Freigeben über

Exportieren des AV-Programm-Geräteintegritätsberichts

  • Artikel

Gilt für:

Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.

Hinweis

Wenn Sie ein US Government-Kunde sind, verwenden Sie die URIs, die unter Microsoft Defender für Endpunkt für US Government-Kunden aufgeführt sind.

Tipp

Um die Leistung zu verbessern, können Sie den Server näher an Ihrem geografischen Standort verwenden:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

Wichtig

Einige Informationen in diesem Artikel beziehen sich auf ein vorab veröffentlichtes Produkt, das vor der kommerziellen Veröffentlichung möglicherweise erheblich geändert wird. Microsoft übernimmt in Bezug auf die hier bereitgestellten Informationen keine Gewährleistung, weder ausdrücklich noch konkludent.

Diese API verfügt über zwei Methoden zum Abrufen von Details zur Integrität von Microsoft Defender Antivirus-Geräten:

  • Methode 1:1 Integritätsbericht exportieren (JSON-Antwort) Die Methode ruft alle Daten in Ihrer Organisation als JSON-Antworten ab. Diese Methode eignet sich am besten für kleine Organisationen mit weniger als 100.000 Geräten. Die Antwort ist paginiert, sodass Sie das Feld @odata.nextLink aus der Antwort verwenden können, um die nächsten Ergebnisse abzurufen.

  • Methode 2:2 Integritätsberichte exportieren (über Dateien) Diese Methode ermöglicht das schnellere und zuverlässigere Pullen größerer Datenmengen. Daher wird dies für große Organisationen mit mehr als 100-K-Geräten empfohlen. Diese API ruft alle Daten in Ihrer Organisation als Downloaddateien ab. Die Antwort enthält URLs zum Herunterladen aller Daten aus Azure Storage. Mit dieser API können Sie alle Ihre Daten wie folgt aus Azure Storage herunterladen:

    • Rufen Sie die API auf, um eine Liste der Download-URLs mit allen Daten Ihrer Organisation abzurufen.
    • Laden Sie alle Dateien mithilfe der Download-URLs herunter, und verarbeiten Sie die Daten wie Sie möchten.

Daten, die entweder mit "JSON-Antwort oder über Dateien" gesammelt werden, sind die aktuelle Momentaufnahme des aktuellen Zustands. Es enthält keine Verlaufsdaten. Um Verlaufsdaten zu sammeln, müssen Kunden die Daten in ihren eigenen Datenspeichern speichern. Weitere Informationen finden Sie unter Exportieren von API-Methoden und -Eigenschaften für geräteintegritätsdetails.

Wichtig

Damit Windows Server 2012 R2 und Windows Server 2016 in Berichten zur Geräteintegrität angezeigt werden, müssen diese Geräte mithilfe des modernen einheitlichen Lösungspakets integriert werden. Weitere Informationen finden Sie unter Neue Funktionalität in der modernen einheitlichen Lösung für Windows Server 2012 R2 und 2016.

Hinweis

Informationen zur Verwendung des Tools zur Berichterstellung für Geräteintegrität und Antiviruskonformität im Microsoft Defender-Portal finden Sie unter Bericht zur Geräteintegrität und Antiviruskonformität in Microsoft Defender für Endpunkt.

1 Exportieren der Integritätsberichterstattung (JSON-Antwort)

1.1 Beschreibung der API-Methode

Diese API ruft eine Liste der Details zur Integrität des Microsoft Defender Antivirus-Geräts ab. Gibt eine Tabelle mit einem Eintrag für jede eindeutige Kombination von Zurück:

  • DeviceId
  • Gerätename
  • AV-Modus
  • Aktueller Status
  • Überprüfungsergebnisse

1.1.1 Einschränkungen

  • Die maximale Seitengröße beträgt 200.000
  • Die Ratenbeschränkungen für diese API sind 30 Aufrufe pro Minute und 1.000 Aufrufe pro Stunde.

OData-unterstützte Operatoren

  • $filteron: machineId, , osKindcomputerDnsName, , osVersionosPlatform, avMode, avSignatureVersion, , avEngineVersion, quickScanResultavPlatformVersion, , quickScanError, fullScanResult, fullScanError, avIsEngineUpToDateavIsSignatureUpToDateavIsPlatformUpToDaterbacGroupId
  • $top mit einem maximalen Wert von 10.000.
  • $skip

Wichtig

Beachten Sie, dass rbacgroupname und ID keine unterstützten Filteroperatoren sind.

