Dela via


Enhetens hälsotillstånd, Microsoft Defender antivirushälsorapport

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Rapporten Enhetshälsa innehåller information om enheterna i din organisation. Rapporten innehåller trendinformation som visar antivirusstatus och Microsoft Defender antivirusmotor, intelligens och plattformsversioner.

Viktigt

För att enheter ska visas i Microsoft Defender hälsorapporter för antivirusenheter måste de uppfylla följande krav:

  • Enheten har registrerats för Microsoft Defender för Endpoint
  • OS: Windows 10, Windows 11, Windows Server 2012 R2/, 2016 R2/ 2019/2022 (icke MMA), MacOS, Linux
  • Sense (MsSense.exe): 10.8210. *+. Mer information finns i avsnittet Krav .

För att Windows Server 2012 R2 och Windows Server 2016 ska visas i hälsorapporter för enheter måste enheterna registreras med hjälp av det moderna enhetliga lösningspaketet. Mer information finns i Nya funktioner i den moderna enhetliga lösningen för Windows Server 2012 R2 och 2016.

I Microsoft Defender-portalen går du till navigeringsfönstret och väljer Rapporter och öppnar sedan Enhetens hälsa och efterlevnad. Fliken Microsoft Defender Antivirus-hälsa har åtta kort som rapporterar om följande aspekter av Microsoft Defender Antivirus:

Behörigheter för rapportåtkomst

För att få åtkomst till rapporten enhetshälsa och antivirusefterlevnad i Microsoft Defender-portalen krävs följande behörigheter:

Behörighetsnamn Behörighetstyp
Visa data Hantering av hot och sårbarheter (TVM)

Viktigt

Microsoft rekommenderar att du använder roller med minst behörighet. Detta bidrar till att förbättra säkerheten för din organisation. Global administratör är en mycket privilegierad roll som bör begränsas till nödsituationsscenarier när du inte kan använda en befintlig roll.

Så här tilldelar du följande behörigheter:

  1. Logga in på Microsoft Defender-portalen med ett konto med säkerhetsadministratör eller Global administratör tilldelad roll.

  2. I navigeringsfönstret väljer du Inställningar>Slutpunkter>Roller (under Behörigheter).

  3. Välj den roll som du vill redigera.

  4. Välj Redigera.

  5. I Redigera roll skriver du ett namn för rollen på fliken Allmänt i Rollnamn.

  6. I Beskrivning skriver du en kort sammanfattning av rollen.

  7. I Behörigheter väljer du Visa data och under Visa data väljer du Hot- och sårbarhetshantering (TVM).

Mer information om hantering av användarroller finns i Skapa och hantera roller för rollbaserad åtkomstkontroll.

Microsoft Defender fliken Antivirushälsa

Fliken Microsoft Defender antivirushälsa innehåller åtta kort som rapporterar om flera aspekter av Microsoft Defender Antivirus i din organisation:

Två kort, antivirusläge kort och senaste antivirus scan resultat kort, rapport om Microsoft Defender Antivirus-funktioner.

De återstående sex korten rapporterar om Microsoft Defender antivirusstatus för enheter i din organisation:

version kortspel: update kort{1}
Versionskort för antivirusmotor
Antivirus security intelligence-versionskort
Antivirusplattformsversionskort
Uppdateringskort för antivirusmotorn
Uppdateringskort för säkerhetsinformation
Uppdateringskort för antivirusplattform
De tre versionskorten innehåller utfällbara rapporter som ger ytterligare information och möjliggör ytterligare utforskning. De tre uppdaterade rapportkorten innehåller länkar till resurser för mer information.

{1} För de tre updates korten (kallas även uppdaterade rapportkort) anger "Inga tillgängliga data" (eller "Okänt" värde) enheter som inte rapporterar uppdateringsstatus. Enheter som inte rapporterar uppdateringsstatus kan bero på olika orsaker, till exempel:

  • Datorn är frånkopplad från nätverket.
  • Datorn är avstängd eller i viloläge.
  • Microsoft Defender Antivirus är inaktiverat.
  • Enheten är en icke-Windows-enhet (Mac eller Linux).
  • Molnskydd är inte aktiverat.
  • Enheten uppfyller inte kraven för antivirusmotorn eller plattformsversionen.

Förhandskrav

Uppdaterad rapportering genererar information för enheter som uppfyller följande kriterier:

  • Motorversion: 1.1.19300.2+

  • Plattformsversion: 4.18.2202.1+

  • Molnskydd aktiverat

  • Sense (MsSense.exe): 10.8210. *+

  • Windows OS – Windows 10 1809 eller senare

    Obs!

