Enhetens hälsotillstånd, Microsoft Defender antivirushälsorapport
Gäller för:
- Microsoft Defender XDR
- Microsoft Defender för Endpoint
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft Defender för företag
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Rapporten Enhetshälsa innehåller information om enheterna i din organisation. Rapporten innehåller trendinformation som visar antivirusstatus och Microsoft Defender antivirusmotor, intelligens och plattformsversioner.
Viktigt
För att enheter ska visas i Microsoft Defender hälsorapporter för antivirusenheter måste de uppfylla följande krav:
- Enheten har registrerats för Microsoft Defender för Endpoint
- OS: Windows 10, Windows 11, Windows Server 2012 R2/, 2016 R2/ 2019/2022 (icke MMA), MacOS, Linux
- Sense (MsSense.exe): 10.8210. *+. Mer information finns i avsnittet Krav .
För att Windows Server 2012 R2 och Windows Server 2016 ska visas i hälsorapporter för enheter måste enheterna registreras med hjälp av det moderna enhetliga lösningspaketet. Mer information finns i Nya funktioner i den moderna enhetliga lösningen för Windows Server 2012 R2 och 2016.
I navigeringspanelen för Microsoft 365 Security-instrumentpanelen väljer du Rapporter och öppnar sedan Enhetens hälsa och efterlevnad. Fliken Microsoft Defender Antivirus-hälsa har åtta kort som rapporterar om följande aspekter av Microsoft Defender Antivirus:
- Kort i antivirusläge
- Versionskort för antivirusmotor
- Antivirus security intelligence-versionskort
- Antivirusplattformsversionskort
- Senaste resultatkort för antivirusgenomsökning
- Uppdateringskort för antivirusmotorn
- Uppdateringskort för säkerhetsinformation
- Uppdateringskort för antivirusplattform
Behörigheter för rapportåtkomst
För att få åtkomst till rapporten enhetshälsa och antivirusefterlevnad på instrumentpanelen för Microsoft 365-säkerhet krävs följande behörigheter:
| Behörighetsnamn | Behörighetstyp |
|---|---|
| Visa data | Hantering av hot och sårbarheter (TVM) |
Så här tilldelar du följande behörigheter:
- Logga in på Microsoft Defender XDR med hjälp av ett konto med säkerhetsadministratör eller Global administratör tilldelad roll.
- I navigeringsfönstret väljer du Inställningar>Slutpunkter>Roller (under Behörigheter).
- Välj den roll som du vill redigera.
- Välj Redigera.
- I Redigera roll skriver du ett namn för rollen på fliken Allmänt i Rollnamn.
- I Beskrivning skriver du en kort sammanfattning av rollen.
- I Behörigheter väljer du Visa data och under Visa data väljer du Hot- och sårbarhetshantering (TVM).
Mer information om hantering av användarroller finns i Skapa och hantera roller för rollbaserad åtkomstkontroll.
Microsoft Defender fliken Antivirushälsa
Fliken Microsoft Defender antivirushälsa innehåller åtta kort som rapporterar om flera aspekter av Microsoft Defender Antivirus i din organisation:
Två kort, antivirusläge kort och senaste antivirus scan resultat kort, rapport om Microsoft Defender Antivirus-funktioner.
De återstående sex korten rapporterar om Microsoft Defender antivirusstatus för enheter i din organisation:
| versionskort : | uppdatera kort{1} |
|---|---|
| Versionskort för antivirusmotor Antivirus security intelligence-versionskort Antivirusplattformsversionskort |
Uppdateringskort för antivirusmotorn Uppdateringskort för säkerhetsinformation Uppdateringskort för antivirusplattform |
| De tre versionskorten innehåller utfällbara rapporter som ger ytterligare information och möjliggör ytterligare utforskning. | De tre uppdaterade rapportkorten innehåller länkar till resurser för mer information. |
{1} För de tre uppdateringskorten (kallas även uppdaterade rapportkort) anger "Inga tillgängliga data" (eller "Okänt" värde) enheter som inte rapporterar uppdateringsstatus. Enheter som inte rapporterar uppdateringsstatus kan bero på olika orsaker, till exempel:
- Datorn är frånkopplad från nätverket.