1.2 Berechtigungen

Eine der nachfolgenden Berechtigungen ist erforderlich, um diese API aufrufen zu können. Weitere Informationen, einschließlich der Auswahl von Berechtigungen, finden Sie unter Verwenden von Microsoft Defender für Endpunkt-APIs.

Berechtigungstyp Berechtigung Anzeigename der Berechtigung
App Machine.Read.All "Alle Computerprofile lesen"
Delegiert (Geschäfts-, Schul- oder Unikonto) Machine.Read "Lesen von Computerinformationen"

1.3 URL (HTTP-Anforderung)

URL: GET: /api/deviceavinfo

1.3.1 Anforderungsheader

Name Typ Beschreibung
Authorization Zeichenfolge Bearer {token}. Erforderlich.

1.3.2 Anforderungstext

Empty

1.3.3 Antwort

Bei erfolgreicher Ausführung gibt die Methode 200 OK mit einer Liste der Geräteintegritätsdetails zurück.

1.4 Parameter

1.5 Eigenschaften

Weitere Informationen finden Sie unter: 1.3 Exportieren der Eigenschaften der Geräte-Antivirusintegritäts-API (JSON-Antwort)

Unterstützt OData V4-Abfragen.

1.6 Beispiel

Anforderungsbeispiel

Hier ist eine Beispielanforderung:

GET https://api.securitycenter.microsoft.com/api/deviceavinfo

Anforderungsbeispiel

Hier sehen Sie eine Beispielantwort:

{

    @odata.context: "https://api.securitycenter.microsoft.com/api/$metadata#DeviceAvInfo",

"value": [{

            "id": "Sample Guid",

            "machineId": "Sample Machine Guid",

            "computerDnsName": "appblockstg1",

            "osKind": "windows",

            "osPlatform": "Windows10",

            "osVersion": "10.0.19044.1865",

            "avMode": "0",

            "avSignatureVersion": "1.371.1279.0",

            "avEngineVersion": "1.1.19428.0",

            "avPlatformVersion": "4.18.2206.108",

            "lastSeenTime": "2022-08-02T19:40:45Z",

            "quickScanResult": "Completed",

            "quickScanError": "",

            "quickScanTime": "2022-08-02T18:40:15.882Z",

            "fullScanResult": "",

            "fullScanError": "",

            "fullScanTime": null,

            "dataRefreshTimestamp": "2022-08-02T21:16:23Z",

            "avEngineUpdateTime": "2022-08-02T00:03:39Z",

            "avSignatureUpdateTime": "2022-08-02T00:03:39Z",

            "avPlatformUpdateTime": "2022-06-20T16:59:35Z",

            "avIsSignatureUpToDate": "True",

            "avIsEngineUpToDate": "True",

            "avIsPlatformUpToDate": "True",

            "avSignaturePublishTime": "2022-08-02T00:03:39Z",

            "rbacGroupName": "TVM1",

            "rbacGroupId": 4415

        },

        ...

     ]

}

2 Exportieren der Integritätsberichterstattung (über Dateien)

Wichtig

Die Informationen in diesem Abschnitt beziehen sich auf vorab veröffentlichte Produkte, die vor der kommerziellen Veröffentlichung wesentlich geändert werden können. Microsoft übernimmt mit diesen Informationen keinerlei Gewährleistung, sei sie ausdrücklich oder konkludent.

2.1 API-Methodenbeschreibung

Diese API-Antwort enthält alle Daten der Antivirus-Integrität und des Status pro Gerät. Gibt eine Tabelle mit einem Eintrag für jede eindeutige Kombination von Zurück:

  • DeviceId
  • Gerätename
  • AV-Modus
  • Aktueller Status
  • Überprüfungsergebnisse

2.1.2 Einschränkungen

  • Die maximale Seitengröße beträgt 200.000.
  • Die Ratenbeschränkungen für diese API sind 30 Aufrufe pro Minute und 1.000 Aufrufe pro Stunde.

