Поделиться через

Работоспособности устройства, отчет о работоспособности антивирусной программы в Microsoft Defender

  • Статья

Область применения:

Хотите попробовать Microsoft Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Отчет о работоспособности устройств содержит сведения об устройствах в вашей организации. Отчет содержит сведения о трендах, показывающие состояние антивирусной программы и версию антивирусной программы в Microsoft Defender, аналитику и версии платформы.

Важно!

Чтобы устройства отображались в отчетах о работоспособности устройств в Microsoft Defender, они должны соответствовать следующим предварительным требованиям:

  • Устройство подключено к Microsoft Defender для конечной точки
  • ОС: Windows 10, Windows 11, Windows Server 2012 R2/, 2016 R2/ 2019/2022 (не MMA), MacOS, Linux
  • Sense (MsSense.exe): 10.8210. *+. Дополнительные сведения см. в разделе Предварительные требования .

Чтобы Windows Server 2012 R2 и Windows Server 2016 отображались в отчетах о работоспособности устройств, эти устройства должны быть подключены с помощью современного унифицированного пакета решения. Дополнительные сведения см. в статье Новые функции в современном унифицированном решении для Windows Server 2012 R2 и 2016.

На портале Microsoft Defender в области навигации выберите Отчеты, а затем откройте раздел Работоспособности и соответствия устройств. Вкладка Работоспособность антивирусной программы в Microsoft Defender содержит восемь карточек, которые сообщают о следующих аспектах антивирусной программы в Microsoft Defender:

Разрешения на доступ к отчетам

Для доступа к отчету о работоспособности устройств и соответствии антивирусной программы на портале Microsoft Defender требуются следующие разрешения:

Имя разрешения Тип разрешения
Просмотр данных Управление угрозами и уязвимостями (TVM)

Важно!

Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Это помогает повысить безопасность вашей организации. Глобальный администратор — это очень привилегированная роль, которая должна быть ограничена сценариями чрезвычайных ситуаций, когда вы не можете использовать существующую роль.

Чтобы назначить эти разрешения, выполните следующие действия:

  1. Войдите на портал Microsoft Defender , используя учетную запись с назначенной ролью администратора безопасности или глобального администратора.

  2. В области навигации выберите Параметры>Роли конечных> точек разделе Разрешения).

  3. Выберите роль, которую вы хотите изменить.

  4. Нажмите Изменить.

  5. В разделе Изменение роли на вкладке Общие в поле Имя роли введите имя роли.

  6. В поле Описание введите краткую сводку по роли.

  7. В разделе Разрешения выберите Просмотр данных и в разделе Просмотр данных выберите Управление угрозами и уязвимостями (TVM).

Дополнительные сведения об управлении ролями пользователей см. в статье Создание ролей и управление ими для управления доступом на основе ролей.

Вкладка работоспособности антивирусной программы в Microsoft Defender

Вкладка Работоспособность антивирусной программы в Microsoft Defender содержит восемь карточек, которые сообщают о нескольких аспектах антивирусной программы Microsoft Defender в вашей организации:

Две карточки, карточка режима антивирусной программы и карточка последних результатов антивирусной проверки, сообщают о функциях антивирусной программы в Microsoft Defender.

Оставшиеся шесть карточек сообщают о состоянии антивирусной программы Microsoft Defender для устройств в вашей организации:

version карты: update карточки{1}
Карточка версии антивирусного ядра
Карточка версии антивирусной аналитики безопасности
Карточка версии антивирусной платформы		 Карточка обновлений антивирусного ядра
Карточка обновлений аналитики безопасности
Карточка обновлений антивирусной платформы
Три карточки версий предоставляют всплывающие отчеты, которые предоставляют дополнительные сведения и обеспечивают дальнейшее изучение. В трех актуальных карточках отчетов содержатся ссылки на ресурсы, чтобы узнать больше.

{1} Для трех updates карточек (также известных как актуальные карточки отчетов) значение "Нет доступных данных" (или "Неизвестно") указывает на устройства, которые не сообщают о состоянии обновления. Устройства, которые не сообщают о состоянии обновления, могут быть вызваны различными причинами, например:

  • Компьютер отключен от сети.
  • Компьютер выключен или находится в режиме гибернации.
  • Антивирусная программа Microsoft Defender отключена.
  • Устройство не является устройством Windows (Mac или Linux).
  • Защита облака не включена.
  • Устройство не соответствует предварительным требованиям для антивирусного ядра или версии платформы.

