设备运行状况,Microsoft Defender 防病毒运行状况报告
适用于:
- Microsoft Defender XDR
- Microsoft Defender for Endpoint
- Microsoft Defender for Endpoint 计划 1
- Microsoft Defender for Endpoint 计划 2
- Microsoft Defender 商业版
希望体验 Microsoft Defender for Endpoint? 注册免费试用版。
设备运行状况报告提供有关组织中设备的信息。 该报告包括显示防病毒状态和Microsoft Defender 防病毒引擎、智能和平台版本的趋势信息。
重要
若要使设备显示在 Microsoft Defender 防病毒设备运行状况报告中,它们必须满足以下先决条件:
- 设备已载入到 Microsoft Defender for Endpoint
- OS:Windows 10、Windows 11、Windows Server 2012 R2/、2016 R2/2019/2022 (非 MMA) 、MacOS、Linux
- 感知 (MsSense.exe) : 10.8210。 *+。 有关相关详细信息 ,请参阅先决条件 部分。
若要在设备运行状况报告中显示 Windows Server 2012 R2 和 Windows Server 2016,必须使用新式统一解决方案包载入这些设备。 有关详细信息,请参阅 适用于 Windows Server 2012 R2 和 2016 的新式统一解决方案中的新功能。
在 Microsoft Defender 门户中的导航窗格中,选择“ 报表”,然后打开 “设备运行状况和符合性”。 “Microsoft Defender 防病毒运行状况”选项卡包含八张卡,可报告 Microsoft Defender 防病毒的以下方面:
报表访问权限
若要在 Microsoft Defender 门户中访问设备运行状况和防病毒符合性报告,需要以下权限:
| 权限名称 | 权限类型 |
|---|---|
| 查看数据 | TVM) (威胁和漏洞管理 |
重要
Microsoft建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一种高特权角色,在无法使用现有角色时,应仅限于紧急情况。
若要分配这些权限,请执行以下操作:
使用分配有安全管理员或全局管理员角色的帐户登录到 Microsoft Defender 门户 。
在导航窗格中,选择“权限) ”下的“设置>终结点>角色 (”。
选择要编辑的角色。
选择“编辑”。
在 “编辑角色”的“ 常规 ”选项卡上的“ 角色名称”中,键入角色的名称。
在 “说明” 中,键入角色的简要摘要。
在 “权限”中,选择“ 查看数据”,然后在“ 查看数据 ”下选择“ 威胁和漏洞管理 (TVM) ”。
有关用户角色管理的详细信息,请参阅 创建和管理基于角色的访问控制的角色。
Microsoft Defender 防病毒运行状况选项卡
“Microsoft Defender 防病毒运行状况”选项卡包含八张卡,用于报告组织中Microsoft Defender 防病毒的多个方面:
两张卡、 防病毒模式卡 和 最近的防病毒扫描结果卡,报告有关 defender 防病毒功能的Microsoft。
其余六张卡片报告了组织中设备的 Microsoft Defender 防病毒状态:
version 卡: |
update card{1} |
|---|---|
| 防病毒引擎版本卡 防病毒安全智能版本卡 防病毒平台版本卡 |
防病毒引擎更新卡 安全智能更新卡 防病毒平台更新卡 |
| 这三个版本卡提供浮出控件报告,这些浮出控件报告提供其他信息,并启用进一步的探索。 | 三个最新的报告卡提供了指向资源的链接,以便了解详细信息。 |
{1} 对于三 updates 张卡片 (也称为最新报告卡) ,“无可用数据” (或“未知”值) 指示未报告更新状态的设备。 未报告更新状态的设备可能是由于各种原因,例如:
- 计算机已与网络断开连接。
- 计算机已关闭或处于休眠状态。
- Microsoft Defender 防病毒已禁用。
- 设备是非 Windows (Mac 或 Linux) 设备。
- 云保护未启用。
- 设备不符合防病毒引擎或平台版本的先决条件。
先决条件
最新报告为满足以下条件的设备生成信息:
引擎版本:1.1.19300.2+
平台版本:4.18.2202.1+
已启用云保护
感知 (MsSense.exe) : 10.8210。 *+
Windows OS - Windows 10 1809 或更高版本
注意
* 当前最新的报告仅适用于 Windows 设备。 跨平台设备(如 Mac 和 Linux)在“无可用数据”/未知下列出。
卡片功能
