Работоспособности устройств, Microsoft Defender отчет о работоспособности антивирусной программы
Область применения:
- Microsoft Defender XDR
- Microsoft Defender для конечной точки
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender для бизнеса
Хотите попробовать Microsoft Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
Отчет о работоспособности устройств содержит сведения об устройствах в вашей организации. Отчет содержит сведения о состоянии антивирусной программы и Microsoft Defender версии антивирусной программы, аналитики и платформы.
Важно!
Чтобы устройства отображались в Microsoft Defender отчетах о работоспособности антивирусных устройств, они должны соответствовать следующим предварительным требованиям:
- Устройство подключено к Microsoft Defender для конечной точки
- ОС: Windows 10, Windows 11, Windows Server 2012 R2/, 2016 R2/ 2019/2022 (не MMA), MacOS, Linux
- Sense (MsSense.exe): 10.8210. *+. Дополнительные сведения см. в разделе Предварительные требования .
Чтобы Windows Server 2012 R2 и Windows Server 2016 отображались в отчетах о работоспособности устройств, эти устройства должны быть подключены с помощью современного унифицированного пакета решения. Дополнительные сведения см. в статье Новые функции в современном унифицированном решении для Windows Server 2012 R2 и 2016.
На панели навигации microsoft 365 Security dashboard (Безопасность Microsoft 365) выберите Отчеты, а затем откройте раздел Работоспособности и соответствия устройств. Вкладка работоспособности антивирусной программы Microsoft Defender содержит восемь карточек, которые сообщают о следующих аспектах антивирусной программы Microsoft Defender:
- Режим антивирусной программы карта
- карта версии антивирусного ядра
- Карта версии аналитики безопасности антивирусной программы
- карта версии антивирусной платформы
- Последние результаты антивирусной проверки карта
- Обновления антивирусного ядра карта
- Обновления аналитики безопасности карта
- Обновления антивирусной платформы карта
Разрешения на доступ к отчетам
Для доступа к отчету о работоспособности устройств и соответствии антивирусной программы на панели мониторинга безопасности Microsoft 365 требуются следующие разрешения:
| Имя разрешения | Тип разрешения |
|---|---|
| Просмотр данных | Управление угрозами и уязвимостями (TVM) |
Чтобы назначить эти разрешения, выполните следующие действия:
- Войдите в Microsoft Defender XDR с помощью учетной записи администратора безопасности или назначенной глобальный администратор роли.
- В области навигации выберите Параметры>Роли конечных> точек(в разделе Разрешения).
- Выберите роль, которую вы хотите изменить.
- Нажмите Изменить.
- В разделе Изменение роли на вкладке Общие в поле Имя роли введите имя роли.
- В поле Описание введите краткую сводку по роли.
- В разделе Разрешения выберите Просмотр данных и в разделе Просмотр данных выберите Управление угрозами и уязвимостями (TVM).
Дополнительные сведения об управлении ролями пользователей см. в статье Create и управление ролями для управления доступом на основе ролей.
вкладка "Работоспособности антивирусной программы" Microsoft Defender
Вкладка работоспособности антивирусной программы Microsoft Defender содержит восемь карточек, которые сообщают о нескольких аспектах Microsoft Defender антивирусной программы в вашей организации:
Две карточки, антивирусная карта и последние результаты антивирусной проверки карта, сообщают о Microsoft Defender антивирусных функциях.
Оставшиеся шесть карточек сообщают о состоянии антивирусной программы Microsoft Defender для устройств в вашей организации:
| карточки версий : | карточки обновления {1} |
|---|---|
| карта версии антивирусного ядра Карта версии аналитики безопасности антивирусной программы карта версии антивирусной платформы |
Обновления антивирусного ядра карта Обновления аналитики безопасности карта Обновления антивирусной платформы карта |
| Три карточки версий предоставляют всплывающие отчеты, которые предоставляют дополнительные сведения и обеспечивают дальнейшее изучение. | В трех актуальных карточках отчетов содержатся ссылки на ресурсы, чтобы узнать больше. |
{1} Для трех карточек обновлений (также известных как актуальные карточки отчетов) значение "Нет данных доступны" (или "Неизвестно") указывает на устройства, которые не сообщают о состоянии обновления. Устройства, которые не сообщают о состоянии обновления, могут быть вызваны различными причинами, например:
- Компьютер отключен от сети.
- Компьютер выключен или находится в режиме гибернации.
- Microsoft Defender антивирусная программа отключена.
- Устройство не является устройством Windows (Mac или Linux).
- Защита облака не включена.
- Устройство не соответствует предварительным требованиям для антивирусного ядра или версии платформы.
