Экспорт методов и свойств API сведений о работоспособности антивирусной программы
Область применения:
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender XDR
- Microsoft Defender для бизнеса
Хотите попробовать Microsoft Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
Примечание.
Если вы являетесь клиентом для государственных организаций США, используйте URI, перечисленные в Microsoft Defender для конечной точки для клиентов государственных организаций США.
Совет
Для повышения производительности можно использовать сервер ближе к географическому расположению:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
Важно!
Некоторые сведения относятся к предварительно выпущенному продукту, который может быть существенно изменен перед выпуском. Корпорация Майкрософт не дает явных или подразумеваемых гарантий относительно предоставленных здесь сведений.
Экспорт описания API сведений о работоспособности антивирусной программы
Получает список Microsoft Defender сведения о работоспособности антивирусных устройств. Этот API имеет различные вызовы API (методы) для получения разных типов данных. Так как объем данных может быть большим, их можно извлечь двумя способами:
Ответ JSON API извлекает все данные в организации в виде ответов JSON. Этот метод лучше всего подходит для небольших организаций с менее чем 100 тыс. устройств. Ответ разбиется на страницы, поэтому для получения следующих результатов можно использовать поле @odata.nextLink из ответа.
через файлы Это решение API позволяет быстрее и надежнее извлекать большие объемы данных и рекомендуется для крупных организаций с более чем 100 000 устройств. Этот API извлекает все данные в вашей организации в виде файлов скачивания. Ответ содержит URL-адреса для скачивания всех данных из службы хранилища Azure. Этот API позволяет скачать все данные из службы хранилища Azure следующим образом:
Вызовите API, чтобы получить список URL-адресов для скачивания со всеми данными организации.
Скачайте все файлы с помощью URL-адресов для скачивания и обработайте данные по мере того, как вам нравится.
Данные, собираемые с помощью JSON response или с помощью файлов, являются snapshot текущего состояния. Эти данные не содержат исторических данных. Для сбора исторических данных необходимо сохранить данные в собственном хранилище данных.
Важно!
Чтобы Windows Server 2012 R2 и Windows Server 2016 отображались в отчетах о работоспособности устройств, эти устройства должны быть подключены с помощью современного унифицированного пакета решения. Дополнительные сведения см. в статье Новые функции в современном унифицированном решении для Windows Server 2012 R2 и 2016.
Сведения об использовании средства создания отчетов о работоспособности устройств и соответствии антивирусной программы на портале Microsoft Defender см. в статье Отчет о работоспособности устройств и антивирусной программе в Microsoft Defender для конечной точки.
1.1. Экспорт методов API сведений о работоспособности антивирусной программы
| Метод | Тип данных | Описание |
|---|---|---|
| (ответ JSON) | Microsoft Defender работоспособности антивирусной программы для каждой коллекции устройств. См . статью 1.2. Экспорт свойств API сведений о работоспособности антивирусной программы устройства (ответ JSON) | Возвращает таблицу с записью для каждого уникального сочетания DeviceId и ConfigurationId. API извлекает все данные в организации в виде ответов JSON. Этот метод лучше всего подходит для небольших организаций с менее чем 100 тыс. устройств. Ответ разбиется на страницы, поэтому вы можете использовать @odata.nextLink поле из ответа для получения следующих результатов. |
| (через файлы) | Microsoft Defender работоспособности антивирусной программы для каждой коллекции устройств. См . статью 1.3. Экспорт свойств API сведений о работоспособности антивирусной программы устройства (с помощью файлов) | Возвращает таблицу с записью для каждого уникального сочетания DeviceId и ConfigurationId. Это решение API позволяет быстрее и надежнее извлекать большие объемы данных. Поэтому рекомендуется использовать его для крупных организаций с более чем 100 тыс. устройств. Этот API извлекает все данные в вашей организации в виде файлов скачивания. Ответ содержит URL-адреса для скачивания всех данных из службы хранилища Azure. Этот API позволяет скачать все данные из службы хранилища Azure следующим образом:
|
1.2. Ограничения
- Максимальный размер страницы: 200 000
- Ограничения скорости для этого API: 30 вызовов в минуту и 1000 вызовов в час
1.3. Экспорт свойств API сведений о работоспособности антивирусной программы (ответ JSON)
- Свойства, определенные в следующей таблице, перечислены в алфавитном порядке по идентификатору свойства. При использовании этого API результирующие выходные данные не обязательно будут возвращаться в том же порядке, что и в этой таблице.
- Обратите внимание, что rbacgroupname и Id не поддерживают операторы фильтра.
