适用于:
希望体验 Microsoft Defender for Endpoint? 注册免费试用版。
注意
如果你是美国政府客户,请使用美国政府客户Microsoft Defender for Endpoint中列出的 URI。
提示
为了提高性能,可以使用离地理位置更近的服务器:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
重要
本文中的某些信息与预发行的产品有关,该产品在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。
导出设备防病毒运行状况详细信息 API 说明
检索Microsoft Defender防病毒设备运行状况详细信息的列表。 此 API 具有不同的 API 调用 (方法,) 获取不同类型的数据。 由于数据量可能很大,因此可通过两种方式检索数据:
JSON 响应 API 会将组织中的所有数据作为 JSON 响应进行拉取。 此方法最适合 设备少于 100-K 的小型组织。 响应是分页的,因此可以使用响应中的 @odata.nextLink 字段来提取下一个结果。
通过 文件 此 API 解决方案支持更快、更可靠地拉取大量数据,建议用于设备超过 100,000 个的大型组织。 此 API 将组织中的所有数据作为下载文件拉取。 响应包含用于从 Azure 存储下载所有数据的 URL。 通过此 API,可以从 Azure 存储下载所有数据,如下所示:
调用 API 以获取包含所有组织数据的下载 URL 列表。
使用下载 URL 下载所有文件,并根据需要处理数据。
使用 JSON response 或 文件收集的数据是当前状态的快照。 此数据不包含历史数据。 若要收集历史数据,必须将数据保存在自己的数据存储中。
重要
若要在设备运行状况报告中显示Windows Server 2012 R2 和Windows Server 2016,必须使用新式统一解决方案包载入这些设备。 有关详细信息,请参阅适用于 Windows Server 2012 R2 和 2016 的新式统一解决方案中的新功能。
有关在 Microsoft Defender 门户中使用设备运行状况和防病毒合规性报告工具的信息,请参阅:Microsoft Defender for Endpoint 中的设备运行状况和防病毒报告。
1.1 导出设备防病毒运行状况详细信息 API 方法
| 方法 | 数据类型 | 说明 |
|---|---|---|
| (JSON 响应) | 每个设备集合Microsoft Defender防病毒运行状况。 请参阅: 1.2 导出设备防病毒运行状况详细信息 API 属性 (JSON 响应) | 返回一个表,其中包含 DeviceId、ConfigurationId 的每个唯一组合的条目。 API 会将组织中的所有数据作为 JSON 响应进行拉取。 此方法最适合设备少于 100-K 的小型组织。 响应是分页的,因此可以使用 @odata.nextLink 响应中的 字段来提取下一个结果。 |
| 通过文件) ( | 每个设备集合Microsoft Defender防病毒运行状况。 请参阅: 1.3 通过文件 (导出设备防病毒运行状况详细信息 API 属性) | 返回一个表,其中包含 DeviceId、ConfigurationId 的每个唯一组合的条目。 借助此 API 解决方案,可以更快、更可靠地拉取大量数据。 因此,建议将它用于具有 100 K 个以上的设备的大型组织。 此 API 将组织中的所有数据作为下载文件拉取。 响应包含用于从 Azure 存储下载所有数据的 URL。 通过此 API,可以从 Azure 存储下载所有数据,如下所示:
|
1.2 限制
- 最大页面大小:200,000
- 此 API 的速率限制:每分钟 30 个调用和每小时 1,000 个调用
1.3 导出设备防病毒运行状况详细信息 API 属性 (JSON 响应)
- 下表中定义的属性按属性 ID 按字母顺序列出。 使用此 API 时,生成的输出不一定按此表中列出的相同顺序返回。
- 请注意 ,rbacgroupname 和 ID 不支持筛选器运算符。
- 响应中可能会返回更多列。 这些列可以是临时的,可能会被删除;仅使用记录的列。
| 属性 (ID) | 数据类型 | 说明 | 返回值的示例 |
|---|---|---|---|
avEngineUpdateTime |
DateTimeOffset | 上次在设备上更新防病毒引擎的日期/时间 | “2022-08-04T12:44:02Z” |
avEngineVersion |
String | 防病毒引擎版本 | 1.1.19400.3 |
avIsEngineUpToDate |
String | 防病毒引擎的最新状态 |
True、 False、 或 Unknown |
avIsPlatformUpToDate |
String | 防病毒平台的最新状态 |
True、 False、 或 Unknown |
avIsSignatureUpToDate |
String | 防病毒签名的最新状态 |
True、 False、 或 Unknown |
avMode |