Предварительные условия
Актуальные отчеты создают сведения для устройств, соответствующих следующим критериям:
Версия обработчика: 1.1.19300.2+
Версия платформы: 4.18.2202.1+
Облачная защита включена
Смысл (MsSense.exe): 10,8210. *+
ОС Windows — Windows 10 1809 или более поздней версии
Примечание.
* В настоящее время актуальные отчеты доступны только для устройств Windows. Кроссплатформенные устройства, такие как Mac и Linux, перечислены в разделе "Нет доступных данных"/Неизвестно.
Функциональность карточки
Функциональность по существу одинакова для всех карточек. Щелкнув нумерованную полосу в любой из карточек, откроется всплывающее окно сведения о антивирусной программе Microsoft Defender, чтобы просмотреть сведения обо всех устройствах, настроенных с номером версии аспекта на этом карта.
Если вы нажали номер версии:
- Текущая версия, а затем требуется исправление и рекомендации по безопасности отсутствуют.
- Устаревшая версия, в верхней части отчета отображается уведомление, указывающее, что требуется исправление, а также ссылка Рекомендации по безопасности . Щелкните ссылку рекомендации по безопасности, чтобы перейти к консоли контроль угроз и уязвимостей, которая может порекомендовать соответствующие обновления антивирусной программы.
Чтобы добавить или удалить определенные типы сведений во всплывающем меню сведения о антивирусной программе Microsoft Defender, выберите Настроить столбцы. В разделе Настройка столбцов выберите или снимите флажки, чтобы указать, что нужно включить в отчет Microsoft Defender сведения о антивирусной программе.
Новые Microsoft Defender определения фильтров антивирусной программы
В следующей таблице содержится список терминов, которые являются новыми для Microsoft Defender антивирусных отчетов.
| Столбец | Описание |
|---|---|
| Время публикации аналитики безопасности | Указывает дату выпуска майкрософт версии обновления аналитики безопасности на устройстве. Устройства с временем публикации аналитики безопасности более семи дней считаются устаревшими в отчетах. |
| Был(-а) в сети | Указывает дату последнего подключения устройства. |
| Метка времени обновления данных | Указывает, когда в последний раз были получены события клиента для создания отчетов в: режим av, версия обработчика AV, версия платформы AV, версия аналитики безопасности av и сведения о сканировании. |
| Время обновления сигнатуры | Указывает, когда в последний раз были получены события клиента для создания отчетов о состоянии обработчика, платформы и сигнатуры. |
Во всплывающем окне: щелкнув имя устройства, вы перейдете на страницу "Устройство" для этого устройства, где можно получить доступ к подробным отчетам.
Экспорт отчета
Существует два уровня отчетов, которые можно экспортировать:
Экспорт верхнего уровня
Существует две различные функции экспорта CSV на портале:
- Экспорт верхнего уровня. С помощью кнопки экспорта верхнего уровня можно собрать общий отчет о работоспособности антивирусной программы Microsoft Defender (ограничение в 500 кб).
- Экспорт на уровне всплывающего меню. Вы можете использовать кнопку Экспорт во всплывающих элементах для экспорта отчета в электронную таблицу Excel (ограничение в 100 кб).
Экспортированные отчеты фиксируют сведения на основе точки входа в отчет со сведениями и заданных фильтров или настраиваемых столбцов.
Сведения об экспорте с помощью API см. в следующих статьях:
- Экспорт отчета о состоянии антивирусной программы устройства
- Экспорт методов и свойств API сведений о работоспособности антивирусной программы
Важно!
В настоящее время общедоступен только ответ JSON работоспособности антивирусной программы . API работоспособности антивирусной программы через файлы доступен только в общедоступной предварительной версии.
Настраиваемый запрос расширенной охоты в настоящее время доступен только в общедоступной предварительной версии, даже если запросы видны.
Microsoft Defender версия антивирусной программы и функции карточек обновления
Ниже приведены описания шести карточек, которые сообщают о версии и сведениях об обновлении для Microsoft Defender антивирусной программы, аналитики безопасности и компонентов платформы.
Полный отчет
В любой из трех карточек версий выберите Просмотреть полный отчет, чтобы отобразить девять последних отчетов о версиях Microsoft Defender антивирусной программы для каждого из трех типов устройств: Windows, Mac и Linux. Если их существует меньше девяти, все они отображаются. Категория Other записывает последние версии антивирусного ядра с десятым и более поздним, если они обнаружены.
