Экспорт отчета о состоянии антивирусной программы устройства

Область применения:

• Microsoft Defender для конечной точки (план 1)
• Microsoft Defender для конечной точки (план 2)
• Microsoft Defender XDR

Хотите попробовать Microsoft Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Примечание.

Если вы являетесь клиентом для государственных организаций США, используйте URI, перечисленные в Microsoft Defender для конечной точки для клиентов государственных организаций США.

Совет

Для повышения производительности можно использовать сервер ближе к географическому расположению:

• us.api.security.microsoft.com
• eu.api.security.microsoft.com
• uk.api.security.microsoft.com
• au.api.security.microsoft.com
• swa.api.security.microsoft.com

Важно!

Некоторые сведения относятся к предварительно выпущенному продукту, который может быть существенно изменен перед выпуском. Корпорация Майкрософт не дает явных или подразумеваемых гарантий относительно предоставленных здесь сведений.

Этот API имеет два способа получения сведений о работоспособности антивирусной программы Microsoft Defender антивирусных устройств:

• Метод один:1 Экспорт отчетов о работоспособности (ответ JSON). Метод извлекает все данные в организации в виде ответов JSON. Этот метод лучше всего подходит для небольших организаций с менее чем 100 тыс. устройств. Ответ разбиется на страницы, поэтому для получения следующих результатов можно использовать поле @odata.nextLink из ответа.

• Метод 2:2 Экспорт отчетов о работоспособности (с помощью файлов). Этот метод позволяет быстрее и надежнее извлекать большие объемы данных. Поэтому рекомендуется использовать его для крупных организаций с более чем 100 тыс. устройств. Этот API извлекает все данные в вашей организации в виде файлов скачивания. Ответ содержит URL-адреса для скачивания всех данных из службы хранилища Azure. Этот API позволяет скачать все данные из службы хранилища Azure следующим образом:

  • Вызовите API, чтобы получить список URL-адресов для скачивания со всеми данными организации.
  • Скачайте все файлы с помощью URL-адресов для скачивания и обработайте данные по мере того, как вам нравится.

Данные, собираемые с помощью ответа JSON или с помощью файлов, являются текущим snapshot текущего состояния. Он не содержит исторических данных. Для сбора исторических данных клиенты должны сохранять данные в собственных хранилищах данных. См . раздел Экспорт методов и свойств API сведений о работоспособности устройства.

Важно!

В настоящее время общедоступен только ответ JSON работоспособности антивирусной программы . API работоспособности антивирусной программы через файлы в настоящее время доступен только в общедоступной предварительной версии.

Настраиваемый запрос Advanced Hunting в настоящее время доступен только в общедоступной предварительной версии, даже если запросы по-прежнему видны.

Важно!

Чтобы Windows Server 2012 R2 и Windows Server 2016 отображались в отчетах о работоспособности устройств, эти устройства должны быть подключены с помощью современного унифицированного пакета решения. Дополнительные сведения см. в статье Новые функции в современном унифицированном решении для Windows Server 2012 R2 и 2016.

Примечание.

Сведения об использовании средства отчетов о работоспособности устройств и соответствии антивирусной программы на панели мониторинга безопасности Microsoft 365 см. в статье Отчет о работоспособности устройств и соответствии антивирусной программы в Microsoft Defender для конечной точки.

1 Экспорт отчетов о работоспособности (ответ JSON)

1.1 Описание метода API

Этот API извлекает список Microsoft Defender сведения о работоспособности антивирусной программы для антивирусных устройств. Возвращает таблицу с записью для каждой уникальной комбинации:

• DeviceId
• Имя устройства
• Режим AV
• Актуальное состояние
• Результаты сканирования

1.1.1. Ограничения

• максимальный размер страницы — 200 000
• Ограничения скорости для этого API: 30 вызовов в минуту и 1000 вызовов в час.

Операторы, поддерживаемые OData

• $filteron: machineId, computerDnsName, osKind, osPlatform, , avModeosVersion, , avSignatureVersion, avEngineVersion, avPlatformVersion, quickScanResult, quickScanError, fullScanResult, fullScanError, avIsSignatureUpToDate, avIsEngineUpToDate, , avIsPlatformUpToDaterbacGroupId
• $top с максимальным значением 10 000.
• $skip

Важно!

Обратите внимание, что rbacgroupname и Id не поддерживают операторы фильтра.

1.2 Разрешения

Для вызова этого API требуется одно из следующих разрешений. Дополнительные сведения, включая выбор разрешений, см. в статье Использование API Microsoft Defender для конечной точки.

Тип разрешения	Разрешение	Отображаемое имя разрешения
Приложение	Machine.Read.All	"Чтение всех профилей компьютеров"
Делегированные (рабочая или учебная учетная запись)	Machine.Read	"Чтение сведений о компьютере"

URL-адрес 1.3 (HTTP-запрос)

URL: GET: /api/deviceavinfo

1.3.1. Заголовки запросов

Имя	Тип	Описание
Авторизация	String	Bearer {token}. Обязательно.

1.3.2. Текст запроса

переменная Empty

1.3.3. Ответ

В случае успешного выполнения этот метод возвращает значение 200 ОК со списком сведений о работоспособности устройства.

1.4 Параметры

• Размер страницы по умолчанию — 20
• Примеры см. в статье Запросы OData с Microsoft Defender для конечной точки.

1.5. Свойства

См . статью 1.3. Экспорт свойств API сведений о работоспособности антивирусной программы (ответ JSON)

Поддерживает запросы OData версии 4.

