Condividi tramite


Integrità del dispositivo, Microsoft Defender report sull'integrità antivirus

Si applica a:

Se si desidera provare Microsoft Defender per endpoint, iscriversi a una versione di valutazione gratuita.

Il report Integrità dispositivi fornisce informazioni sui dispositivi nell'organizzazione. Il report include informazioni di tendenza che mostrano lo stato dell'antivirus e Microsoft Defender le versioni del motore antivirus, dell'intelligence e della piattaforma.

Importante

Affinché i dispositivi vengano visualizzati nei report sull'integrità dei dispositivi Microsoft Defender Antivirus, devono soddisfare i prerequisiti seguenti:

  • Viene eseguito l'onboarding del dispositivo in Microsoft Defender per endpoint
  • Sistema operativo: Windows 10, Windows 11, Windows Server 2012 R2/, 2016 R2/ 2019/2022 (non MMA), MacOS, Linux
  • Sense (MsSense.exe): 10.8210. *+. Per informazioni dettagliate correlate, vedere la sezione Prerequisiti .

Per visualizzare Windows Server 2012 R2 e Windows Server 2016 nei report sull'integrità dei dispositivi, è necessario eseguire l'onboarding di questi dispositivi usando il pacchetto di soluzione unificata moderno. Per altre informazioni, vedere Nuove funzionalità nella soluzione unificata moderna per Windows Server 2012 R2 e 2016.

Nel portale di Microsoft Defender selezionare Report nel riquadro di spostamento e quindi aprire Integrità e conformità del dispositivo. La scheda integrità antivirus Microsoft Defender include otto schede che segnalano gli aspetti seguenti di Microsoft Defender Antivirus:

Autorizzazioni di accesso al report

Per accedere al report integrità dei dispositivi e conformità antivirus nel portale di Microsoft Defender, sono necessarie le autorizzazioni seguenti:

Nome autorizzazione Tipo di autorizzazione
Visualizzare i dati Gestione delle minacce e delle vulnerabilità (TVM)

Importante

Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. Ciò consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.

Per assegnare queste autorizzazioni:

  1. Accedere al portale di Microsoft Defender usando l'account con l'amministratore della sicurezza o amministratore globale ruolo assegnato.

  2. Nel riquadro di spostamento selezionare Impostazioni>Ruoliendpoint> (in Autorizzazioni).

  3. Selezionare il ruolo da modificare.

  4. Selezionare Modifica.

  5. In Modifica ruolo, nella scheda Generale , in Nome ruolo digitare un nome per il ruolo.

  6. In Descrizione digitare un breve riepilogo del ruolo.

  7. In Autorizzazioni selezionare Visualizza dati e in Visualizza dati selezionare Gestione minacce e vulnerabilità (TVM).

Per altre informazioni sulla gestione dei ruoli utente, vedere Creare e gestire ruoli per il controllo degli accessi in base al ruolo.

Microsoft Defender scheda Integrità antivirus

La scheda integrità antivirus Microsoft Defender contiene otto schede che segnalano diversi aspetti di Microsoft Defender Antivirus nell'organizzazione:

Due schede, la scheda in modalità Antivirus e la scheda dei risultati dell'analisi antivirus recente, segnalano le funzioni antivirus Microsoft Defender.

Le sei schede rimanenti segnalano lo stato Microsoft Defender Antivirus per i dispositivi dell'organizzazione:

version carte: update schede{1}
Scheda versione del motore antivirus
Scheda della versione di Intelligence per la sicurezza antivirus
Scheda della versione della piattaforma antivirus
Scheda aggiornamenti del motore antivirus
Scheda aggiornamenti dell'intelligence per la sicurezza
Scheda aggiornamenti della piattaforma antivirus
Le tre schede versione forniscono report a comparsa che forniscono informazioni aggiuntive e consentono un'ulteriore esplorazione. Le tre schede di report aggiornate forniscono collegamenti alle risorse per altre informazioni.