Основное преимущество трех карточек версий заключается в том, что они предоставляют быстрые индикаторы того, используются ли самые последние версии антивирусных ядр, платформ и аналитики безопасности. В сочетании с подробными сведениями, связанными с карта, карточки версий становятся мощным инструментом для проверка актуальности версий и сбора сведений об отдельных компьютерах или группах компьютеров. В идеале при запуске этих отчетов они указывают на то, что установлены самые последние версии антивирусной программы, а не более старые версии. Используйте эти отчеты, чтобы определить, использует ли ваша организация все преимущества самых последних версий.
Чтобы убедиться, что ваше решение для защиты от вредоносных программ обнаруживает последние угрозы, автоматически получайте обновления в рамках клиентский компонент Центра обновления Windows.
Дополнительные сведения о текущих версиях и об обновлении различных компонентов антивирусной программы Microsoft Defender см. в статье Поддержка платформы антивирусной программы Microsoft Defender.
Описания карточек
Ниже приведены краткие сводки по собранным сведениям, представленным в каждой из карточек версий антивирусной программы .
Режим антивирусной программы карта
Сообщает о том, сколько устройств в вашей организации в дату, указанную в карта, находятся в любом из следующих Microsoft Defender антивирусных режимов:
| значение | mode |
|---|---|
| 0 | Активное |
| 1 | Пассивный |
| 2 | Отключено (удалено, отключено или SideBySidePassive {также известно как Low Periodic Scan}) |
| 3 | Другие (не выполняется, неизвестно) |
| 4 | EDRBlocked |
Ниже приведены описания для каждого режима.
- Активный режим. В активном режиме Microsoft Defender антивирусная программа используется в качестве основного антивирусного приложения на устройстве. Файлы проверяются, угрозы устраняются, а обнаруженные угрозы перечислены в отчетах о безопасности вашей организации и в приложении "Безопасность Windows".
- Пассивный режим. В пассивном режиме антивирусная программа Microsoft Defender не используется в качестве основного антивирусного приложения на устройстве. Файлы сканируются и об обнаруженных угрозах сообщаются, но угрозы не устраняются Microsoft Defender антивирусной программой. ВАЖНО. Антивирусная программа в Microsoft Defender может работать в пассивном режиме только на конечных точках, подключенных к Microsoft Defender для конечной точки. См. статью Требования к запуску антивирусной программы в Microsoft Defender в пассивном режиме.
- Отключенный режим — синонимы: удалено, отключено, sideBySidePassive и Low Periodic Scan. Если этот параметр отключен, антивирусная программа Microsoft Defender не используется. Файлы не сканируются, а угрозы не устраняются. Как правило, корпорация Майкрософт не рекомендует отключать или удалять антивирусную программу Microsoft Defender.
- Режим "Другие " — не выполняется, неизвестно
- EDR в режиме блокировки — в заблокированном режиме обнаружения и ответа конечной точки (EDR). См . статью Обнаружение конечных точек и реагирование в режиме блокировки
Устройства, которые находятся в пассивном режиме, LPS или Off, представляют потенциальную угрозу безопасности, и их следует исследовать.
Дополнительные сведения о LPS см. в статье Использование ограниченного периодического сканирования в Microsoft Defender антивирусной программы.
Последние результаты антивирусной проверки карта
Этот карта содержит две диаграммы, показывающие все результаты для быстрого и полного сканирования. На обоих графиках первая полоса указывает частоту завершения проверок и указывает завершено, отменено или сбой. Вторая панель в каждом разделе содержит коды ошибок для неудачных проверок. Просканировав столбцы Режим и Последние результаты сканирования , вы можете быстро определить устройства, которые не в активном режиме антивирусной проверки, а также устройства, которые завершились сбоем или отменили последние антивирусные проверки. Вы можете вернуться к отчету с этой информацией и собрать дополнительные сведения и рекомендации по безопасности. Если в этом карта отображаются какие-либо коды ошибок, появится ссылка для получения дополнительных сведений о кодах ошибок.
Дополнительные сведения о текущих версиях антивирусной программы Microsoft Defender и об обновлении различных компонентов антивирусной программы Microsoft Defender см. в статье Управление обновлениями антивирусной программы Microsoft Defender и применение базовых показателей.
карта версии антивирусного ядра
В режиме реального времени отображаются результаты самых последних версий ядра антивирусной программы Microsoft Defender, установленных на устройствах Windows, mac и устройствах Linux в вашей организации. Microsoft Defender антивирусная программа обновляется ежемесячно. Дополнительные сведения о текущих версиях и способах обновления различных компонентов антивирусной Microsoft Defender см. в разделе Поддержка платформы антивирусной программы Microsoft Defender.