1.6. Пример

Пример запроса

Ниже приведен пример запроса:

GET https://api.securitycenter.microsoft.com/api/deviceavinfo

Пример ответа

Вот пример ответа:

{

    @odata.context: "https://api.securitycenter.microsoft.com/api/$metadata#DeviceAvInfo",

"value": [{

            "id": "Sample Guid",

            "machineId": "Sample Machine Guid",

            "computerDnsName": "appblockstg1",

            "osKind": "windows",

            "osPlatform": "Windows10",

            "osVersion": "10.0.19044.1865",

            "avMode": "0",

            "avSignatureVersion": "1.371.1279.0",

            "avEngineVersion": "1.1.19428.0",

            "avPlatformVersion": "4.18.2206.108",

            "lastSeenTime": "2022-08-02T19:40:45Z",

            "quickScanResult": "Completed",

            "quickScanError": "",

            "quickScanTime": "2022-08-02T18:40:15.882Z",

            "fullScanResult": "",

            "fullScanError": "",

            "fullScanTime": null,

            "dataRefreshTimestamp": "2022-08-02T21:16:23Z",

            "avEngineUpdateTime": "2022-08-02T00:03:39Z",

            "avSignatureUpdateTime": "2022-08-02T00:03:39Z",

            "avPlatformUpdateTime": "2022-06-20T16:59:35Z",

            "avIsSignatureUpToDate": "True",

            "avIsEngineUpToDate": "True",

            "avIsPlatformUpToDate": "True",

            "avSignaturePublishTime": "2022-08-02T00:03:39Z",

            "rbacGroupName": "TVM1",

            "rbacGroupId": 4415

        },

        ...

     ]

}

2 Экспорт отчетов о работоспособности (с помощью файлов)

Важно!

Сведения в этом разделе относятся к предварительно выпущенной продукции, которая может быть существенно изменена до его коммерческого выпуска. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.

2.1. Описание метода API

Этот ответ API содержит все данные о работоспособности и состоянии антивирусной программы для каждого устройства. Возвращает таблицу с записью для каждой уникальной комбинации:

• DeviceId
• имя устройства
• Режим AV
• Актуальное состояние
• Результаты сканирования

2.1.2. Ограничения

• Максимальный размер страницы — 200 000.
• Ограничения скорости для этого API: 30 вызовов в минуту и 1000 вызовов в час.

2.2 Разрешения

Для вызова этого API требуется одно из следующих разрешений.

Тип разрешения	Разрешение	Отображаемое имя разрешения
Приложение	Vulnerability.Read.All	"Чтение сведений об уязвимости контроль угроз и уязвимостей"
Делегированные (рабочая или учебная учетная запись)	Vulnerability.Read	"Чтение сведений об уязвимости контроль угроз и уязвимостей"

Дополнительные сведения, включая выбор разрешений, см. в статье Использование API Microsoft Defender для конечной точки.

URL-адрес 2.3

GET /api/machines/InfoGatheringExport

2.4. Параметры

• sasValidHours: количество часов, в течение которых будут действовать URL-адреса скачивания (максимум 24 часа).

2.5. Свойства

См. статью 1.4 Экспорт сведений о работоспособности антивирусной программы устройства (с помощью файлов).

2.6 Примеры

2.6.1. Пример запроса

Ниже приведен пример запроса:

GET https://api-us.securitycenter.contoso.com/api/machines/InfoGatheringExport

2.6.2. Пример ответа

Вот пример ответа:

{

   "@odata.context": "https://api-us.securitycenter.windows.com/api/$metadata#microsoft.windowsDefenderATP.api.ExportFilesResponse",

   "exportFiles": [

       "https://tvmexportexternalprdeus.blob.core.windows.net/temp-../2022-08-02/2201/InfoGatheringExport/json/OrgId=../_RbacGroupId=../part-00055-12fc2fcd-8f56-4e09-934f-e8efe7ce74a0.c000.json.gz?sv=2020-08-04&st=2022-08-02T22%3A47%3A11Z&se=2022-08-03T01%3A47%3A11Z&sr=b&sp=r&sig=..",

       "https://tvmexportexternalprdeus.blob.core.windows.net/temp-../2022-08-02/2201/InfoGatheringExport/json/OrgId=../_RbacGroupId=../part-00055-12fc2fcd-8f56-4e09-934f-e8efe7ce74a0.c000.json.gz?sv=2020-08-04&st=2022-08-02T22%3A47%3A11Z&se=2022-08-03T01%3A47%3A11Z&sr=b&sp=r&sig=.."

   ],


   "generatedTime": "2022-08-02T22:01:00Z"


}

Совет

Совет по производительности Из-за различных факторов (примеры приведены ниже) Microsoft Defender антивирусная программа, как и другие антивирусные программы, может вызвать проблемы с производительностью на конечных точках устройств. В некоторых случаях может потребоваться настроить производительность антивирусной программы Microsoft Defender, чтобы устранить эти проблемы с производительностью. Анализатор производительности Корпорации Майкрософт — это средство командной строки PowerShell, которое помогает определить, какие файлы, пути к файлам, процессы и расширения файлов могут вызывать проблемы с производительностью. Ниже приведены некоторые примеры:

• Основные пути, влияющие на время сканирования
• Основные файлы, влияющие на время сканирования
• Основные процессы, влияющие на время сканирования
• Основные расширения файлов, влияющие на время сканирования
• Сочетания— например:
  • top files per extension
  • верхние пути на расширение
  • top процессов на путь
  • большее число сканирований на файл
  • большее число сканирований на файл на каждый процесс

Сведения, собранные с помощью анализатора производительности, можно использовать для более эффективной оценки проблем с производительностью и применения действий по исправлению. См. статью Анализатор производительности для антивирусной Microsoft Defender.

См. также

Свойства и методы экспорта сведений о работоспособности устройств

Отчеты о работоспособности и соответствии устройств

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.