- Datorn är avstängd eller i viloläge.
- Microsoft Defender Antivirus är inaktiverat.
- Enheten är en icke-Windows-enhet (Mac eller Linux).
- Molnskydd är inte aktiverat.
- Enheten uppfyller inte kraven för antivirusmotorn eller plattformsversionen.
Förutsättningar
Uppdaterad rapportering genererar information för enheter som uppfyller följande kriterier:
Motorversion: 1.1.19300.2+
Plattformsversion: 4.18.2202.1+
Molnskydd aktiverat
Sense (MsSense.exe): 10.8210. *+
Windows OS – Windows 10 1809 eller senare
Obs!
* Aktuell rapportering är för närvarande endast tillgänglig för Windows-enheter. Plattformsoberoende enheter som Mac och Linux visas under "Inga tillgängliga data"/Okänd.
Kortfunktioner
Funktionerna är i stort sett desamma för alla kort. Genom att klicka på ett numrerat fält i något av korten öppnas den utfällbara menyn Microsoft Defender Antivirusinformation så att du kan granska information om alla enheter som har konfigurerats med versionsnumret för en aspekt på kortet.
Om versionsnumret som du klickade på är:
- En aktuell version och sedan Reparation krävs och Säkerhetsrekommendation finns inte.
- En inaktuell version, ett meddelande överst i rapporten finns, som anger att reparation krävs och en länk för säkerhetsrekommendation finns. Välj länken säkerhetsrekommendationslänk för att navigera till Hantering av hot och säkerhetsrisker-konsolen, som kan rekommendera lämpliga antivirusuppdateringar.
Om du vill lägga till eller ta bort specifika typer av information i den utfällbara menyn Microsoft Defender Antivirusinformation väljer du Anpassa kolumner. I Anpassa kolumner markerar eller avmarkerar du objekt för att ange vad du vill ska ingå i rapporten Microsoft Defender Antivirusinformation.
Nya Microsoft Defender antivirusfilterdefinitioner
Följande tabell innehåller en lista över termer som är nya för Microsoft Defender Antivirus-rapportering.
| Kolumnnamn | Beskrivning |
|---|---|
| Publiceringstid för säkerhetsinformation | Anger Microsofts utgivningsdatum för säkerhetsinformationsuppdateringsversionen på enheten. Enheter med en publiceringstid för säkerhetsinformation som är längre än sju dagar anses vara inaktuella i rapporterna. |
| Senast sedd | Anger datum då enheten senast hade anslutning. |
| Tidsstämpel för datauppdatering | Anger när klienthändelser senast togs emot för rapportering om: AV-läge, AV-motorversion, AV-plattformsversion, AV-säkerhetsinformationsversion och genomsökningsinformation. |
| Uppdateringstid för signatur | Anger när klienthändelser senast togs emot för rapportering av motor-, plattforms- och signaturstatus. |
I den utfällbara menyn: Om du klickar på enhetens namn omdirigeras du till enhetssidan för enheten, där du kan komma åt detaljerade rapporter.
Exportera rapport
Det finns två nivåer av rapporter som du kan exportera:
Export på översta nivån
Det finns två olika csv-funktioner för export via portalen:
- Export på toppnivå. Du kan använda knappen Exportera på den översta nivån för att samla in en fullständig Microsoft Defender antivirushälsorapport (500 K-gräns).
- Export på utfälld nivå. Du kan använda knappen Exportera i de utfällbara objekten för att exportera en rapport till ett Excel-kalkylblad (gräns på 100 K).
Exporterade rapporter samlar in information baserat på din startpunkt i informationsrapporten och vilka filter eller anpassade kolumner som du har angett.