Карта версии аналитики безопасности антивирусной программы
Списки наиболее распространенные версии Microsoft Defender антивирусной аналитики безопасности, установленные на устройствах в сети. Корпорация Майкрософт постоянно обновляет Microsoft Defender аналитику безопасности для устранения последних угроз и уточнения логики обнаружения. Эти уточнения в аналитике безопасности расширяют возможности Microsoft Defender антивирусной программы (и других решений Майкрософт для защиты от вредоносных программ) для точного выявления потенциальных угроз. Эта аналитика безопасности работает непосредственно с облачной защитой, обеспечивая быструю и мощную защиту нового поколения с улучшенным ИИ.
карта версии антивирусной платформы
Показывает результаты в реальном времени самых последних версий платформы антивирусной программы Microsoft Defender, установленных в разных версиях устройств Windows, Mac и Linux в вашей организации. Microsoft Defender антивирусная платформа обновляется ежемесячно. Дополнительные сведения о текущих версиях и об обновлении различных компонентов антивирусной программы Microsoft Defender см. в разделе Поддержка Microsoft Defender антивирусной платформы.
Актуальные карточки
На актуальных карточках отображается актуальное состояние антивирусного ядра, антивирусной платформы и обновлений аналитики безопасности . Существует три возможных состояния: актуальное ("True"), устаревшее ("False") и отсутствие доступных данных ("Неизвестно").
Важно!
Логика, используемая для создания актуальных определений, недавно была усовершенствована и упрощена. Новое поведение описано в этом разделе.
Для каждой карта ниже приведены определения актуальных, устаревших и недоступных данных.
антивирусная программа Microsoft Defender использует дополнительные критерии "Время обновления подписи" (время последнего взаимодействия устройства с актуальными отчетами) для создания актуальных отчетов и определений для обновлений подсистемы, платформы и аналитики безопасности.
Актуальное состояние автоматически помечается как "неизвестно" или "данные недоступны", если устройство не взаимодействовало с отчетами более семи дней (время >обновления сигнатуры 7).
Дополнительные сведения об указанных выше терминах см. в разделе Новые Microsoft Defender определения фильтров антивирусной программы.
Примечание.
Актуальные предварительные требования для создания отчетов
Актуальные отчеты создают сведения для устройств, соответствующих следующим критериям:
- Версия обработчика: 1.1.19300.2+
- Версия платформы: 4.18.2202.1+
- Облачная защита включена
- ОС Windows*
*В настоящее время актуальные отчеты доступны только для устройств Windows. Кроссплатформенные устройства, такие как Mac и Linux, перечислены в разделе "Данные недоступны".
Актуальные определения
Ниже приведены актуальные определения для подсистемы и платформы.
| Подсистема или платформа на устройстве считаются следующими: | Ситуация |
|---|---|
| Современный | Если устройство взаимодействовало с событием отчета Defender ("Время обновления подписи") в течение последних семи дней, а версия сборки подсистемы или платформы больше или равна (>=) последней версии ежемесячного выпуска. |
| устаревшая | Если устройство взаимодействовало с событием отчета Defender ("Время обновления сигнатуры") в течение последних семи дней, но версия сборки обработчика или платформы меньше (<) последней версии ежемесячного выпуска. |
| unknown (нет доступных данных) | Если устройство не взаимодействовало с событием отчета ("Время обновления сигнатуры") в течение более семи дней. |
Ниже приведены определения для актуальной аналитики безопасности.
| Обновление аналитики безопасности считается следующим: | Ситуация |
|---|---|
| Современный | Если версия аналитики безопасности на устройстве была написана за последние семь дней и устройство взаимодействовало с событием отчета за последние семь дней. |
Дополнительные сведения см. в разделе:
- Обновления антивирусного ядра карта
- Обновления аналитики безопасности карта
- Обновления антивирусной платформы карта
Обновления антивирусного ядра карта
Этот карта определяет устройства с последними и устаревшими версиями антивирусного ядра.
Общее определение "обновлено" — версия подсистемы на устройстве является последним выпуском обработчика. Подсистема обычно выпускается ежемесячно через клиентский компонент Центра обновления Windows (WU)). Существует трехдневный льготный период с момента выпуска клиентский компонент Центра обновления Windows (WU).