    * Aktuell rapportering är för närvarande endast tillgänglig för Windows-enheter. Plattformsoberoende enheter som Mac och Linux visas under "Inga tillgängliga data"/Okänd.

Visar fliken Microsoft Defender Antivirus Health.

Kortfunktioner

Funktionerna är i stort sett desamma för alla kort. Genom att klicka på ett numrerat fält i något av korten öppnas den utfällbara menyn Microsoft Defender Antivirusinformation så att du kan granska information om alla enheter som har konfigurerats med versionsnumret för en aspekt på kortet.

Visar den utfällbara menyn Microsoft Defender Antivirusinformation.

Om versionsnumret som du klickade på är:

  • En aktuell version och sedan Reparation krävs och Säkerhetsrekommendation finns inte.
  • En inaktuell version, ett meddelande överst i rapporten finns, som anger att reparation krävs och en länk för säkerhetsrekommendation finns. Välj länken säkerhetsrekommendationslänk för att navigera till Hantering av hot och säkerhetsrisker-konsolen, som kan rekommendera lämpliga antivirusuppdateringar.

Om du vill lägga till eller ta bort specifika typer av information i den utfällbara menyn Microsoft Defender Antivirusinformation väljer du Anpassa kolumner. I Anpassa kolumner markerar eller avmarkerar du objekt för att ange vad du vill ska ingå i rapporten Microsoft Defender Antivirusinformation.

Visar anpassade kolumnalternativ för Microsoft Defender antivirushälsorapportering.

Nya Microsoft Defender antivirusfilterdefinitioner

Följande tabell innehåller en lista över termer som är nya för Microsoft Defender Antivirus-rapportering.

Kolumnnamn Beskrivning
Publiceringstid för säkerhetsinformation Anger Microsofts utgivningsdatum för säkerhetsinformationsuppdateringsversionen på enheten. Enheter med en publiceringstid för säkerhetsinformation som är längre än sju dagar anses vara inaktuella i rapporterna.
Senast sedd Anger datum då enheten senast hade anslutning.
Tidsstämpel för datauppdatering Anger när klienthändelser senast togs emot för rapportering om: AV-läge, AV-motorversion, AV-plattformsversion, AV-säkerhetsinformationsversion och genomsökningsinformation.
Uppdateringstid för signatur Anger när klienthändelser senast togs emot för rapportering av motor-, plattforms- och signaturstatus.

I den utfällbara menyn: Om du klickar på enhetens namn omdirigeras du till enhetssidan för enheten, där du kan komma åt detaljerade rapporter.

Exportera rapport

Det finns två nivåer av rapporter som du kan exportera:

Export på översta nivån

Det finns två olika csv-funktioner för export via portalen:

  • Export på toppnivå. Du kan använda knappen Exportera på den översta nivån för att samla in en fullständig Microsoft Defender antivirushälsorapport (500 K-gräns).

Skärmbild som visar knappen exportrapport på den översta nivån.

  • Export på utfälld nivå. Du kan använda knappen Exportera i de utfällbara objekten för att exportera en rapport till ett Excel-kalkylblad (gräns på 100 K).

Exporterade rapporter samlar in information baserat på din startpunkt i informationsrapporten och vilka filter eller anpassade kolumner som du har angett.

Information om hur du exporterar med hjälp av API finns i följande artiklar:

Viktigt

För närvarande är endast Antivirus Health JSON-svaret allmänt tillgängligt. Api för antivirushälsa via filer är endast tillgängligt i offentlig förhandsversion.

Avancerad jakt anpassad fråga är för närvarande endast tillgänglig i offentlig förhandsversion, även om frågorna är synliga.

Microsoft Defender antivirusversion och uppdatera kortfunktioner

Följande är beskrivningar för de sex kort som rapporterar om version och update information för Microsoft Defender Antivirus-motor, säkerhetsinformation och plattformskomponenter:

Fullständig rapport

I något av de tre version korten väljer du Visa fullständig rapport för att visa de nio senaste Microsoft Defender Antivirus-rapporterna version för var och en av de tre enhetstyperna: Windows, Mac och Linux. Om det finns färre än nio visas alla. En annan kategori fångar de senaste antivirusmotorversionerna som rangordnas på tionde och lägre, om de identifieras.