Предварительные требования

Актуальные отчеты создают сведения для устройств, соответствующих следующим критериям:

  • Версия обработчика: 1.1.19300.2+

  • Версия платформы: 4.18.2202.1+

  • Облачная защита включена

  • Смысл (MsSense.exe): 10,8210. *+

  • ОС Windows — Windows 10 1809 или более поздней версии

    Примечание.

    * В настоящее время актуальные отчеты доступны только для устройств Windows. Кроссплатформенные устройства, такие как Mac и Linux, перечислены в разделе "Нет доступных данных"/Неизвестно.

Отображает вкладку Работоспособности антивирусной программы в Microsoft Defender.

Функциональность карточки

Функциональность по существу одинакова для всех карточек. Щелкнув нумерованную полосу на любой из карточек, откроется всплывающее окно Сведения о антивирусной программе в Microsoft Defender , чтобы просмотреть сведения обо всех устройствах, настроенных с номером версии аспекта на этой карте.

Отображает всплывающее окно Сведения о антивирусной программе в Microsoft Defender.

Если вы нажали номер версии:

  • Текущая версия, а затем требуется исправление и рекомендации по безопасности отсутствуют.
  • Устаревшая версия, в верхней части отчета отображается уведомление, указывающее, что требуется исправление, а также ссылка Рекомендации по безопасности . Щелкните ссылку рекомендации по безопасности, чтобы перейти к консоли управления угрозами и уязвимостями, которая может порекомендовать соответствующие обновления антивирусной программы.

Чтобы добавить или удалить определенные типы сведений во всплывающем меню Сведения о антивирусной программе в Microsoft Defender , выберите Настроить столбцы. В разделе Настройка столбцов выберите или снимите флажки, чтобы указать, что вы хотите включить в отчет сведений о антивирусной программе в Microsoft Defender.

Отображаются настраиваемые параметры столбцов для отчетов о работоспособности антивирусной программы в Microsoft Defender.

Новые определения фильтров антивирусной программы в Microsoft Defender

В следующей таблице содержится список терминов, которые являются новыми для отчетов о антивирусной программе в Microsoft Defender.

Столбец Описание
Время публикации аналитики безопасности Указывает дату выпуска майкрософт версии обновления аналитики безопасности на устройстве. Устройства с временем публикации аналитики безопасности более семи дней считаются устаревшими в отчетах.
Был(-а) в сети Указывает дату последнего подключения устройства.
Метка времени обновления данных Указывает, когда в последний раз были получены события клиента для создания отчетов в: режим av, версия обработчика AV, версия платформы AV, версия аналитики безопасности av и сведения о сканировании.
Время обновления сигнатуры Указывает, когда в последний раз были получены события клиента для создания отчетов о состоянии обработчика, платформы и сигнатуры.

Во всплывающем окне: щелкнув имя устройства, вы перейдете на страницу "Устройство" для этого устройства, где можно получить доступ к подробным отчетам.

Экспорт отчета

Существует два уровня отчетов, которые можно экспортировать:

Экспорт верхнего уровня

Существует две различные функции экспорта CSV на портале:

  • Экспорт верхнего уровня. С помощью кнопки экспорта верхнего уровня можно собрать общий отчет о работоспособности антивирусной программы в Microsoft Defender (ограничение в 500 кб).

Снимок экрана: кнопка экспорта отчета верхнего уровня.

  • Экспорт на уровне всплывающего меню. Вы можете использовать кнопку Экспорт во всплывающих элементах для экспорта отчета в электронную таблицу Excel (ограничение в 100 кб).

Экспортированные отчеты фиксируют сведения на основе точки входа в отчет со сведениями и заданных фильтров или настраиваемых столбцов.

Сведения об экспорте с помощью API см. в следующих статьях:

Важно!

В настоящее время общедоступен только ответ JSON работоспособности антивирусной программы . API работоспособности антивирусной программы через файлы доступен только в общедоступной предварительной версии.

Настраиваемый запрос расширенной охоты в настоящее время доступен только в общедоступной предварительной версии, даже если запросы видны.

Функциональность версий антивирусной программы и карточек обновления в Microsoft Defender

Ниже приведены описания шести карточек, которые сообщают о versionupdate и сведениях о антивирусной подсистеме Microsoft Defender, аналитике безопасности и компонентах платформы.