{1} Per le tre updates schede (note anche come schede di report aggiornate), "Nessun dato disponibile" (o valore "Sconosciuto") indica i dispositivi che non segnalano lo stato di aggiornamento. I dispositivi che non segnalano lo stato di aggiornamento possono essere dovuti a vari motivi, ad esempio:

  • Il computer è disconnesso dalla rete.
  • Il computer è spento o in stato di ibernazione.
  • Microsoft Defender Antivirus è disabilitato.
  • Il dispositivo è un dispositivo non Windows (Mac o Linux).
  • La protezione cloud non è abilitata.
  • Il dispositivo non soddisfa i prerequisiti per il motore antivirus o la versione della piattaforma.

Prerequisiti

La creazione di report aggiornata genera informazioni per i dispositivi che soddisfano i criteri seguenti:

  • Versione del motore: 1.1.19300.2+

  • Versione della piattaforma: 4.18.2202.1+

  • Protezione cloud abilitata

  • Sense (MsSense.exe): 10.8210. *+

  • Sistema operativo Windows - Windows 10 1809 o versione successiva

    Nota

    * La creazione di report attualmente aggiornata è disponibile solo per i dispositivi Windows. I dispositivi multipiattaforma, ad esempio Mac e Linux, sono elencati in "Nessun dato disponibile"/Sconosciuto.

Mostra la scheda Integrità antivirus Microsoft Defender.

Funzionalità della scheda

La funzionalità è essenzialmente la stessa per tutte le schede. Facendo clic su una barra numerato in una delle schede, viene aperto il riquadro a comparsa dei dettagli Microsoft Defender Antivirus che consente di esaminare le informazioni su tutti i dispositivi configurati con il numero di versione di un aspetto in tale scheda.

Mostra il riquadro a comparsa dei dettagli Microsoft Defender Antivirus.

Se il numero di versione su cui è stato fatto clic è:

  • Una versione corrente, quindi Correzione necessaria e Raccomandazione per la sicurezza non sono presenti.
  • È presente una versione obsoleta, è presente una notifica nella parte superiore del report, che indica che è necessaria la correzione e che è presente un collegamento consiglio di sicurezza . Selezionare il collegamento consiglio di sicurezza per passare alla console di gestione di minacce e vulnerabilità, che può consigliare gli aggiornamenti antivirus appropriati.

Per aggiungere o rimuovere tipi specifici di informazioni nel riquadro a comparsa Microsoft Defender Dettagli antivirus, selezionare Personalizza colonne. In Personalizza colonne selezionare o deselezionare gli elementi per specificare gli elementi da includere nel report dei dettagli Microsoft Defender Antivirus.

Mostra le opzioni di colonna personalizzate per Microsoft Defender report sull'integrità antivirus.

Nuove definizioni di filtro antivirus Microsoft Defender

La tabella seguente contiene un elenco di termini nuovi per Microsoft Defender report antivirus.

Nome colonna Descrizione
Tempo di pubblicazione dell'intelligence per la sicurezza Indica la data di rilascio di Microsoft della versione di aggiornamento dell'intelligence per la sicurezza nel dispositivo. I dispositivi con un'ora di pubblicazione di Security Intelligence superiore a sette giorni vengono considerati obsoleti nei report.
Ultima visualizzazione Indica la data dell'ultima connessione del dispositivo.
Timestamp di aggiornamento dati Indica quando sono stati ricevuti gli eventi client per l'ultima volta per la creazione di report su: modalità AV, versione del motore AV, versione della piattaforma AV, versione di Av Security Intelligence e informazioni di analisi.
Ora di aggiornamento della firma Indica quando gli eventi client sono stati ricevuti per l'ultima volta per la creazione di report sullo stato aggiornato del motore, della piattaforma e della firma.

All'interno del riquadro a comparsa: facendo clic sul nome del dispositivo si verrà reindirizzati alla "pagina Dispositivo" per il dispositivo, in cui è possibile accedere ai report dettagliati.

Esporta report

È possibile esportare due livelli di report:

Esportazione di primo livello

Esistono due diverse funzionalità di esportazione csv tramite il portale:

  • Esportazione di primo livello. È possibile usare il pulsante Esporta di primo livello per raccogliere un report di integrità Microsoft Defender antivirus all-up (limite di 500 K).

Screenshot che mostra il pulsante esporta report di primo livello.

  • Esportazione a livello di riquadro a comparsa. È possibile usare il pulsante Esporta all'interno dei riquadri a comparsa per esportare un report in un foglio di calcolo di Excel (limite di 100 K).