Visar fördelningen av de nio främsta operativsystemen för varje typ

En viktig fördel med de tre version korten är att de ger snabba indikatorer på om de senaste versionerna av antivirusmotorer, plattformar och säkerhetsinformation används. Tillsammans med den detaljerade information som är länkad till kortet blir versionskorten ett kraftfullt verktyg för att kontrollera om versionerna är uppdaterade och för att samla in information om enskilda datorer eller grupper av datorer. När du kör dessa rapporter bör de helst indikera att de senaste antivirusversionerna är installerade, till skillnad från äldre versioner. Använd dessa rapporter för att avgöra om din organisation utnyttjar de senaste versionerna fullt ut.

Visar information om Microsoft Defender antivirusversion

För att säkerställa att din lösning mot skadlig kod identifierar de senaste hoten kan du hämta uppdateringar automatiskt som en del av Windows Update.

Mer information om aktuella versioner och hur du uppdaterar de olika Microsoft Defender Antivirus-komponenterna finns i Microsoft Defender Antivirus-plattformsstöd.

Kortbeskrivningar

Här följer en kort sammanfattning av den insamlade informationen som rapporteras i vart och ett av korten Antivirus version :

Kort i antivirusläge

Rapporter om hur många enheter i organisationen – på det datum som anges på kortet – finns i något av följande Microsoft Defender antiviruslägen:

värde läge
0 Active
1 Passive
2 Disabled (avinstallerad, inaktiverad eller SideBySidePassive {kallas även låg periodisk genomsökning})
3 Others (Körs inte, okänd)
4 EDRBlocked

Visar filtrering Microsoft Defender antiviruslägen

Följande är beskrivningar för varje läge:

  • Aktivt läge – I aktivt läge används Microsoft Defender Antivirus som den primära antivirusappen på enheten. Filer genomsöks, hot åtgärdas och identifierade hot visas i organisationens säkerhetsrapporter och i din app Windows-säkerhet.
  • Passivt läge – I passivt läge används inte Microsoft Defender Antivirus som den primära antivirusappen på enheten. Filer genomsöks och identifierade hot rapporteras, men hot åtgärdas inte av Microsoft Defender Antivirus. VIKTIGT: Microsoft Defender Antivirus kan endast köras i passivt läge på slutpunkter som är registrerade i Microsoft Defender för Endpoint. Gå till Krav för Microsoft Defender Antivirus som ska köras i passivt läge.
  • Inaktiverat läge – synonymt med: avinstallerad, inaktiverad, sideBySidePassive och låg periodisk genomsökning. När det är inaktiverat används inte Microsoft Defender Antivirus. Filer genomsöks inte och hot åtgärdas inte. I allmänhet rekommenderar Microsoft inte att du inaktiverar eller avinstallerar Microsoft Defender Antivirus.
  • Andra läge – Körs inte, okänd
  • EDR i blockeringsläge – I blockerat läge för slutpunktsidentifiering och svar (EDR). Se Slutpunktsidentifiering och svar i blockeringsläge

Enheter som antingen är passiva, LPS eller Av utgör en potentiell säkerhetsrisk och bör undersökas.

Mer information om LPS finns i Använda begränsad periodisk genomsökning i Microsoft Defender Antivirus.

Senaste resultatkort för antivirusgenomsökning

Det här kortet har två stapeldiagram som visar fullständiga resultat för snabbgenomsökningar och fullständiga genomsökningar. I båda graferna anger det första fältet slutförandehastigheten för genomsökningar och anger Slutfört, Avbrutet eller Misslyckat. Det andra fältet i varje avsnitt innehåller felkoderna för misslyckade genomsökningar. Genom att skanna kolumnerna Läge och Senaste genomsökningsresultat kan du snabbt identifiera enheter som inte är i aktivt antivirusgenomsökningsläge och enheter som har misslyckats eller avbrutit de senaste antivirusgenomsökningarna. Du kan gå tillbaka till rapporten med den här informationen och samla in mer information och säkerhetsrekommendationer. Om felkoder rapporteras på det här kortet finns det en länk för mer information om felkoder.

Mer information om de aktuella Microsoft Defender Antivirus-versionerna och hur du uppdaterar de olika Microsoft Defender Antivirus-komponenterna finns i Hantera Microsoft Defender Antivirus-uppdateringar och tillämpa baslinjer.

Versionskort för antivirusmotor

Visar realtidsresultaten för de senaste Microsoft Defender antivirusmotorversioner som är installerade på Windows-enheter, Mac-enheter och Linux-enheter i din organisation. Microsoft Defender antivirusmotorn uppdateras varje månad. Mer information om aktuella versioner och hur du uppdaterar de olika Microsoft Defender Antivirus-komponenterna finns i Microsoft Defender Stöd för antivirusplattform.