功能对于所有卡片来说基本上都是相同的。 通过单击任何卡片中的编号栏, 将打开“Microsoft Defender 防病毒详细信息 ”浮出控件,使你能够查看有关使用该卡上某个方面版本号配置的所有设备的信息。
如果单击的版本号为:
- 当前版本,则不需要修正和安全建议。
- 存在过时版本、报表顶部的通知,指示 需要修正,并且存在 安全建议 链接。 选择安全建议链接以导航到威胁和漏洞管理控制台,该控制台可以推荐适当的防病毒更新。
若要在 Microsoft Defender 防病毒详细信息 浮出控件上添加或删除特定类型的信息,请选择“ 自定义列”。 在 “自定义列”中,选择或清除项目以指定要包含在 Microsoft Defender 防病毒详细信息报表中的内容。
新的 Microsoft Defender 防病毒筛选器定义
下表包含Microsoft Defender 防病毒报告的新增术语列表。
| 列名称 | 说明 |
|---|---|
| 安全智能发布时间 | 指示Microsoft设备上安全智能更新版本的发布日期。 安全智能发布时间超过 7 天的设备在报告中被视为过期。 |
| 上次上线 | 指示设备上次建立连接的日期。 |
| 数据刷新时间戳 | 指示上次收到客户端事件以报告以下时间:AV 模式、AV 引擎版本、AV 平台版本、AV 安全智能版本和扫描信息。 |
| 签名刷新时间 | 指示上次接收客户端事件以报告引擎、平台和签名的最新状态。 |
在浮出控件中:单击设备名称会将你重定向到该设备的“设备页面”,你可以在其中访问详细报告。
导出报表
可以导出两个级别的报表:
顶级导出
通过门户有两种不同的导出 csv 功能:
- 顶级导出。 可以使用顶级“ 导出 ”按钮收集Microsoft Defender 防病毒运行状况报告, (500 K 限制) 。
- 浮出控件级别导出。 可以使用浮出控件中的“ 导出 ”按钮将报表导出到 Excel 电子表格, (限制为 100-K) 。
导出的报表根据详细信息报表的入口点以及你设置的筛选器或自定义列捕获信息。
有关使用 API 进行导出的信息,请参阅以下文章:
Microsoft Defender 防病毒版本和更新卡功能
以下是报告有关 Microsoft Defender 防病毒引擎、安全智能和平台组件的和update信息的六张卡片version的说明:
完整报告
在三 version 个卡片中的任何一个中,选择“ 查看完整报告 ”以显示三种设备类型(Windows、Mac 和 Linux)的 9 个最新Microsoft Defender 防病毒 version 报告;如果少于 9 个,则全部显示。 如果检测到, “其他 ”类别将捕获排名第 10 和以下的最新防病毒引擎版本。
这三 version 张卡的主要好处是,它们提供关于是否正在使用最新版本的防病毒引擎、平台和安全智能的快速指示器。 结合链接到卡片的详细信息,版本卡成为一个强大的工具,用于检查版本是否为最新,并收集有关单个计算机或计算机组的信息。
理想情况下,运行这些报表时,它们将指示已安装最新的防病毒版本,而不是旧版本。
使用这些报告来确定组织是否正在充分利用最新版本。
若要帮助确保反恶意软件解决方案检测到最新威胁,请在 Windows 更新过程中自动获取更新。
有关当前版本以及如何更新不同 Microsoft Defender 防病毒组件的更多详细信息,请访问 Microsoft Defender 防病毒平台支持。
卡片说明
以下是每 Antivirus version 张卡片中报告的所收集信息的简要摘要:
防病毒模式卡
报告组织中有多少设备(在卡片上指示的日期)处于以下任一Microsoft Defender 防病毒模式:
| 值 | mode |
|---|---|
0 |
Active |
1 |
Passive |
2 |
Disabled (卸载、禁用或 SideBySidePassive {也称为低周期扫描}) |
3 |
Others (未运行、未知) |
4 |
EDRBlocked |
以下是每种模式的说明:
- 活动 模式 - 在活动模式下,Microsoft Defender 防病毒用作设备上的主防病毒应用。 将扫描文件,修正威胁,并将检测到的威胁列在组织的安全报告中和 Windows 安全中心应用中。
- 被动 模式 - 在被动模式下,Microsoft Defender 防病毒不用作设备上的主防病毒应用。 扫描文件并报告检测到的威胁,但威胁不会由 Microsoft Defender 防病毒修正。 重要: Microsoft Defender 防病毒只能在载入到 Microsoft Defender for Endpoint 的终结点上以被动模式运行。 请参阅 在被动模式中运行Microsoft Defender 防病毒的要求。
- 禁用 模式 - 与:uninstalled、disabled、sideBySidePassive 和 Low Periodic Scan 同义。 禁用后,Microsoft不使用 Defender 防病毒。 不会扫描文件,也不会修正威胁。 通常,Microsoft不建议禁用或卸载 Microsoft Defender 防病毒。