Полный отчет

На любой из трех version карточек выберите Просмотреть полный отчет , чтобы отобразить девять последних отчетов о антивирусной программе version в Microsoft Defender для каждого из трех типов устройств: Windows, Mac и Linux. Если существует меньше девяти, они отображаются. Категория Other записывает последние версии антивирусного ядра с десятым и более поздним, если они обнаружены.

Показывает распределение девяти основных операционных систем каждого типа

Основное преимущество трех version карточек заключается в том, что они предоставляют быстрые индикаторы того, используются ли самые последние версии антивирусных ядр, платформ и аналитики безопасности. В сочетании с подробными сведениями, связанными с карточкой, карточки версий становятся мощным инструментом для проверки актуальности версий и сбора сведений об отдельных компьютерах или группах компьютеров. В идеале при запуске этих отчетов они указывают на то, что установлены самые последние версии антивирусной программы, а не более старые версии. Используйте эти отчеты, чтобы определить, использует ли ваша организация все преимущества самых последних версий.

Отображение сведений о версии антивирусной программы в Microsoft Defender

Чтобы убедиться, что ваше решение для защиты от вредоносных программ обнаруживает последние угрозы, автоматически получайте обновления в рамках Центра обновления Windows.

Дополнительные сведения о текущих версиях и об обновлении различных компонентов антивирусной программы Microsoft Defender см. в разделе Поддержка платформы антивирусной программы Microsoft Defender.

Описания карточек

Ниже приведены краткие сводки собранных сведений, сообщаемых в каждой Antivirus version из карточек:

Карточка режима антивирусной программы

Сообщает о том, сколько устройств в вашей организации в дату, указанную на карточке, находятся в любом из следующих режимов антивирусной программы в Microsoft Defender:

значение mode
0 Active
1 Passive
2 Disabled (удалено, отключено или SideBySidePassive {также известно как Low Periodic Scan})
3 Others (Не выполняется, неизвестно)
4 EDRBlocked

Показывает фильтрацию режимов антивирусной программы в Microsoft Defender

Ниже приведены описания для каждого режима.

  • Активный режим. В активном режиме антивирусная программа Microsoft Defender используется в качестве основного антивирусного приложения на устройстве. Файлы проверяются, угрозы устраняются, а обнаруженные угрозы перечислены в отчетах о безопасности вашей организации и в приложении "Безопасность Windows".
  • Пассивный режим. В пассивном режиме антивирусная программа Microsoft Defender не используется в качестве основного антивирусного приложения на устройстве. Файлы сканируются, и об обнаруженных угрозах сообщается, но угрозы не устраняются антивирусной программой в Microsoft Defender. ВАЖНО. Антивирусная программа в Microsoft Defender может работать в пассивном режиме только на конечных точках, подключенных к Microsoft Defender для конечной точки. См. статью Требования к запуску антивирусной программы в Microsoft Defender в пассивном режиме.
  • Отключенный режим — синонимы: удалено, отключено, sideBySidePassive и Low Periodic Scan. Если этот параметр отключен, антивирусная программа Microsoft Defender не используется. Файлы не сканируются, а угрозы не устраняются. Как правило, корпорация Майкрософт не рекомендует отключать или удалять антивирусную программу Microsoft Defender.
  • Режим "Другие " — не выполняется, неизвестно
  • EDR в режиме блокировки — в заблокированном режиме обнаружения и ответа конечной точки (EDR). См . статью Обнаружение конечных точек и реагирование в режиме блокировки

Устройства, которые находятся в пассивном режиме, LPS или Off, представляют потенциальную угрозу безопасности, и их следует исследовать.

Дополнительные сведения о LPS см. в статье Использование ограниченной периодической проверки в антивирусной программе в Microsoft Defender.

Карточка последних результатов антивирусной проверки

Эта карточка содержит две гистограммы, показывающие все результаты для быстрого и полного сканирования. На обоих графиках первая полоса указывает частоту завершения проверок и указывает завершено, отменено или сбой. Вторая панель в каждом разделе содержит коды ошибок для неудачных проверок. Просканировав столбцы Режим и Последние результаты сканирования , вы можете быстро определить устройства, которые не в активном режиме антивирусной проверки, а также устройства, которые завершились сбоем или отменили последние антивирусные проверки. Вы можете вернуться к отчету с этой информацией и собрать дополнительные сведения и рекомендации по безопасности. Если в этой карточке отображаются какие-либо коды ошибок, появится ссылка для получения дополнительных сведений о кодах ошибок.