Antivirus security intelligence-versionskort

Listor de vanligaste Microsoft Defender antivirussäkerhetsinformationsversionerna som är installerade på enheter i nätverket. Microsoft uppdaterar kontinuerligt Microsoft Defender säkerhetsinformation för att hantera de senaste hoten och för att förfina identifieringslogik. Dessa förbättringar av säkerhetsinformation förbättrar möjligheten för Microsoft Defender Antivirus (och andra Microsoft-lösningar mot skadlig kod) att korrekt identifiera potentiella hot. Den här säkerhetsinformationen fungerar direkt med molnbaserat skydd för att leverera AI-förbättrat nästa generations skydd som är snabbt och kraftfullt.

Antivirusplattformsversionskort

Visar realtidsresultaten för de senaste Microsoft Defender Antivirus-plattformsversionerna som är installerade i olika versioner av Windows-, Mac- och Linux-enheter i din organisation. Microsoft Defender Antivirus-plattformen uppdateras varje månad. Mer information om aktuella versioner och hur du uppdaterar de olika Microsoft Defender Antivirus-komponenterna finns i Microsoft Defender Antivirus-plattformsstöd

Uppdaterade kort

De uppdaterade korten visar aktuell status för antivirusmotorn, antivirusplattformen och säkerhetsinformationsuppdateringsversionerna. Det finns tre möjliga tillstånd: Up to date (True), out of date (False) och no data available (Unknown).

Viktigt

Den logik som används för att göra aktuella beslut har nyligen förbättrats och förenklats. Det nya beteendet dokumenteras i det här avsnittet.

Definitioner för Up to date, out of dateoch no data available tillhandahålls för varje kort nedan.

Microsoft Defender Antivirus använder ytterligare kriterier för "Uppdateringstid för signatur" (senaste gången enheten kommunicerade med uppdaterade rapporter) för att skapa aktuella rapporter och beslut för uppdateringar av motor, plattform och säkerhetsinformation.

Den uppdaterade statusen markeras automatiskt som "okänd" eller "inga tillgängliga data" om enheten inte har kommunicerat med rapporter på mer än sju dagar (signaturuppdateringstid >7).

Mer information om de ovan nämnda termerna finns i avsnittet: Nya Microsoft Defender antivirusfilterdefinitioner

Obs!

Uppdaterad rapportering genererar information för enheter som uppfyller följande kriterier:

  • Motorversion: 1.1.19300.2 eller senare
  • Plattformsversion: 4.18.2202.1 eller senare
  • Molnskydd aktiverat
  • Windows OS

Aktuell rapportering är för närvarande endast tillgänglig för Windows-enheter. Plattformsoberoende enheter som Mac och Linux visas under no data available.>

Uppdaterade definitioner

Följande är uppdaterade definitioner för motor och plattform:

Motorn/plattformen på enheten anses: Situation
Aktuell Om enheten kommunicerade med Defender-rapporthändelsen (Signature refresh time) inom de senaste sju dagarna och versionen av motor- eller plattformsversionen är större än eller lika med (>=) den senaste månatliga versionen.
antik Om enheten kommunicerade med Defender-rapporthändelsen (Signature refresh time) under de senaste sju dagarna, men versionen av motor- eller plattformsversionen är mindre än (<) den senaste månatliga versionen.
okänd (inga tillgängliga data) Om enheten inte har kommunicerat med rapporthändelsen (Signature refresh time) på mer än sju dagar.

Följande är definitionerna för uppdaterad säkerhetsinformation:

Uppdateringen av säkerhetsinformationen beaktas: Situation
Aktuell Om säkerhetsinformationsversionen på enheten har skrivits under de senaste sju dagarna och enheten har kommunicerat med rapporthändelsen under de senaste sju dagarna.

Mer information finns i:

Uppdateringskort för antivirusmotorn

Det här kortet identifierar enheter som har antivirusmotorversioner som är uppdaterade jämfört med inaktuella.

Den allmänna definitionen av up to date – Motorversionen på enheten är den senaste motorversionen. Motorn släpps vanligtvis varje månad via Windows Update (WU). Det finns en respitperiod på tre dagar från den dag då Windows Update (WU) släpps.