- В ответе может быть возвращено несколько дополнительных столбцов. Эти столбцы могут быть временными и могут быть удалены; используйте только задокументированные столбцы.
| Свойство (идентификатор) | Тип данных | Описание | Пример возвращаемого значения |
|---|---|---|---|
avEngineUpdateTime |
DateTimeOffset | Дата последнего обновления антивирусного ядра на устройстве | "2022-08-04T12:44:02Z" |
avEngineVersion |
String | Версия антивирусного ядра | 1.1.19400.3 |
avIsEngineUpToDate |
String | Актуальное состояние антивирусного ядра |
True, False или Unknown |
avIsPlatformUpToDate |
String | Актуальное состояние антивирусной платформы |
True, False или Unknown |
avIsSignatureUpToDate |
String | Актуальное состояние сигнатуры антивирусной программы |
True, False или Unknown |
avMode |
String | Режим антивирусной программы. | Каждый режим представляет собой строковое типизированное целое число в диапазоне от 0 до 5. '' = Other0 = Active1 = Passive2 = Disabled3 = Other4 = EDRBlocked5 = PassiveAudit |
avPlatformUpdateTime |
DateTimeOffset | Дата последнего обновления антивирусной платформы на устройстве | "2022-08-04T12:44:02Z" |
avPlatformVersion |
String | Версия антивирусной платформы | 4.18.2203.5 |
avSignaturePublishTime |
DateTimeOffset | Дата выпуска сборки антивирусной аналитики безопасности | "2022-08-04T12:44:02Z" |
avSignatureUpdateTime |
DateTimeOffset | Дата последнего обновления аналитики безопасности антивирусной программы на устройстве | "2022-08-04T12:44:02Z" |
avSignatureVersion |
String | Версия антивирусной аналитики безопасности | 1.371.1323.0 |
computerDnsName |
String | DNS-имя | SampleDns |
dataRefreshTimestamp |
DateTimeOffset | Дата и время обновления данных для этого отчета | 2022-08-04T12:44:02Z |
fullScanError |
String | Коды ошибок при полной проверке | "0x80508023" |
fullScanResult |
String | Полный результат сканирования устройства |
Completed, Canceled или Failed |
fullScanTime |
DateTimeOffset | Дата завершения полной проверки | 2022-08-04T12:44:02Z |
id |
String | Идентификатор GUID компьютера | 30a8fa2826abf24d24379b23f8a44d471f00feab |
lastSeenTime |
DateTimeOffset | Последнее просмотренное время даты и времени на этом компьютере | 2022-08-04T12:44:02Z |
machineId |
String | Идентификатор GUID компьютера | 30a8fa2826abf24d24379b23f8a44d471f00feab |
osKind |
String | Тип операционной системы |
windows, mac или linux |
osPlatform |
String | Имя основной версии операционной системы |
Windows 10 или macOS |
osVersion |
String | Версия операционной системы | 10.0.18363.1440, 12.4.0.0 |
quickScanError |
String | Коды ошибок при быстрой проверке | 0x80508023 |
quickScanResult |
String | Результат быстрой проверки этого устройства |
Completed, Canceled или Failed |
quickScanTime |
DateTimeOffset | Дата и время завершения быстрой проверки | 2022-08-04T12:44:02Z |
rbacGroupId |
Long | Идентификатор группы устройств, к которому принадлежит этот компьютер | 712 |
rbacGroupName |
String | Имя группы устройств, к которой принадлежит этот компьютер | SampleGroup |
1.4. Экспорт свойств API сведений о работоспособности антивирусной программы устройства (с помощью файлов)
Важно!
Сведения в этом разделе относятся к предварительно выпущенной продукции, которую можно существенно изменить до его коммерческого выпуска. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.
Примечание.
- Файлы сжаты gzip и имеют многостроковый
.jsonформат. - URL-адреса для скачивания действительны только в течение 3 часов; В противном случае можно использовать параметр .
- Для максимальной скорости загрузки данных можно убедиться, что они скачиваются из того же региона Azure, в котором находятся данные.
- Каждая запись использует около 1 КБ данных. Это следует учитывать при выборе правильного
pageSizeпараметра. - В ответе может быть возвращено больше столбцов. Эти столбцы являются временными и могут быть удалены, поэтому используйте только задокументированные столбцы.
| Свойство (идентификатор) | Тип данных | Описание | Пример возвращаемого значения |
|---|---|---|---|
| Экспорт файлов | array[string] | Список URL-адресов для скачивания файлов, содержащих текущие snapshot организации. | ["https://tvmexportstrstgeus.blob.core.windows.net/tvm-export...1", "https://tvmexportstrstgeus.blob.core.windows.net/tvm-export...2"] |
| GeneratedTime | String | Время создания экспорта. | 2022-05-20T08:00:00Z |
Примечание.
В каждом экспортируемом файле есть свойство с именем DeviceGatheredInfo, которое содержит данные антивирусной программы. Каждый из его атрибутов может предоставить сведения о работоспособности устройства и его состоянии.
См. также
Экспорт отчета о состоянии антивирусной программы устройства
Отчеты о работоспособности и соответствии устройств
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.