Information om hur du exporterar med hjälp av API finns i följande artiklar:
- Exportera enhetens antivirushälsorapport
- Exportera API-metoder och egenskaper för api:et för hälsoinformation för enhets antivirus
Viktigt
För närvarande är endast Antivirus Health JSON-svaret allmänt tillgängligt. Api för antivirushälsa via filer är endast tillgängligt i offentlig förhandsversion.
Avancerad jakt anpassad fråga är för närvarande endast tillgänglig i offentlig förhandsversion, även om frågorna är synliga.
Microsoft Defender antivirusversion och uppdatera kortfunktioner
Följande är beskrivningar för de sex kort som rapporterar om version och uppdateringsinformation för Microsoft Defender Antivirus-motor, säkerhetsinformation och plattformskomponenter:
Fullständig rapport
I något av de tre versionskorten väljer du Visa fullständig rapport för att visa de nio senaste Microsoft Defender antivirusversionsrapporterna för var och en av de tre enhetstyperna: Windows, Mac och Linux. Om det finns färre än nio visas alla. En annan kategori fångar de senaste antivirusmotorversionerna som rangordnas på tionde och lägre, om de identifieras.
En viktig fördel med de tre versionskorten är att de ger snabba indikatorer på om de senaste versionerna av antivirusmotorer, plattformar och säkerhetsinformation används. Tillsammans med den detaljerade information som är länkad till kortet blir versionskorten ett kraftfullt verktyg för att kontrollera om versionerna är uppdaterade och för att samla in information om enskilda datorer eller grupper av datorer. När du kör dessa rapporter bör de helst indikera att de senaste antivirusversionerna är installerade, till skillnad från äldre versioner. Använd dessa rapporter för att avgöra om din organisation utnyttjar de senaste versionerna fullt ut.
För att säkerställa att din lösning mot skadlig kod identifierar de senaste hoten kan du hämta uppdateringar automatiskt som en del av Windows Update.
Mer information om aktuella versioner och hur du uppdaterar de olika Microsoft Defender Antivirus-komponenterna finns i Microsoft Defender Antivirus-plattformsstöd.
Kortbeskrivningar
Här följer en kort sammanfattning av den insamlade informationen som rapporteras i vart och ett av antivirusversionskorten :
Kort i antivirusläge
Rapporter om hur många enheter i organisationen – på det datum som anges på kortet – finns i något av följande Microsoft Defender antiviruslägen:
| värde | Läge |
|---|---|
| 0 | Aktiv |
| 1 | Passiv |
| 2 | Inaktiverad (avinstallerad, inaktiverad eller SideBySidePassive {kallas även låg periodisk genomsökning}) |
| 3 | Andra (körs inte, okänd) |
| 4 | EDRBlocked |
Följande är beskrivningar för varje läge:
- Aktivt läge – I aktivt läge används Microsoft Defender Antivirus som den primära antivirusappen på enheten. Filer genomsöks, hot åtgärdas och identifierade hot visas i organisationens säkerhetsrapporter och i din app Windows-säkerhet.
- Passivt läge – I passivt läge används inte Microsoft Defender Antivirus som den primära antivirusappen på enheten. Filer genomsöks och identifierade hot rapporteras, men hot åtgärdas inte av Microsoft Defender Antivirus. VIKTIGT: Microsoft Defender Antivirus kan endast köras i passivt läge på slutpunkter som är registrerade i Microsoft Defender för Endpoint. Gå till Krav för Microsoft Defender Antivirus som ska köras i passivt läge.
- Inaktiverat läge – synonymt med: avinstallerad, inaktiverad, sideBySidePassive och låg periodisk genomsökning. När det är inaktiverat används inte Microsoft Defender Antivirus. Filer genomsöks inte och hot åtgärdas inte. I allmänhet rekommenderar Microsoft inte att du inaktiverar eller avinstallerar Microsoft Defender Antivirus.