String | 防病毒模式。 | 每个模式都是一个字符串类型的整数值,范围为 0 到 5。 '' = Other0 = Active1 = Passive2 = Disabled3 = Other4 = EDRBlocked5 = PassiveAudit |
avPlatformUpdateTime |
DateTimeOffset | 上次在设备上更新防病毒平台的日期/时间 | “2022-08-04T12:44:02Z” |
avPlatformVersion |
String | 防病毒平台版本 | 4.18.2203.5 |
avSignaturePublishTime |
DateTimeOffset | 发布防病毒安全智能生成的日期/时间 | “2022-08-04T12:44:02Z” |
avSignatureUpdateTime |
DateTimeOffset | 上次在设备上更新防病毒安全智能的日期/时间 | “2022-08-04T12:44:02Z” |
avSignatureVersion |
String | 防病毒安全智能版本 | 1.371.1323.0 |
computerDnsName |
String | DNS 名称 | SampleDns |
dataRefreshTimestamp |
DateTimeOffset | 刷新此报表数据时的日期/时间 | 2022-08-04T12:44:02Z |
fullScanError |
String | 完全扫描中的错误代码 | “0x80508023” |
fullScanResult |
String | 设备的完整扫描结果 |
Completed、 Canceled、 或 Failed |
fullScanTime |
DateTimeOffset | 完成完整扫描的日期/时间 | 2022-08-04T12:44:02Z |
id |
String | 计算机 GUID | 30a8fa2826abf24d24379b23f8a44d471f00feab |
lastSeenTime |
DateTimeOffset | 此计算机的上次查看日期/时间 | 2022-08-04T12:44:02Z |
machineId |
String | 计算机 GUID | 30a8fa2826abf24d24379b23f8a44d471f00feab |
osKind |
String | 作系统类型 |
windows、 mac、 或 linux |
osPlatform |
String | 作系统主版本名称 |
Windows 10 或 macOS |
osVersion |
String | 操作系统版本 | 10.0.18363.1440, 12.4.0.0 |
quickScanError |
String | 快速扫描中的错误代码 | 0x80508023 |
quickScanResult |
String | 此设备的快速扫描结果 |
Completed、 Canceled、 或 Failed |
quickScanTime |
DateTimeOffset | 完成快速扫描时的日期/时间 | 2022-08-04T12:44:02Z |
rbacGroupId |
长型 | 此计算机所属的设备组 ID | 712 |
rbacGroupName |
String | 此计算机所属的设备组的名称 | SampleGroup |
1.4 通过文件 (导出设备防病毒运行状况详细信息 API 属性)
重要
本部分中的信息与预发布产品有关,在商业发布之前可以对其进行大量修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。
注意
- 这些文件是 gzip 压缩的,采用多行
.json格式。 - 下载 URL 仅在 3 小时内有效;否则可以使用 参数。
- 为了获得数据的最大下载速度,可以确保从数据所在的同一 Azure 区域下载。
- 每个记录使用大约 1KB 的数据。 选择正确的
pageSize参数时,应考虑到这一点。 - 响应中可能会返回更多列。 这些列是临时的,可能会删除,因此仅使用记录的列。
| 属性 (ID) | 数据类型 | 说明 | 返回值的示例 |
|---|---|---|---|
| 导出文件 | array[string] | 保存组织当前快照的文件的下载 URL 列表。 | ["https://tvmexportstrstgeus.blob.core.windows.net/tvm-export...1", "https://tvmexportstrstgeus.blob.core.windows.net/tvm-export...2"] |
| GeneratedTime | String | 生成导出的时间。 | 2022-05-20T08:00:00Z |
注意
在每个导出文件中,都有一个名为 DeviceGatheredInfo的属性,其中包含防病毒数据。 其每个属性都可以为你提供有关设备运行状况及其状态的信息。
另请参阅
提示
想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区。