I följande tabell beskrivs möjliga värden för uppdaterade rapporter för antivirusmotorn. Rapporterad status baseras på den senaste gången rapporthändelsen togs emot (uppdateringstid för signatur). Om enheten inte har kommunicerat med rapporter på mer än sju dagar (signaturuppdateringstid >7 dagar) markeras statusen automatiskt som / UnknownNo Data Available .

Händelsens senaste uppdateringstid (kallas även "Uppdateringstid för signatur" i rapporter) Rapporterad status
< 7 dagar (ny) oavsett klientrapporter (uppdaterad
Inaktuell
Okänd)
> 7 dagar (gammal) Unknown

Information om hur du hanterar Microsoft Defender Antivirus-uppdateringsversioner finns i Månatliga plattforms- och motorversioner.

Uppdateringskort för antivirusplattform

Det här kortet identifierar enheter som har antivirusplattformsversioner som är uppdaterade jämfört med inaktuella.

Den allmänna definitionen av up to date är att plattformsversionen på enheten är den senaste plattformsversionen. Plattformen släpps vanligtvis varje månad via Windows Update (WU). Det finns en respitperiod på tre dagar från den dag då WU släpps.

I följande tabell beskrivs möjliga uppdaterade rapportvärden för Antivirus Platform. Rapporterade värden baseras på den senaste gången rapporteringshändelsen togs emot (uppdateringstid för signatur). Om enheten inte har kommunicerat med rapporter på mer än sju dagar (signaturuppdateringstid >7 dagar) markeras statusen automatiskt som/ UnknownNo Data Available .

Händelsens senaste uppdateringstid (kallas även "Uppdateringstid för signatur" i rapporter) Rapporterad status
< 7 dagar (ny) oavsett klientrapporter (Up to date
Out of date
Unknown)
> 7 dagar (gammal) Unknown

Information om hur du hanterar Microsoft Defender Antivirus-uppdateringsversioner finns i Månatliga plattforms- och motorversioner.

Uppdateringskort för säkerhetsinformation

Det här kortet identifierar enheter som har säkerhetsinformationsversioner som är uppdaterade jämfört med inaktuella.

Den allmänna definitionen av up to date är att säkerhetsinformationsversionen på enheten har skrivits under de senaste 7 dagarna.

I följande tabell beskrivs möjliga uppdaterade rapportvärden för uppdateringar av Säkerhetsinformation . Rapporterade värden baseras på den senaste gången rapporteringshändelsen togs emot och publiceringstiden för säkerhetsinformationen. Om enheten inte har kommunicerat med rapporter på mer än sju dagar (signaturuppdateringstid >7 dagar) markeras statusen automatiskt som Unknown/ No Data Available. Annars görs fastställandet baserat på om publiceringstiden för säkerhetsinformationen är inom sju dagar.

Händelsens senaste uppdateringstid
(Kallas även "Uppdateringstid för signatur" i rapporter)
Publiceringstid för Säkerhetsinformation Rapporterad status
>7 dagar (gammal) >7 dagar (gammal) Unknown
<7 dagar (ny) >7 dagar (gammal) Out of date
>7 dagar (gammal) <7 dagar (ny) Unknown
<7 dagar (ny) <7 dagar (ny) Up to date

Se även

Tips

Prestandatips På grund av en mängd olika faktorer (exempel som anges nedan) kan Microsoft Defender Antivirus, som andra antivirusprogram, orsaka prestandaproblem på slutpunktsenheter. I vissa fall kan du behöva justera prestanda för Microsoft Defender Antivirus för att lindra dessa prestandaproblem. Microsofts prestandaanalys är ett PowerShell-kommandoradsverktyg som hjälper dig att avgöra vilka filer, filsökvägar, processer och filnamnstillägg som kan orsaka prestandaproblem. Några exempel är:

  • De vanligaste sökvägarna som påverkar genomsökningstiden
  • De vanligaste filerna som påverkar genomsökningstiden
  • De vanligaste processerna som påverkar genomsökningstiden
  • De vanligaste filnamnstilläggen som påverkar genomsökningstiden
  • Kombinationer – till exempel:
    • de vanligaste filerna per tillägg
    • de översta sökvägarna per tillägg
    • de vanligaste processerna per sökväg
    • de vanligaste genomsökningarna per fil
    • de vanligaste genomsökningarna per fil per process

Du kan använda informationen som samlas in med hjälp av prestandaanalys för att bättre utvärdera prestandaproblem och tillämpa reparationsåtgärder. Se: Prestandaanalys för Microsoft Defender Antivirus.

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.