导出设备防病毒软件运行状况报告
适用于:
希望体验 Microsoft Defender for Endpoint? 注册免费试用版。
注意
如果你是美国政府客户,请使用 适用于美国政府客户的 Microsoft Defender for Endpoint 中列出的 URI。
提示
为了提高性能,可以使用离地理位置更近的服务器:
- us.api.security.microsoft.com
- eu.api.security.microsoft.com
- uk.api.security.microsoft.com
- au.api.security.microsoft.com
- swa.api.security.microsoft.com
- ina.api.security.microsoft.com
重要
本文中的某些信息与预发行的产品有关,该产品在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。
此 API 有两种方法可以检索Microsoft Defender 防病毒设备防病毒运行状况详细信息:
方法 1:1 导出运行状况报告 (JSON 响应) 此方法将组织中的所有数据作为 JSON 响应拉取。 此方法最适合 设备少于 100-K 的小型组织。 响应是分页的,因此可以使用响应中的 @odata.nextLink 字段来提取下一个结果。
方法 2:2 通过文件 导出运行状况报告 () 此方法可更快、更可靠地拉取大量数据。 因此,建议将它用于具有 100 K 个以上的设备的大型组织。 此 API 将组织中的所有数据作为下载文件拉取。 响应包含用于从 Azure 存储下载所有数据的 URL。 通过此 API,可以从 Azure 存储下载所有数据,如下所示:
- 调用 API 以获取包含所有组织数据的下载 URL 列表。
- 使用下载 URL 下载所有文件,并根据需要处理数据。
使用“JSON 响应 或通过 文件”收集的数据是当前状态的当前快照。 它不包含历史数据。 若要收集历史数据,客户必须将数据保存在自己的数据存储中。 请参阅 导出设备运行状况详细信息 API 方法和属性。
重要
若要在设备运行状况报告中显示 Windows Server 2012 R2 和 Windows Server 2016,必须使用新式统一解决方案包载入这些设备。 有关详细信息,请参阅 适用于 Windows Server 2012 R2 和 2016 的新式统一解决方案中的新功能。
注意
有关在 Microsoft Defender 门户中使用 设备运行状况和防病毒合规性 报告工具的信息,请参阅: Microsoft Defender for Endpoint 中的设备运行状况和防病毒合规性报告。
1 导出运行状况报告 (JSON 响应)
1.1 API 方法说明
此 API 检索Microsoft Defender 防病毒设备防病毒运行状况详细信息的列表。 返回一个表,其中包含以下各项的唯一组合的条目:
- DeviceId
- 设备名称
- AV 模式
- 最新状态
- 扫描结果
1.1.1 限制
- 最大页面大小为 200,000
- 此 API 的速率限制是每分钟 30 个调用和每小时 1000 个调用。
OData 支持的运算符
-
$filteron:machineId、computerDnsName、、osKind、osPlatform、avModeosVersion、avSignatureVersionavPlatformVersionavEngineVersion、quickScanResult、quickScanError、fullScanResult、、fullScanError、avIsSignatureUpToDate、、avIsEngineUpToDate、、avIsPlatformUpToDaterbacGroupId -
$top最大值为 10,000。 $skip
重要
请注意 ,rbacgroupname 和 ID 不支持筛选器运算符。
1.2 权限
要调用此 API,需要以下权限之一。 若要了解详细信息(包括如何选择权限),请参阅使用 Microsoft Defender for Endpoint API 了解详细信息。
| 权限类型 | 权限 | 权限显示名称 |
|---|---|---|
| 应用程序 | Machine.Read.All | “读取所有计算机配置文件” |
| 委派(工作或学校帐户) | Machine.Read | “读取计算机信息” |
1.3 URL (HTTP 请求)
URL: GET: /api/deviceavinfo
1.3.1 请求标头
| 名称 | 类型 | 说明 |
|---|---|---|
| Authorization | String | 持有者 {token}。 必填。 |
1.3.2 请求正文
Empty
1.3.3 响应
如果成功,此方法返回 200 OK,并列出设备运行状况详细信息。
1.4 参数
- 默认页面大小为 20
- 请参阅 使用 Microsoft Defender for Endpoint 进行 OData 查询的示例。
1.5 属性
请参阅: 1.3 导出设备防病毒运行状况详细信息 API 属性 (JSON 响应)
支持 OData V4 查询。
1.6 示例
请求示例
下面是一个示例请求:
GET https://api.securitycenter.microsoft.com/api/deviceavinfo
响应示例
下面是一个示例响应:
{
@odata.context: "https://api.securitycenter.microsoft.com/api/$metadata#DeviceAvInfo",
"value": [{
"id": "Sample Guid",
"machineId": "Sample Machine Guid",
"computerDnsName": "appblockstg1",
"osKind": "windows",
"osPlatform": "Windows10",
"osVersion": "10.0.19044.1865",
"avMode": "0",
"avSignatureVersion": "1.371.1279.0",
"avEngineVersion": "1.1.19428.0",
"avPlatformVersion": "4.18.2206.108",
"lastSeenTime": "2022-08-02T19:40:45Z",
"quickScanResult": "Completed",
"quickScanError": "",
"quickScanTime": "2022-08-02T18:40:15.882Z",
"fullScanResult": "",
"fullScanError": "",
"fullScanTime": null,
"dataRefreshTimestamp": "2022-08-02T21:16:23Z",
"avEngineUpdateTime": "2022-08-02T00:03:39Z",
"avSignatureUpdateTime": "2022-08-02T00:03:39Z",
"avPlatformUpdateTime": "2022-06-20T16:59:35Z",
"avIsSignatureUpToDate": "True",
"avIsEngineUpToDate": "True",
"avIsPlatformUpToDate": "True",
"avSignaturePublishTime": "2022-08-02T00:03:39Z",
"rbacGroupName": "TVM1",
"rbacGroupId": 4415
},
...