Дополнительные сведения о текущих версиях антивирусной программы Microsoft Defender и об обновлении различных компонентов антивирусной программы Microsoft Defender см. в статье Управление обновлениями антивирусной программы Microsoft Defender и применение базовых показателей.

Карточка версии антивирусного ядра

Показывает результаты в режиме реального времени самых последних версий ядра антивирусной программы Microsoft Defender, установленных на устройствах Windows, устройствах Mac и Linux в вашей организации. Антивирусная подсистема Microsoft Defender обновляется ежемесячно. Дополнительные сведения о текущих версиях и способах обновления различных компонентов антивирусной программы Microsoft Defender см. в разделе Поддержка платформы антивирусной программы Microsoft Defender.

Карточка версии антивирусной аналитики безопасности

Список наиболее распространенных версий аналитики безопасности антивирусной программы Microsoft Defender, установленных на устройствах в сети. Корпорация Майкрософт постоянно обновляет аналитику безопасности Microsoft Defender для устранения последних угроз и уточнения логики обнаружения. Эти уточнения в аналитике безопасности позволяют антивирусной программе Microsoft Defender (и другим решениям майкрософт для защиты от вредоносных программ) точно выявлять потенциальные угрозы. Эта аналитика безопасности работает непосредственно с облачной защитой, обеспечивая быструю и мощную защиту нового поколения с улучшенным ИИ.

Карточка версии антивирусной платформы

Показывает в режиме реального времени результаты самых последних версий платформы антивирусной программы Microsoft Defender, установленных в разных версиях устройств Windows, Mac и Linux в вашей организации. Антивирусная платформа Microsoft Defender обновляется ежемесячно. Дополнительные сведения о текущих версиях и об обновлении различных компонентов антивирусной программы Microsoft Defender см. в разделе Поддержка антивирусной платформы Microsoft Defender.

Актуальные карточки

На актуальных карточках отображается актуальное состояние антивирусного ядра, антивирусной платформы и обновлений аналитики безопасности . Существует три возможных состояния: Up to date (True), out of date (False) и no data available (Unknown).

Важно!

Логика, используемая для создания актуальных определений, недавно была усовершенствована и упрощена. Новое поведение описано в этом разделе.

Определения для Up to date, out of dateи no data available приведены для каждой карточки ниже.

Антивирусная программа Microsoft Defender использует дополнительные критерии "Время обновления подписи" (время последнего взаимодействия устройства с актуальными отчетами) для создания актуальных отчетов и определений для обновлений подсистемы, платформы и аналитики безопасности.

Актуальное состояние автоматически помечается как "неизвестно" или "данные недоступны", если устройство не взаимодействовало с отчетами более семи дней (время >обновления сигнатуры 7).

Дополнительные сведения об упомянутых выше терминах см. в разделе Новые определения фильтров антивирусной программы в Microsoft Defender.

Примечание.

Актуальные отчеты создают сведения для устройств, соответствующих следующим критериям:

  • Версия обработчика: 1.1.19300.2 или более поздняя
  • Версия платформы: 4.18.2202.1 или более поздняя
  • Облачная защита включена
  • ОС Windows

В настоящее время актуальные отчеты доступны только для устройств Windows. Кроссплатформенные устройства, такие как Mac и Linux, перечислены в разделе no data available.>

Актуальные определения

Ниже приведены актуальные определения для подсистемы и платформы.

Подсистема или платформа на устройстве считаются следующими: Ситуация
Современный Если устройство взаимодействовало с событием отчета Defender (Signature refresh time) в течение последних семи дней, а версия сборки подсистемы или платформы больше или равна (>=) последней версии ежемесячного выпуска.
устарелый Если устройство взаимодействовало с событием отчета Defender (Signature refresh time) в течение последних семи дней, но версия сборки подсистемы или платформы меньше (<) последней версии ежемесячного выпуска.
unknown (нет доступных данных) Если устройство не взаимодействовало с событием отчета (Signature refresh time) более семи дней.

Ниже приведены определения для актуальной аналитики безопасности.

Обновление аналитики безопасности считается следующим: Ситуация
Современный Если версия аналитики безопасности на устройстве была написана за последние семь дней и устройство взаимодействовало с событием отчета за последние семь дней.

Дополнительные сведения см. в разделе:

Карточка обновлений антивирусного ядра

Эта карточка идентифицирует устройства с последними и устаревшими версиями антивирусной подсистемы.