- Andra läge – Körs inte, okänd
- EDR i blockeringsläge – I blockerat läge för slutpunktsidentifiering och svar (EDR). Se Slutpunktsidentifiering och svar i blockeringsläge
Enheter som antingen är passiva, LPS eller Av utgör en potentiell säkerhetsrisk och bör undersökas.
Mer information om LPS finns i Använda begränsad periodisk genomsökning i Microsoft Defender Antivirus.
Senaste resultatkort för antivirusgenomsökning
Det här kortet har två stapeldiagram som visar fullständiga resultat för snabbgenomsökningar och fullständiga genomsökningar. I båda graferna anger det första fältet slutförandehastigheten för genomsökningar och anger Slutfört, Avbrutet eller Misslyckat. Det andra fältet i varje avsnitt innehåller felkoderna för misslyckade genomsökningar. Genom att skanna kolumnerna Läge och Senaste genomsökningsresultat kan du snabbt identifiera enheter som inte är i aktivt antivirusgenomsökningsläge och enheter som har misslyckats eller avbrutit de senaste antivirusgenomsökningarna. Du kan gå tillbaka till rapporten med den här informationen och samla in mer information och säkerhetsrekommendationer. Om felkoder rapporteras på det här kortet finns det en länk för mer information om felkoder.
Mer information om de aktuella Microsoft Defender Antivirus-versionerna och hur du uppdaterar de olika Microsoft Defender Antivirus-komponenterna finns i Hantera Microsoft Defender Antivirus-uppdateringar och tillämpa baslinjer.
Versionskort för antivirusmotor
Visar realtidsresultaten för de senaste Microsoft Defender antivirusmotorversioner som är installerade på Windows-enheter, Mac-enheter och Linux-enheter i din organisation. Microsoft Defender antivirusmotorn uppdateras varje månad. Mer information om aktuella versioner och hur du uppdaterar de olika Microsoft Defender Antivirus-komponenterna finns i Microsoft Defender Stöd för antivirusplattform.
Antivirus security intelligence-versionskort
Listor de vanligaste Microsoft Defender antivirussäkerhetsinformationsversionerna som är installerade på enheter i nätverket. Microsoft uppdaterar kontinuerligt Microsoft Defender säkerhetsinformation för att hantera de senaste hoten och för att förfina identifieringslogik. Dessa förbättringar av säkerhetsinformation förbättrar Microsoft Defender Antivirus" (och andra Microsoft-lösningar mot skadlig kod) för att identifiera potentiella hot på ett korrekt sätt. Den här säkerhetsinformationen fungerar direkt med molnbaserat skydd för att leverera AI-förbättrat nästa generations skydd som är snabbt och kraftfullt.
Antivirusplattformsversionskort
Visar realtidsresultaten för de senaste Microsoft Defender Antivirus-plattformsversionerna som är installerade i olika versioner av Windows-, Mac- och Linux-enheter i din organisation. Microsoft Defender Antivirus-plattformen uppdateras varje månad. Mer information om aktuella versioner och hur du uppdaterar de olika Microsoft Defender Antivirus-komponenterna finns i Microsoft Defender Antivirus-plattformsstöd
Uppdaterade kort
De uppdaterade korten visar aktuell status för antivirusmotorn, antivirusplattformen och säkerhetsinformationsuppdateringsversionerna. Det finns tre möjliga tillstånd: Uppdaterad (Sant), inaktuell (falskt) och inga tillgängliga data ("Okänt").
Viktigt
Den logik som används för att göra aktuella beslut har nyligen förbättrats och förenklats. Det nya beteendet dokumenteras i det här avsnittet.
Definitioner för uppdaterade, inaktuella och inga tillgängliga data tillhandahålls för varje kort nedan.
Microsoft Defender Antivirus använder ytterligare kriterier för "Uppdateringstid för signatur" (senaste gången enheten kommunicerade med uppdaterade rapporter) för att skapa aktuella rapporter och beslut för uppdateringar av motor, plattform och säkerhetsinformation.
Den uppdaterade statusen markeras automatiskt som "okänd" eller "inga tillgängliga data" om enheten inte har kommunicerat med rapporter på mer än sju dagar (signaturuppdateringstid >7).