- 其他 模式 - 未运行、未知
- EDR 处于阻止 模式 - 在终结点检测和响应 (EDR) 阻止模式。 请参阅 块模式下的终结点检测和响应
处于被动、LPS 或关闭状态的设备存在潜在的安全风险,应进行调查。
有关 LPS 的详细信息,请参阅 在 Microsoft Defender 防病毒中使用有限的定期扫描。
最近的防病毒扫描结果卡
此卡有两个条形图,其中显示了快速扫描和完全扫描的全部结果。 在这两个图中,第一个条指示扫描的完成率,并指示“已完成”、“已取消”或“失败”。 每个部分中的第二个栏提供失败扫描的错误代码。 通过扫描 “模式 ”和“ 最近扫描结果 ”列,可以快速识别未处于活动防病毒扫描模式的设备,以及最近防病毒扫描失败或取消的设备。 可以使用此信息返回到报表,并收集更多详细信息和安全建议。 如果此卡中报告了任何错误代码,则会提供一个链接来了解有关错误代码的详细信息。
有关当前 Microsoft Defender 防病毒版本以及如何更新不同 Microsoft Defender 防病毒组件的更多详细信息,请访问 管理 Microsoft Defender 防病毒更新并应用基线。
防病毒引擎版本卡
显示组织中 Windows 设备、Mac 设备和 Linux 设备中安装的最新 Microsoft Defender 防病毒引擎版本的实时结果。 Microsoft Defender 防病毒引擎每月更新一次。 有关当前版本以及如何更新不同 Microsoft Defender 防病毒组件的详细信息,请参阅 Microsoft Defender 防病毒平台支持。
防病毒安全智能版本卡
列出网络上设备上安装的最常见Microsoft Defender 防病毒安全智能版本。 Microsoft不断更新 Defender Microsoft安全智能,以应对最新威胁并优化检测逻辑。 这些针对安全智能的改进增强了 Microsoft Defender 防病毒 (和其他Microsoft反恶意软件解决方案) 准确识别潜在威胁的能力。 此安全智能直接与基于云的保护配合使用,以提供 AI 增强的、快速而强大的下一代保护。
防病毒平台版本卡
显示组织中跨 Windows、Mac 和 Linux 设备版本安装的最新 Microsoft Defender 防病毒平台版本的实时结果。 Microsoft Defender 防病毒平台每月更新一次。 有关当前版本以及如何更新不同 Microsoft Defender 防病毒组件的详细信息,请参阅 Microsoft Defender 防病毒平台支持
最新卡片
最新卡片显示防病毒引擎、防病毒平台和安全智能更新版本的最新状态。 有三种可能的状态: Up to date (True) 、 out of date (False) 和 no data available (Unknown) 。
重要
最近,用于做出最新确定的逻辑得到了增强和简化。 本部分介绍了新行为。
下面为每 Up to date张卡片提供了 、 out of date和 no data available 的定义。
Microsoft Defender 防病毒使用附加条件“签名刷新时间” (上次设备与最新报告通信的时间,) 来生成引擎、平台和安全智能更新的最新报告和决定。
如果设备超过 7 天未与报表通信,则最新状态会自动标记为“未知”或“无可用数据”, (签名刷新时间 >7) 。
有关上述术语的详细信息,请参阅以下部分: 新Microsoft Defender 防病毒筛选器定义
注意
最新报告为满足以下条件的设备生成信息:
- 引擎版本:
1.1.19300.2或更高版本 - 平台版本:
4.18.2202.1或更高版本 - 已启用云保护
- Windows OS
当前最新的报告仅适用于 Windows 设备。 跨平台设备(如 Mac 和 Linux)在 下 no data available列出。>
最新定义
下面是引擎和平台的最新定义:
| 设备上的引擎/平台被视为: | 情况 |
|---|---|
| 最新的 | 如果设备在过去七天内与 Defender 报告事件通信 (Signature refresh time) ,并且引擎或平台内部版本大于或等于 (>=) 最新的月度版本。 |
| 过期 | 如果设备在过去七天内与 Defender 报告事件通信 (Signature refresh time) ,但引擎或平台内部版本低于) < 最新的月度版本 (。 |
| 未知 (无可用数据) | 如果设备未与报告事件通信, (Signature refresh time) 超过 7 天。 |
下面是最新安全智能的定义:
| 安全智能更新被视为: | 情况 |
|---|---|
| 最新的 | 如果设备的安全智能版本是在过去七天内编写的,并且设备在过去七天内与报告事件通信。 |
有关更多信息,请参阅:
防病毒引擎更新卡