]
}
2 通过文件) 导出运行状况报告 (
重要
本节中的信息与预发布产品有关,在商业发布之前,这些产品可能会进行重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。
2.1 API 方法说明
此 API 响应包含每个设备的防病毒运行状况和状态的所有数据。 返回一个表,其中包含以下各项的唯一组合的条目:
- DeviceId
- 设备名称
- AV 模式
- 最新状态
- 扫描结果
2.1.2 限制
- 最大页面大小为 200,000。
- 此 API 的速率限制是每分钟 30 个调用和每小时 1000 个调用。
2.2 权限
要调用此 API,需要以下权限之一。
| 权限类型 | 权限 | 权限显示名称 |
|---|---|---|
| 应用程序 | Vulnerability.Read.All | “读取”威胁和漏洞管理“漏洞信息” |
| 委派(工作或学校帐户) | Vulnerability.Read | “读取”威胁和漏洞管理“漏洞信息” |
若要了解详细信息(包括如何选择权限),请参阅 使用 Microsoft Defender for Endpoint API 了解详细信息。
2.3 URL
GET /api/machines/InfoGatheringExport
2.4 参数
-
sasValidHours:下载 URL 在最长 24 小时) (有效小时数。
2.5 属性
请参阅: 1.4 导出设备防病毒运行状况详细信息 API 属性, (文件) 。
2.6 示例
2.6.1 请求示例
下面是一个示例请求:
GET https://api-us.securitycenter.contoso.com/api/machines/InfoGatheringExport
2.6.2 响应示例
下面是一个示例响应:
{
"@odata.context": "https://api-us.securitycenter.windows.com/api/$metadata#microsoft.windowsDefenderATP.api.ExportFilesResponse",
"exportFiles": [
"https://tvmexportexternalprdeus.blob.core.windows.net/temp-../2022-08-02/2201/InfoGatheringExport/json/OrgId=../_RbacGroupId=../part-00055-12fc2fcd-8f56-4e09-934f-e8efe7ce74a0.c000.json.gz?sv=2020-08-04&st=2022-08-02T22%3A47%3A11Z&se=2022-08-03T01%3A47%3A11Z&sr=b&sp=r&sig=..",
"https://tvmexportexternalprdeus.blob.core.windows.net/temp-../2022-08-02/2201/InfoGatheringExport/json/OrgId=../_RbacGroupId=../part-00055-12fc2fcd-8f56-4e09-934f-e8efe7ce74a0.c000.json.gz?sv=2020-08-04&st=2022-08-02T22%3A47%3A11Z&se=2022-08-03T01%3A47%3A11Z&sr=b&sp=r&sig=.."
],
"generatedTime": "2022-08-02T22:01:00Z"
}
提示
性能提示 由于多种因素 (下面列出的示例) Microsoft Defender 防病毒,与其他防病毒软件一样,可能会导致终结点设备上的性能问题。 在某些情况下,可能需要优化 Microsoft Defender 防病毒的性能,以缓解这些性能问题。 Microsoft 的性能分析器 是一种 PowerShell 命令行工具,可帮助确定哪些文件、文件路径、进程和文件扩展名可能导致性能问题;一些示例包括:
- 影响扫描时间的首要路径
- 影响扫描时间的热门文件
- 影响扫描时间的顶级进程
- 影响扫描时间的热门文件扩展名
- 组合 - 例如:
- 每个扩展名的排名靠前的文件数
- 每个扩展的顶部路径
- 每个路径的顶级进程数
- 每个文件的顶级扫描数
- 每个进程的每个文件扫描数
可以使用性能分析器收集的信息来更好地评估性能问题并应用修正操作。 请参阅: Microsoft Defender 防病毒的性能分析器。
另请参阅
提示
想要了解更多信息? 在技术社区中与 Microsoft 安全社区互动: Microsoft Defender for Endpoint 技术社区。