2.2 Berechtigungen

Eine der nachfolgenden Berechtigungen ist erforderlich, um diese API aufrufen zu können.

Berechtigungstyp Berechtigung Anzeigename der Berechtigung
App Vulnerability.Read.All "Informationen zur Sicherheitsrisikoverwaltung und Bedrohungsverwaltung lesen"
Delegiert (Geschäfts-, Schul- oder Unikonto) Vulnerability.Read "Informationen zur Sicherheitsrisikoverwaltung und Bedrohungsverwaltung lesen"

Weitere Informationen, einschließlich der Auswahl von Berechtigungen, finden Sie unter Verwenden von Microsoft Defender für Endpunkt-APIs.

2.3 URL

GET /api/machines/InfoGatheringExport

2.4 Parameter

  • sasValidHours: Die Anzahl der Stunden, für die die Download-URLs gültig sind (maximal 24 Stunden).

2.5 Eigenschaften

Weitere Informationen finden Sie unter 1.4 Export device antivirus health details API properties (via files).

2.6 Beispiele

2.6.1 Anforderungsbeispiel

Hier ist eine Beispielanforderung:

GET https://api-us.securitycenter.contoso.com/api/machines/InfoGatheringExport

2.6.2 Antwortbeispiel

Hier sehen Sie eine Beispielantwort:

{

   "@odata.context": "https://api-us.securitycenter.windows.com/api/$metadata#microsoft.windowsDefenderATP.api.ExportFilesResponse",

   "exportFiles": [

       "https://tvmexportexternalprdeus.blob.core.windows.net/temp-../2022-08-02/2201/InfoGatheringExport/json/OrgId=../_RbacGroupId=../part-00055-12fc2fcd-8f56-4e09-934f-e8efe7ce74a0.c000.json.gz?sv=2020-08-04&st=2022-08-02T22%3A47%3A11Z&se=2022-08-03T01%3A47%3A11Z&sr=b&sp=r&sig=..",

       "https://tvmexportexternalprdeus.blob.core.windows.net/temp-../2022-08-02/2201/InfoGatheringExport/json/OrgId=../_RbacGroupId=../part-00055-12fc2fcd-8f56-4e09-934f-e8efe7ce74a0.c000.json.gz?sv=2020-08-04&st=2022-08-02T22%3A47%3A11Z&se=2022-08-03T01%3A47%3A11Z&sr=b&sp=r&sig=.."

   ],


   "generatedTime": "2022-08-02T22:01:00Z"


}

Tipp

Leistungstipp Aufgrund einer Vielzahl von Faktoren (beispiele unten aufgeführt) kann Microsoft Defender Antivirus wie andere Antivirensoftware Leistungsprobleme auf Endpunktgeräten verursachen. In einigen Fällen müssen Sie möglicherweise die Leistung von Microsoft Defender Antivirus optimieren, um diese Leistungsprobleme zu beheben. Die Leistungsanalyse von Microsoft ist ein PowerShell-Befehlszeilentool, mit dem Sie ermitteln können, welche Dateien, Dateipfade, Prozesse und Dateierweiterungen Leistungsprobleme verursachen können. Einige Beispiele sind:

  • Die wichtigsten Pfade, die sich auf die Überprüfungszeit auswirken
  • Die wichtigsten Dateien, die sich auf die Überprüfungszeit auswirken
  • Wichtigste Prozesse, die sich auf die Überprüfungszeit auswirken
  • Die wichtigsten Dateierweiterungen, die sich auf die Überprüfungszeit auswirken
  • Kombinationen – z. B.:
    • Top-Dateien pro Erweiterung
    • Top-Pfade pro Erweiterung
    • Top-Prozesse pro Pfad
    • Top-Scans pro Datei
    • Top-Scans pro Datei und Prozess

Sie können die mit der Leistungsanalyse gesammelten Informationen verwenden, um Leistungsprobleme besser zu bewerten und Korrekturaktionen anzuwenden. Weitere Informationen finden Sie unter Leistungsanalyse für Microsoft Defender Antivirus.

Siehe auch

Exportieren der Geräteintegritätsmethoden und -eigenschaften

Geräteintegritäts- und Konformitätsberichte

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.