Mer information om de ovan nämnda termerna finns i avsnittet: Nya Microsoft Defender antivirusfilterdefinitioner
Obs!
Uppdaterade rapporteringskrav
Uppdaterad rapportering genererar information för enheter som uppfyller följande kriterier:
- Motorversion: 1.1.19300.2+
- Plattformsversion: 4.18.2202.1+
- Molnskydd aktiverat
- Windows OS*
*Aktuell rapportering är för närvarande endast tillgänglig för Windows-enheter. Plattformsoberoende enheter som Mac och Linux visas under "inga tillgängliga data"
Uppdaterade definitioner
Följande är uppdaterade definitioner för motor och plattform:
| Motorn/plattformen på enheten anses: | Situationen |
|---|---|
| Aktuell | Om enheten kommunicerade med Defender-rapporthändelsen ("Uppdateringstid för signatur") inom de senaste sju dagarna och versionen av motor- eller plattformsversionen är större än eller lika med (>=) den senaste månatliga versionen. |
| Inaktuella | Om enheten kommunicerade med Defender-rapporthändelsen ("Uppdateringstid för signatur") inom de senaste sju dagarna, men versionen av motor- eller plattformsversionen är mindre än (<) den senaste månatliga versionen. |
| okänd (inga tillgängliga data) | Om enheten inte har kommunicerat med rapporthändelsen ("Uppdateringstid för signatur") i mer än sju dagar. |
Följande är definitionerna för uppdaterad säkerhetsinformation:
| Uppdateringen av säkerhetsinformationen beaktas: | Situationen |
|---|---|
| Aktuell | Om säkerhetsinformationsversionen på enheten har skrivits under de senaste sju dagarna och enheten har kommunicerat med rapporthändelsen under de senaste sju dagarna. |
Mer information finns i:
- Uppdateringskort för antivirusmotorn
- Uppdateringskort för säkerhetsinformation
- Uppdateringskort för antivirusplattform
Uppdateringskort för antivirusmotorn
Det här kortet identifierar enheter som har antivirusmotorversioner som är uppdaterade jämfört med inaktuella.
Den allmänna definitionen av "uppdaterad" – motorversionen på enheten är den senaste motorversionen. Motorn släpps vanligtvis varje månad, via Windows Update (WU)). Det finns en respitperiod på tre dagar från den dag då Windows Update (WU) släpps.
I följande tabell beskrivs möjliga värden för uppdaterade rapporter för antivirusmotorn. Rapporterad status baseras på den senaste gången rapporthändelsen togs emot (uppdateringstid för signatur). Om enheten inte har kommunicerat med rapporter på mer än sju dagar (signaturuppdateringstid >7 dagar) markeras statusen automatiskt som "Okänd" /"Inga tillgängliga data".
| Händelsens senaste uppdateringstid (kallas även "Uppdateringstid för signatur" i rapporter) | Rapporterad status: |
|---|---|
| < 7 dagar (ny) | oavsett klientrapporter (uppdaterad Inaktuell Okänd) |
| > 7 dagar (gammal) | Okänd |
Information om hur du hanterar Microsoft Defender Antivirus-uppdateringsversioner finns i Månatliga plattforms- och motorversioner.
Uppdateringskort för antivirusplattform
Det här kortet identifierar enheter som har antivirusplattformsversioner som är uppdaterade jämfört med inaktuella.
Den allmänna definitionen av "uppdaterad" är att plattformsversionen på enheten är den senaste plattformsversionen. Plattformen släpps vanligtvis varje månad via Windows Update (WU). Det finns en respitperiod på tre dagar från den dag då WU släpps.