Общее определение up to date — версия подсистемы на устройстве является последним выпуском подсистемы. Подсистема обычно выпускается ежемесячно через Центр обновления Windows (WU). С момента выпуска Центра обновления Windows (WU) предоставляется трехдневный льготный период.

В следующей таблице приведены возможные значения для актуальных отчетов для антивирусной подсистемы. Состояние отчета основано на времени последнего получения события отчетности (время обновления сигнатуры). Если устройство не взаимодействовало с отчетами более семи дней (время >обновления сигнатуры — 7 дней), состояние автоматически помечается как Unknown / No Data Available.

Время последнего обновления события (также известное как "Время обновления подписи" в отчетах) Состояние сообщения
< 7 дней (новый) какие-либо отчеты клиента (обновлено)
Устарели
Неизвестно)
> 7 дней (старая версия) Unknown

Сведения об управлении версиями обновлений антивирусной программы в Microsoft Defender см. в статье Ежемесячные версии платформы и ядра.

Карточка обновлений антивирусной платформы

Эта карточка идентифицирует устройства с последними и устаревшими версиями антивирусной платформы.

Общее определение up to date это то, что версия платформы на устройстве является последним выпуском платформы. Платформа обычно выпускается ежемесячно через Центр обновления Windows (WU). Существует трехдневный льготный период с момента выпуска WU.

В следующей таблице приведены возможные актуальные значения отчетов для антивирусной платформы. Сообщаемые значения основаны на времени последнего получения события отчета (время обновления сигнатуры). Если устройство не взаимодействовало с отчетами более семи дней (время >обновления подписи 7 дней), состояние автоматически помечается как/ UnknownNo Data Available .

Время последнего обновления события (также известное как "Время обновления подписи" в отчетах) Состояние сообщения
< 7 дней (новый) независимо от того, что клиент сообщает (Up to date
Out of date
Unknown)
> 7 дней (старая версия) Unknown

Сведения об управлении версиями обновлений антивирусной программы в Microsoft Defender см. в статье Ежемесячные версии платформы и ядра.

Карточка обновлений аналитики безопасности

Эта карточка идентифицирует устройства с актуальными и устаревшими версиями аналитики безопасности.

Общее определение up to date — версия аналитики безопасности на устройстве была написана за последние 7 дней.

В следующей таблице приведены возможные актуальные значения отчетов для обновлений аналитики безопасности . Сообщаемые значения основаны на времени последнего получения события отчета и времени публикации аналитики безопасности. Если устройство не взаимодействовало с отчетами более семи дней (время >обновления сигнатуры — 7 дней), состояние автоматически помечается как Unknown/ No Data Available. В противном случае определение определяется на основе того, находится ли время публикации аналитики безопасности в течение семи дней.

Время последнего обновления события
(Также известное как "Время обновления подписи" в отчетах)		 Время публикации аналитики безопасности Состояние сообщения
>7 дней (старая версия) >7 дней (старая версия) Unknown
<7 дней (новый) >7 дней (старая версия) Out of date
>7 дней (старая версия) <7 дней (новый) Unknown
<7 дней (новый) <7 дней (новый) Up to date

См. также

Совет

Совет по производительности Из-за различных факторов (примеры приведены ниже), антивирусная программа в Microsoft Defender, как и другие антивирусные программы, может вызвать проблемы с производительностью на конечных точках устройств. В некоторых случаях может потребоваться настроить производительность антивирусной программы Microsoft Defender, чтобы устранить эти проблемы с производительностью. Анализатор производительности Корпорации Майкрософт — это средство командной строки PowerShell, которое помогает определить, какие файлы, пути к файлам, процессы и расширения файлов могут вызывать проблемы с производительностью. Ниже приведены некоторые примеры:

  • Основные пути, влияющие на время сканирования
  • Основные файлы, влияющие на время сканирования
  • Основные процессы, влияющие на время сканирования
  • Основные расширения файлов, влияющие на время сканирования
  • Сочетания— например:
    • top files per extension
    • верхние пути на расширение
    • top процессов на путь
    • большее число сканирований на файл
    • большее число сканирований на файл на каждый процесс

Сведения, собранные с помощью анализатора производительности, можно использовать для более эффективной оценки проблем с производительностью и применения действий по исправлению. См. статью Анализатор производительности для антивирусной программы Microsoft Defender.

Совет

Сведения, связанные с антивирусной программой для других платформ, см. в разделе:

Совет

Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender для конечной точки Tech Community.