В следующей таблице приведены возможные значения для актуальных отчетов для антивирусной подсистемы. Состояние отчета основано на времени последнего получения события отчетности (время обновления сигнатуры). Если устройство не взаимодействовало с отчетами более семи дней (время >обновления сигнатуры — 7 дней), состояние автоматически помечается как "Неизвестно" или "Нет доступных данных".
| Время последнего обновления события (также известное как "Время обновления подписи" в отчетах) | Состояние сообщения: |
|---|---|
| < 7 дней (новый) | какие-либо отчеты клиента (обновлено) Устарели Неизвестно) |
| > 7 дней (старая версия) | Unknown |
Сведения об управлении версиями обновлений Microsoft Defender антивирусной программы см. в статье Версии ежемесячной платформы и ядра.
Обновления антивирусной платформы карта
Этот карта определяет устройства с последними и устаревшими версиями антивирусной платформы.
Общее определение "актуальности" заключается в том, что версия платформы на устройстве является последним выпуском платформы. Платформа обычно выпускается ежемесячно через клиентский компонент Центра обновления Windows (WU). Существует трехдневный льготный период с момента выпуска WU.
В следующей таблице приведены возможные актуальные значения отчетов для антивирусной платформы. Сообщаемые значения основаны на времени последнего получения события отчета (время обновления сигнатуры). Если устройство не взаимодействовало с отчетами более семи дней (время >обновления подписи 7 дней), состояние автоматически помечается как "Неизвестно" или "Нет данных".
| Время последнего обновления события (также известное как "Время обновления подписи" в отчетах) | Состояние сообщения |
|---|---|
| < 7 дней (новый) | какие-либо отчеты клиента (обновлено) Устарели Неизвестно) |
| > 7 дней (старая версия) | Unknown |
Сведения об управлении версиями обновлений Microsoft Defender антивирусной программы см. в статье Версии ежемесячной платформы и ядра.
Обновления аналитики безопасности карта
Этот карта определяет устройства с актуальными и устаревшими версиями аналитики безопасности.
Общее определение "актуально" заключается в том, что версия аналитики безопасности на устройстве была написана за последние 7 дней.
В следующей таблице приведены возможные актуальные значения отчетов для обновлений аналитики безопасности . Сообщаемые значения основаны на времени последнего получения события отчета и времени публикации аналитики безопасности. Если устройство не взаимодействовало с отчетами более семи дней (время >обновления подписи — 7 дней), состояние автоматически помечается как "Неизвестно/ Нет доступных данных". В противном случае определение определяется на основе того, находится ли время публикации аналитики безопасности в течение семи дней.
| Время последнего обновления события (Также известное как "Время обновления подписи" в отчетах) |
Время публикации аналитики безопасности | Состояние сообщения |
|---|---|---|
| >7 дней (старая версия) | >7 дней (старая версия) | Unknown |
| <7 дней (новый) | >7 дней (старая версия) | Устарели |
| >7 дней (старая версия) | <7 дней (новый) | Unknown |
| <7 дней (новый) | <7 дней (новый) | Современный |
См. также
Совет
Совет по производительности Из-за различных факторов (примеры приведены ниже) Microsoft Defender антивирусная программа, как и другие антивирусные программы, может вызвать проблемы с производительностью на конечных точках устройств. В некоторых случаях может потребоваться настроить производительность антивирусной программы Microsoft Defender, чтобы устранить эти проблемы с производительностью. Анализатор производительности Корпорации Майкрософт — это средство командной строки PowerShell, которое помогает определить, какие файлы, пути к файлам, процессы и расширения файлов могут вызывать проблемы с производительностью. Ниже приведены некоторые примеры:
- Основные пути, влияющие на время сканирования
- Основные файлы, влияющие на время сканирования
- Основные процессы, влияющие на время сканирования
- Основные расширения файлов, влияющие на время сканирования
- Сочетания— например:
- top files per extension
- верхние пути на расширение
- top процессов на путь
- большее число сканирований на файл
- большее число сканирований на файл на каждый процесс
Сведения, собранные с помощью анализатора производительности, можно использовать для более эффективной оценки проблем с производительностью и применения действий по исправлению. См. статью Анализатор производительности для антивирусной Microsoft Defender.
- Экспорт методов и свойств API сведений о работоспособности антивирусной программы
- Экспорт отчета о состоянии антивирусной программы устройства
- Отчет о состоянии защиты от угроз
Совет
Сведения, связанные с антивирусной программой для других платформ, см. в разделе:
- Установка параметров Microsoft Defender для конечной точки в macOS
- Microsoft Defender для конечной точки на Mac
- Параметры антивирусной политики macOS для антивирусной программы Microsoft Defender для Intune
- Установите параметры Microsoft Defender для конечной точки в Linux.
- Microsoft Defender для конечной точки в Linux
- Настройка функций Defender для конечной точки на Android
- Настройка защитника Майкрософт для конечной точки на функциях iOS
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по