设备运行状况,Microsoft Defender防病毒运行状况报告

  • 项目

适用于:

希望体验 Microsoft Defender for Endpoint? 注册免费试用版

设备运行状况报告提供有关组织中设备的信息。 该报告包括显示防病毒状态的趋势信息,以及防病毒引擎、智能和平台版本Microsoft Defender。

重要

若要使设备显示在Microsoft Defender防病毒设备运行状况报告中,它们必须满足以下先决条件:

  • 设备已载入到Microsoft Defender for Endpoint
  • OS:Windows 10、Windows 11、Windows Server 2012 R2/、2016 R2/2019/2022 (非 MMA) 、MacOS、Linux
  • 感知 (MsSense.exe) : 10.8210。 *+。 有关相关详细信息 ,请参阅先决条件 部分。

若要在设备运行状况报告中显示Windows Server 2012 R2 和Windows Server 2016,必须使用新式统一解决方案包载入这些设备。 有关详细信息,请参阅适用于 Windows Server 2012 R2 和 2016 的新式统一解决方案中的新功能

在 Microsoft 365 安全仪表板导航面板中,选择“报告”,然后打开“设备运行状况和符合性”。 “Microsoft Defender防病毒运行状况”选项卡包含八张卡,其中报告了Microsoft Defender防病毒的以下方面:

报表访问权限

若要访问 Microsoft 365 安全仪表板中的设备运行状况和防病毒合规性报告,需要以下权限:

权限名称 权限类型
查看数据 TVM) (威胁和漏洞管理

若要分配这些权限,请执行以下操作:

  1. 使用分配有安全管理员或全局管理员角色的帐户登录到Microsoft Defender XDR。
  2. 在导航窗格中,选择“权限) ”下的“设置>终结点>角色 (”。
  3. 选择要编辑的角色。
  4. 选择“编辑”。
  5. “编辑角色”的“ 常规 ”选项卡上的“ 角色名称”中,键入角色的名称。
  6. “说明” 中,键入角色的简要摘要。
  7. “权限”中,选择“ 查看数据”,然后在“ 查看数据 ”下选择“ 威胁和漏洞管理 (TVM) ”。

有关用户角色管理的详细信息,请参阅Create和管理基于角色的访问控制的角色

“Microsoft Defender防病毒运行状况”选项卡

“Microsoft Defender防病毒运行状况”选项卡包含八张卡,这些卡片报告组织中Microsoft Defender防病毒的多个方面:

两个卡,防病毒模式卡最近的防病毒扫描结果卡,报告有关防病毒功能Microsoft Defender。

其余六张卡片报告组织中设备的Microsoft Defender防病毒状态:

版本 卡: 更新 卡片{1}
防病毒引擎版本卡
防病毒安全智能版本 卡
防病毒平台版本卡		 防病毒引擎更新卡
安全智能更新卡
防病毒平台更新卡
这三个版本卡提供浮出控件报告,这些浮出控件报告提供其他信息,并启用进一步的探索。 三个最新的报告卡提供了指向资源的链接,以便了解详细信息。

{1} 对于三个 更新 卡 (也称为最新报告卡) ,“无可用数据” (或“未知”值) 指示未报告更新状态的设备。 未报告更新状态的设备可能是由于各种原因,例如:

  • 计算机已与网络断开连接。
  • 计算机已关闭或处于休眠状态。
  • Microsoft Defender防病毒已禁用。
  • 设备是非 Windows (Mac 或 Linux) 设备。
  • 云保护未启用。
  • 设备不符合防病毒引擎或平台版本的先决条件。

先决条件

最新报告为满足以下条件的设备生成信息:

  • 引擎版本:1.1.19300.2+

  • 平台版本:4.18.2202.1+

  • 已启用云保护

  • 感知 (MsSense.exe) : 10.8210。 *+

  • Windows OS - Windows 10 1809 或更高版本

    注意

    * 当前最新的报告仅适用于 Windows 设备。 跨平台设备(如 Mac 和 Linux)在“无可用数据”/未知下列出。

显示“Microsoft Defender防病毒运行状况”选项卡。

卡片功能

功能对于所有卡片来说基本上都是相同的。 通过单击任何卡片中的编号栏,将打开“防病毒详细信息”浮出控件Microsoft Defender,使你能够查看使用该卡上某一方面的版本号配置的所有设备的相关信息。