I följande tabell beskrivs möjliga uppdaterade rapportvärden för Antivirus Platform. Rapporterade värden baseras på den senaste gången rapporteringshändelsen togs emot (uppdateringstid för signatur). Om enheten inte har kommunicerat med rapporter på mer än sju dagar (signaturuppdateringstid >7 dagar) markeras statusen automatiskt som "Okänd"/ "Inga tillgängliga data".
| Händelsens senaste uppdateringstid (kallas även "Uppdateringstid för signatur" i rapporter) | Rapporterad status |
|---|---|
| < 7 dagar (ny) | oavsett klientrapporter (uppdaterad Inaktuell Okänd) |
| > 7 dagar (gammal) | Okänd |
Information om hur du hanterar Microsoft Defender Antivirus-uppdateringsversioner finns i Månatliga plattforms- och motorversioner.
Uppdateringskort för säkerhetsinformation
Det här kortet identifierar enheter som har säkerhetsinformationsversioner som är uppdaterade jämfört med inaktuella.
Den allmänna definitionen av "uppdaterad" är att säkerhetsinformationsversionen på enheten har skrivits under de senaste 7 dagarna.
I följande tabell beskrivs möjliga uppdaterade rapportvärden för uppdateringar av Säkerhetsinformation . Rapporterade värden baseras på den senaste gången rapporteringshändelsen togs emot och publiceringstiden för säkerhetsinformationen. Om enheten inte har kommunicerat med rapporter på mer än sju dagar (signaturuppdateringstid >7 dagar) markeras statusen automatiskt som Okänd/ Inga tillgängliga data. Annars görs fastställandet baserat på om publiceringstiden för säkerhetsinformationen är inom sju dagar.
| Händelsens senaste uppdateringstid (Kallas även "Uppdateringstid för signatur" i rapporter) |
Publiceringstid för Säkerhetsinformation | Rapporterad status |
|---|---|---|
| >7 dagar (gammal) | >7 dagar (gammal) | Okänd |
| <7 dagar (ny) | >7 dagar (gammal) | Inaktuell |
| >7 dagar (gammal) | <7 dagar (ny) | Okänd |
| <7 dagar (ny) | <7 dagar (ny) | Aktuell |
Se även
Tips
Prestandatips På grund av en mängd olika faktorer (exempel som anges nedan) kan Microsoft Defender Antivirus, som andra antivirusprogram, orsaka prestandaproblem på slutpunktsenheter. I vissa fall kan du behöva justera prestanda för Microsoft Defender Antivirus för att lindra dessa prestandaproblem. Microsofts prestandaanalys är ett PowerShell-kommandoradsverktyg som hjälper dig att avgöra vilka filer, filsökvägar, processer och filnamnstillägg som kan orsaka prestandaproblem. Några exempel är:
- De vanligaste sökvägarna som påverkar genomsökningstiden
- De vanligaste filerna som påverkar genomsökningstiden
- De vanligaste processerna som påverkar genomsökningstiden
- De vanligaste filnamnstilläggen som påverkar genomsökningstiden
- Kombinationer – till exempel:
- de vanligaste filerna per tillägg
- de översta sökvägarna per tillägg
- de vanligaste processerna per sökväg
- de vanligaste genomsökningarna per fil
- de vanligaste genomsökningarna per fil per process
Du kan använda informationen som samlas in med hjälp av prestandaanalys för att bättre utvärdera prestandaproblem och tillämpa reparationsåtgärder. Se: Prestandaanalys för Microsoft Defender Antivirus.
- Exportera API-metoder och egenskaper för api:et för hälsoinformation för enhets antivirus
- Exportera enhetens antivirushälsorapport
- Hotskyddsrapport
Tips
Information om antivirus för andra plattformar finns i:
- Ange inställningar för Microsoft Defender för Endpoint på macOS
- Microsoft Defender för Endpoint för Mac
- macOS Antivirus-principinställningar för Microsoft Defender Antivirus för Intune
- Ange inställningar för Microsoft Defender för Endpoint i Linux
- Microsoft Defender för Endpoint för Linux
- Konfigurera Defender för Endpoint för Android-funktioner
- Konfigurera Microsoft Defender för Endpoint på iOS-funktioner
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för