействия устройства с актуальными отчетами) для создания актуальных отчетов и определений для обновлений подсистемы, платформы и аналитики безопасности.

Актуальное состояние автоматически помечается как "неизвестно" или "данные недоступны", если устройство не взаимодействовало с отчетами более семи дней (время >обновления сигнатуры 7).

Дополнительные сведения об указанных выше терминах см. в разделе Новые Microsoft Defender определения фильтров антивирусной программы.

Примечание.

Актуальные отчеты создают сведения для устройств, соответствующих следующим критериям:

  • Версия обработчика: 1.1.19300.2 или более поздняя
  • Версия платформы: 4.18.2202.1 или более поздняя
  • Облачная защита включена
  • ОС Windows

В настоящее время актуальные отчеты доступны только для устройств Windows. Кроссплатформенные устройства, такие как Mac и Linux, перечислены в разделе no data available.>

Актуальные определения

Ниже приведены актуальные определения для подсистемы и платформы.

Подсистема или платформа на устройстве считаются следующими: Ситуация
Современный Если устройство взаимодействовало с событием отчета Defender (Signature refresh time) в течение последних семи дней, а версия сборки подсистемы или платформы больше или равна (>=) последней версии ежемесячного выпуска.
устарелый Если устройство взаимодействовало с событием отчета Defender (Signature refresh time) в течение последних семи дней, но версия сборки подсистемы или платформы меньше (<) последней версии ежемесячного выпуска.
unknown (нет доступных данных) Если устройство не взаимодействовало с событием отчета (Signature refresh time) более семи дней.

Ниже приведены определения для актуальной аналитики безопасности.

Обновление аналитики безопасности считается следующим: Ситуация
Современный Если версия аналитики безопасности на устройстве была написана за последние семь дней и устройство взаимодействовало с событием отчета за последние семь дней.

Дополнительные сведения см. в разделе:

Обновления антивирусного ядра карта

Этот карта определяет устройства с последними и устаревшими версиями антивирусного ядра.

Общее определение up to date — версия подсистемы на устройстве является последним выпуском подсистемы. Подсистема обычно выпускается ежемесячно через клиентский компонент Центра обновления Windows (WU). Существует трехдневный льготный период с момента выпуска клиентский компонент Центра обновления Windows (WU).

В следующей таблице приведены возможные значения для актуальных отчетов для антивирусной подсистемы. Состояние отчета основано на времени последнего получения события отчетности (время обновления сигнатуры). Если устройство не взаимодействовало с отчетами более семи дней (время >обновления сигнатуры — 7 дней), состояние автоматически помечается как Unknown / No Data Available.

Время последнего обновления события (также известное как "Время обновления подписи" в отчетах) Состояние сообщения
< 7 дней (новый) какие-либо отчеты клиента (обновлено)
Устарели
Неизвестно)
> 7 дней (старая версия) Unknown

Сведения об управлении версиями обновлений Microsoft Defender антивирусной программы см. в статье Версии ежемесячной платформы и ядра.

Обновления антивирусной платформы карта

Этот карта определяет устройства с последними и устаревшими версиями антивирусной платформы.

Общее определение up to date это то, что версия платформы на устройстве является последним выпуском платформы. Платформа обычно выпускается ежемесячно через клиентский компонент Центра обновления Windows (WU). Существует трехдневный льготный период с момента выпуска WU.

В следующей таблице приведены возможные актуальные значения отчетов для антивирусной платформы. Сообщаемые значения основаны на времени последнего получения события отчета (время обновления сигнатуры). Если устройство не взаимодействовало с отчетами более семи дней (время >обновления подписи 7 дней), состояние автоматически помечается как/ UnknownNo Data Available .

Время последнего обновления события (также известное как "Время обновления подписи" в отчетах) Состояние сообщения
< 7 дней (новый) независимо от того, что клиент сообщает (Up to date
Out of date
Unknown)
> 7 дней (старая версия) Unknown

Сведения об управлении версиями обновлений Microsoft Defender антивирусной программы см. в статье Версии ежемесячной платформы и ядра.

Обновления аналитики безопасности карта

Этот карта определяет устройства с актуальными и устаревшими версиями аналитики безопасности.

Общее определение up to date — версия аналитики безопасности на устройстве была написана за последние 7 дней.

В следующей таблице приведены возможные актуальные значения отчетов для обновлений аналитики безопасности . Сообщаемые значения основаны на времени последнего получения события отчета и времени публикации аналитики безопасности. Если устройство не взаимодействовало с отчетами более семи дней (время >обновления сигнатуры — 7 дней), состояние автоматически помечается как Unknown/ No Data Available. В противном случае определение определяется на основе того, находится ли время публикации аналитики безопасности в течение семи дней.

Время последнего обновления события
(Также известное как "Время обновления подписи" в отчетах)		 Время публикации аналитики безопасности Состояние сообщения
>7 дней (старая версия) >7 дней (старая версия) Unknown
<7 дней (новый) >7 дней (старая версия) Out of date
>7 дней (старая версия) <7 дней (новый) Unknown
<7 дней (новый) <7 дней (новый) Up to date

См. также

Совет

Совет по производительности Из-за различных факторов (примеры приведены ниже) Microsoft Defender антивирусная программа, как и другие антивирусные программы, может вызвать проблемы с производительностью на конечных точках устройств. В некоторых случаях может потребоваться настроить производительность антивирусной программы Microsoft Defender, чтобы устранить эти проблемы с производительностью. Анализатор производительности Корпорации Майкрософт — это средство командной строки PowerShell, которое помогает определить, какие файлы, пути к файлам, процессы и расширения файлов могут вызывать проблемы с производительностью. Ниже приведены некоторые примеры:

  • Основные пути, влияющие на время сканирования
  • Основные файлы, влияющие на время сканирования
  • Основные процессы, влияющие на время сканирования
  • Основные расширения файлов, влияющие на время сканирования
  • Сочетания— например:
    • top files per extension
    • верхние пути на расширение
    • top процессов на путь
    • большее число сканирований на файл
    • большее число сканирований на файл на каждый процесс

Сведения, собранные с помощью анализатора производительности, можно использовать для более эффективной оценки проблем с производительностью и применения действий по исправлению. См. статью Анализатор производительности для антивирусной Microsoft Defender.

Совет

Сведения, связанные с антивирусной программой для других платформ, см. в разделе:

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.