显示Microsoft Defender防病毒详细信息浮出控件。

如果单击的版本号为:

  • 当前版本,则不需要修正和安全建议
  • 存在过时版本、报表顶部的通知,指示 需要修正,并且存在 安全建议 链接。 选择安全建议链接以导航到危险和漏洞管理控制台,该控制台可以推荐适当的防病毒更新。

若要在“Microsoft Defender防病毒详细信息”浮出控件上添加或删除特定类型的信息,请选择“自定义列”。 在“自定义列”中,选择或清除项目以指定要包含在Microsoft Defender防病毒详细信息报表中的内容。

显示用于Microsoft Defender防病毒运行状况报告的自定义列选项。

新的 Microsoft Defender 防病毒筛选器定义

下表包含防病毒报告Microsoft Defender新增术语列表。

列名称 说明
安全智能发布时间 指示 Microsoft 在设备上安全智能更新版本的发布日期。 安全智能发布时间超过 7 天的设备在报告中被视为过期。
上次上线 指示设备上次建立连接的日期。
数据刷新时间戳 指示上次收到客户端事件以报告以下时间:AV 模式、AV 引擎版本、AV 平台版本、AV 安全智能版本和扫描信息。
签名刷新时间 指示上次接收客户端事件以报告引擎、平台和签名的最新状态。

在浮出控件中:单击设备名称会将你重定向到该设备的“设备页面”,你可以在其中访问详细报告。

导出报表

可以导出两个级别的报表:

顶级导出

通过门户有两种不同的导出 csv 功能:

  • 顶级导出。 可以使用顶级“导出”按钮收集Microsoft Defender防病毒运行状况报告, (限制为 500-K) 。

显示顶级导出报表按钮的屏幕截图。

  • 浮出控件级别导出。 可以使用浮出控件中的“ 导出 ”按钮将报表导出到 Excel 电子表格, (限制为 100-K) 。

导出的报表根据详细信息报表的入口点以及你设置的筛选器或自定义列捕获信息。

有关使用 API 进行导出的信息,请参阅以下文章:

重要

目前,只有 防病毒运行状况 JSON 响应 已正式发布。 通过文件提供的防病毒运行状况 API 仅在公共预览版中可用。

高级搜寻自定义查询 目前仅在公共预览版中可用,即使查询可见。

Microsoft Defender防病毒版本和更新卡功能

以下是报告有关Microsoft Defender防病毒引擎、安全智能和平台组件的版本更新信息的六张卡片的说明:

完整报告

在三个版本卡中的任何一个中,选择“查看完整报告”,显示三种设备类型(Windows、Mac 和 Linux)的 9 个最新Microsoft Defender防病毒版本报告;如果存在少于 9 个,则全部显示。 如果检测到, “其他 ”类别将捕获排名第 10 和以下的最新防病毒引擎版本。

显示每种类型前 9 个操作系统的分布情况

这三个 版本 卡的主要好处是,它们提供关于是否正在使用防病毒引擎、平台和安全智能的最新版本的快速指示器。 结合链接到卡的详细信息,版本卡成为一个强大的工具,用于检查版本是否是最新的,以及收集有关单个计算机或计算机组的信息。 理想情况下,运行这些报表时,它们将指示已安装最新的防病毒版本,而不是旧版本。 使用这些报告来确定组织是否正在充分利用最新版本。

显示Microsoft Defender防病毒版本详细信息

若要帮助确保反恶意软件解决方案检测到最新威胁,请自动更新作为Windows 更新的一部分。

有关当前版本以及如何更新不同Microsoft Defender防病毒组件的更多详细信息,请访问 Microsoft Defender 防病毒平台支持

卡片说明

以下是每个 防病毒版本 卡中报告的已收集信息的简要摘要:

防病毒模式卡

报告组织中有多少设备(在卡上指示的日期)处于以下任一Microsoft Defender防病毒模式:

mode
0 活动
1 被动
2 已禁用 (卸载、禁用或 SideBySidePassive {也称为低定期扫描})
3 其他 (未运行、未知)
4 EDRBlocked

显示筛选Microsoft Defender防病毒模式

以下是每种模式的说明:

  • 活动模式 - 在活动模式下,Microsoft Defender防病毒用作设备上的主防病毒应用。 将扫描文件,修正威胁,并将检测到的威胁列在组织的安全报告中和 Windows 安全中心应用中。
  • 被动模式 - 在被动模式下,Microsoft Defender防病毒不用作设备上的主要防病毒应用。 扫描文件并报告检测到的威胁,但威胁不会由 Microsoft Defender 防病毒修正。 重要: Microsoft Defender 防病毒只能在载入到 Microsoft Defender for Endpoint 的终结点上以被动模式运行。 请参阅 在被动模式中运行Microsoft Defender 防病毒的要求。
  • 禁用 模式 - 与:uninstalled、disabled、sideBySidePassive 和 Low Periodic Scan 同义。 禁用后,不使用防病毒Microsoft Defender。 不会扫描文件,也不会修正威胁。 通常,Microsoft 不建议禁用或卸载Microsoft Defender防病毒。
  • 其他 模式 - 未运行、未知
  • EDR 处于阻止 模式 - 在终结点检测和响应 (EDR) 阻止模式。 请参阅 块模式下的终结点检测和响应

处于被动、LPS 或关闭状态的设备存在潜在的安全风险,应进行调查。

有关 LPS 的详细信息,请参阅在 Microsoft Defender 防病毒中使用有限的定期扫描

最新的防病毒扫描结果卡

此卡有两个条形图,其中显示了快速扫描和完全扫描的全部结果。 在这两个图中,第一个条指示扫描的完成率,并指示“已完成”、“已取消”“失败”。 每个部分中的第二个栏提供失败扫描的错误代码。 通过扫描 “模式 ”和“ 最近扫描结果 ”列,可以快速识别未处于活动防病毒扫描模式的设备,以及最近防病毒扫描失败或取消的设备。 可以使用此信息返回到报表,并收集更多详细信息和安全建议。 如果在此卡中报告了任何错误代码,则会提供一个链接来了解有关错误代码的详细信息。

有关当前Microsoft Defender防病毒版本以及如何更新不同Microsoft Defender防病毒组件的更多详细信息,请访问管理Microsoft Defender防病毒更新并应用基线

防病毒引擎版本卡

显示组织中 Windows 设备、Mac 设备和 Linux 设备中安装的最新Microsoft Defender防病毒引擎版本的实时结果。 Microsoft Defender防病毒引擎每月更新一次。 有关当前版本以及如何更新不同Microsoft Defender防病毒组件的详细信息,请参阅 Microsoft Defender 防病毒平台支持

防病毒安全智能版本 卡

Lists网络上设备上安装的最常见Microsoft Defender防病毒安全智能版本。 Microsoft 会不断更新Microsoft Defender安全智能,以应对最新威胁并优化检测逻辑。 这些针对安全智能的改进增强了Microsoft Defender防病毒 (和其他 Microsoft 反恶意软件解决方案 ) 准确识别潜在威胁的能力。 此安全智能直接与基于云的保护配合使用,以提供 AI 增强的、快速而强大的下一代保护。

防病毒平台版本卡

显示组织中跨 Windows、Mac 和 Linux 设备版本安装的最新Microsoft Defender防病毒平台版本的实时结果。 Microsoft Defender防病毒平台每月更新一次。 有关当前版本以及如何更新不同Microsoft Defender防病毒组件的详细信息,请参阅Microsoft Defender防病毒平台支持

最新卡片

最新卡片显示防病毒引擎防病毒平台和安全智能更新版本的最新状态。 有三种可能 的状态:最新 ('True') 、 过期 ('False') ,以及 没有 ('Unknown') 的数据可用

重要

最近,用于做出最新确定的逻辑得到了增强和简化。 本部分介绍了新行为。

下面每个卡都提供了最新过期无可用数据的定义。

Microsoft Defender防病毒使用附加条件“签名刷新时间” (上次设备与最新报告通信的时间,) 来生成引擎、平台和安全智能更新的最新报告和决定。

如果设备超过 7 天未与报表通信,则最新状态会自动标记为“未知”或“无可用数据”, (签名刷新时间 >7) 。

有关上述术语的详细信息,请参阅以下部分:新的Microsoft Defender防病毒筛选器定义

注意

最新报告 先决条件

最新报告为满足以下条件的设备生成信息:

  • 引擎版本:1.1.19300.2+
  • 平台版本:4.18.2202.1+
  • 已启用云保护
  • Windows OS*

*当前最新的报告仅适用于 Windows 设备。 跨平台设备(如 Mac 和 Linux)在“无可用数据”下列出

最新定义

下面是引擎和平台的最新定义:

设备上的引擎/平台被视为: 情况
最新的 如果设备在过去七天内与 Defender 报告事件通信 (“签名刷新时间”) ,并且引擎或平台内部版本大于或等于 (>=) 最新的月度版本。
过期 如果设备在过去 7 天内与 Defender 报告事件通信 (“签名刷新时间”) ,但引擎或平台内部版本低于 (<) 最新的月度版本。
未知 (无可用数据) 如果设备未与报表事件通信 (“签名刷新时间”) 超过 7 天。

下面是最新安全智能的定义:

安全智能更新被视为: 情况
最新的 如果设备的安全智能版本是在过去七天内编写的,并且设备在过去七天内与报告事件通信。

有关更多信息,请参阅:

防病毒引擎更新卡

此卡标识具有最新和过期防病毒引擎版本的设备。

“最新”的一般定义 - 设备上的引擎版本是最新的引擎版本。 引擎通常每月发布一次,Windows 更新 (WU) ) 。 从释放Windows 更新 (WU) 之日起,有三天的宽限期。

下表对 防病毒引擎的最新报告可能的值进行了布局。 报告状态基于上次收到报告事件的时间 (签名刷新时间) 。 如果设备未与报表通信超过 7 天 (签名刷新时间 >7 天) ,则状态将自动标记为“未知”/“无可用数据”。

报表中事件的上次刷新时间 (也称为“签名刷新时间”) 报告状态
< 7 天 (新) 任何客户端报告 (最新
过期
未知)
> 7 天 (旧) Unknown

有关管理Microsoft Defender防病毒更新版本的信息,请参阅每月平台和引擎版本

防病毒平台更新卡

此卡标识具有最新和过期防病毒平台版本的设备。

“最新”的一般定义 是设备上的平台版本是最新的平台版本。 平台通常每月发布一次,Windows 更新 (WU) 。 从发布 WU 之日起,宽限期为三天。

下表列出了 防病毒平台可能的最新报告值。 报告值基于上次收到报告事件的时间 (签名刷新时间) 。 如果设备已超过 7 天未与报表通信, (签名刷新时间 >7 天) 则状态将自动标记为“未知”/“无可用数据”。

报表中事件的上次刷新时间 (也称为“签名刷新时间”) 报告状态
< 7 天 (新) 任何客户端报告 (最新
过期
未知)
> 7 天 (旧) Unknown

有关管理Microsoft Defender防病毒更新版本的信息,请参阅每月平台和引擎版本

安全智能更新卡

此卡标识具有最新和过期安全智能版本的设备。

“最新”的一般定义 是设备上的安全智能版本是在过去 7 天内编写的。

下表列出了 安全智能 更新可能的最新报表值。 报告值基于上次收到报告事件的时间和安全智能发布时间。 如果设备未与报表通信超过 7 天 (签名刷新时间 >7 天) ,则状态将自动标记为“未知/无可用数据”。 否则,将根据安全智能发布时间是否在 7 天内做出确定。

事件的上次刷新时间
(在报表中也称为“签名刷新时间”) 		安全智能发布时间 报告状态
>7 天 (旧) >7 天 (旧) Unknown
<7 天 (新) >7 天 (旧) 过期
>7 天 (旧) <7 天 (新) Unknown
<7 天 (新) <7 天 (新) 最新的

另请参阅

提示

性能提示由于多种因素 (下面列出的示例) Microsoft Defender 防病毒和其他防病毒软件一样,可能会导致终结点设备上的性能问题。 在某些情况下,可能需要优化Microsoft Defender防病毒的性能,以缓解这些性能问题。 Microsoft 的性能分析器 是一种 PowerShell 命令行工具,可帮助确定哪些文件、文件路径、进程和文件扩展名可能导致性能问题;一些示例包括:

  • 影响扫描时间的首要路径
  • 影响扫描时间的热门文件
  • 影响扫描时间的顶级进程
  • 影响扫描时间的热门文件扩展名
  • 组合 - 例如:
    • 每个扩展名的排名靠前的文件数
    • 每个扩展的顶部路径
    • 每个路径的顶级进程数
    • 每个文件的顶级扫描数
    • 每个进程的每个文件扫描数

可以使用性能分析器收集的信息来更好地评估性能问题并应用修正操作。 请参阅:Microsoft Defender防病毒的性能分析器

提示

有关其他平台的防病毒相关信息,请参阅:

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区