此卡标识防病毒引擎版本为最新与过期的设备。
的一up to date般定义- 设备上的引擎版本是最新的引擎版本。 该引擎通常每月发布一次,通过 Windows 更新 (WU) 。 从发布 Windows 更新 (WU) 之日起,有三天的宽限期。
下表对 防病毒引擎的最新报告可能的值进行了布局。 报告状态基于上次收到报告事件的时间 (签名刷新时间) 。 如果设备未与报表通信超过 7 天 (签名刷新时间 >7 天) ,则状态将自动标记为 / UnknownNo Data Available 。
| 报表中事件的上次刷新时间 (也称为“签名刷新时间”) | 报告状态 |
|---|---|
| < 7 天 (新) | 任何客户端报告 (最新 过期 未知) |
| > 7 天 (旧) | Unknown |
有关管理 Microsoft Defender 防病毒更新版本的信息,请参阅 每月平台和引擎版本。
防病毒平台更新卡
此卡标识防病毒平台版本是最新的还是过时的设备。
的一up to date般定义是设备上的平台版本是最新的平台版本。 平台通常每月通过 Windows 更新 (WU) 发布。 从发布 WU 之日起,宽限期为三天。
下表列出了 防病毒平台可能的最新报告值。 报告值基于上次收到报告事件的时间 (签名刷新时间) 。 如果设备已超过 7 天未与报表通信, (签名刷新时间 >7 天) 则状态将自动标记为/ UnknownNo Data Available 。
| 报表中事件的上次刷新时间 (也称为“签名刷新时间”) | 报告状态 |
|---|---|
| < 7 天 (新) | 无论客户端报告 (Up to date Out of date Unknown) |
| > 7 天 (旧) | Unknown |
有关管理 Microsoft Defender 防病毒更新版本的信息,请参阅 每月平台和引擎版本。
安全智能更新卡
此卡标识具有最新和过期安全智能版本的设备。
的一up to date般定义是设备上的安全智能版本是在过去 7 天内编写的。
下表列出了 安全智能 更新可能的最新报表值。 报告值基于上次收到报告事件的时间和安全智能发布时间。 如果设备未与报表通信超过 7 天 (签名刷新时间 >7 天) ,则状态将自动标记为 Unknown/ No Data Available。 否则,将根据安全智能发布时间是否在 7 天内做出确定。
| 事件的上次刷新时间 (在报表中也称为“签名刷新时间”) |
安全智能发布时间 | 报告状态 |
|---|---|---|
| >7 天 (旧) | >7 天 (旧) | Unknown |
| <7 天 (新) | >7 天 (旧) | Out of date |
| >7 天 (旧) | <7 天 (新) | Unknown |
| <7 天 (新) | <7 天 (新) | Up to date |
另请参阅
提示
性能提示 由于多种因素 (下面列出的示例) Microsoft Defender 防病毒,与其他防病毒软件一样,可能会导致终结点设备上的性能问题。 在某些情况下,可能需要优化 Microsoft Defender 防病毒的性能,以缓解这些性能问题。 Microsoft 的性能分析器 是一种 PowerShell 命令行工具,可帮助确定哪些文件、文件路径、进程和文件扩展名可能导致性能问题;一些示例包括:
- 影响扫描时间的首要路径
- 影响扫描时间的热门文件
- 影响扫描时间的顶级进程
- 影响扫描时间的热门文件扩展名
- 组合 - 例如:
- 每个扩展名的排名靠前的文件数
- 每个扩展的顶部路径
- 每个路径的顶级进程数
- 每个文件的顶级扫描数
- 每个进程的每个文件扫描数
可以使用性能分析器收集的信息来更好地评估性能问题并应用修正操作。 请参阅: Microsoft Defender 防病毒的性能分析器。
提示
有关其他平台的防病毒相关信息,请参阅:
- 设置 macOS 上 Microsoft Defender for Endpoint 的首选项
- Mac 上的 Microsoft Defender for Endpoint
- 适用于 Intune 的 Microsoft Defender 防病毒软件的 macOS 防病毒程序策略设置
- 设置 Linux 上 Microsoft Defender for Endpoint 的首选项
- Microsoft Defender for Endpoint on Linux
- 在 Android 功能上配置 Defender for Endpoint
- 在 iOS 功能上配置 Microsoft Defender for Endpoint
提示
想要了解更多信息? 在技术社区中与 Microsoft 安全社区互动: Microsoft Defender for Endpoint 技术社区。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