I report esportati acquisiscono le informazioni in base al punto di ingresso nel report dei dettagli e i filtri o le colonne personalizzate impostate.

Per informazioni sull'esportazione tramite l'API, vedere gli articoli seguenti:

Importante

Attualmente, è disponibile a livello generale solo la risposta JSON di Integrità antivirus . L'API Integrità antivirus tramite file è disponibile solo in anteprima pubblica.

La query personalizzata ricerca avanzata è attualmente disponibile solo in anteprima pubblica, anche se le query sono visibili.

Microsoft Defender la versione antivirus e la funzionalità di aggiornamento delle schede

Di seguito sono riportate le descrizioni per le sei schede che segnalano le version informazioni e update per Microsoft Defender motore antivirus, l'intelligence di sicurezza e i componenti della piattaforma:

Report completo

In una delle tre version schede selezionare Visualizza report completo per visualizzare i nove report antivirus Microsoft Defender version più recenti per ognuno dei tre tipi di dispositivo: Windows, Mac e Linux. Se ne esistono meno di nove, vengono visualizzati tutti. Una categoria Altro acquisisce le versioni recenti del motore antivirus che si classificano al decimo e al di sotto, se rilevate.

Mostra la distribuzione dei primi nove sistemi operativi di ogni tipo

Un vantaggio principale delle tre version schede è che forniscono indicatori rapidi per stabilire se vengono utilizzate le versioni più recenti dei motori antivirus, delle piattaforme e dell'intelligence di sicurezza. Insieme alle informazioni dettagliate collegate alla scheda, le schede delle versioni diventano un potente strumento per verificare se le versioni sono aggiornate e per raccogliere informazioni sui singoli computer o gruppi di computer. Idealmente, quando si eseguono questi report, indicheranno che sono installate le versioni antivirus più recenti, anziché le versioni precedenti. Usare questi report per determinare se l'organizzazione sta sfruttando appieno le versioni più recenti.

Mostra Microsoft Defender dettagli della versione antivirus

Per garantire che la soluzione antimalware rilevi le minacce più recenti, ottenere automaticamente gli aggiornamenti come parte di Windows Update.

Per altre informazioni sulle versioni correnti e su come aggiornare i diversi componenti antivirus Microsoft Defender, visitare Microsoft Defender Supporto della piattaforma Antivirus.

Descrizioni delle schede

Di seguito sono riportati brevi riepiloghi delle informazioni raccolte riportate in ognuna delle Antivirus version schede:

Scheda della modalità antivirus

Segnala il numero di dispositivi dell'organizzazione, alla data indicata nella scheda, in una delle seguenti modalità Microsoft Defender Antivirus:

valore modo
0 Active
1 Passive
2 Disabled (disinstallato, disabilitato o SideBySidePassive {noto anche come analisi periodica bassa})
3 Others (Non in esecuzione, Sconosciuto)
4 EDRBlocked

Mostra le modalità di filtro Microsoft Defender Antivirus

Di seguito sono riportate le descrizioni per ogni modalità:

  • Modalità attiva: in modalità attiva, Microsoft Defender Antivirus viene usato come app antivirus primaria nel dispositivo. I file sono analizzati, le minacce corrette e le minacce rilevate sono elencate nei report sulla sicurezza dell’organizzazione e nell’app di sicurezza di Windows.
  • Modalità passiva: in modalità passiva, Microsoft Defender Antivirus non viene usato come app antivirus primaria nel dispositivo. I file vengono analizzati e vengono segnalate minacce rilevate, ma le minacce non vengono risolte da Microsoft Defender Antivirus. IMPORTANTE: Antivirus Microsoft Defender può essere eseguito in modalità passiva solo negli endpoint per cui è stato eseguito l'onboarding su Microsoft Defender per endpoint. Vedere Requisiti per l'esecuzione in modalità passiva di Antivirus Microsoft Defender.
  • Modalità disabilitata : sinonimo di: disinstallato, disabilitato, sideBySidePassive e analisi periodica bassa. Se disabilitato, Microsoft Defender antivirus non viene usato. I file non vengono analizzati e le minacce non vengono risolte. In generale, Microsoft non consiglia di disabilitare o disinstallare Microsoft Defender Antivirus.
  • Modalità Altri - Non in esecuzione, Sconosciuto
  • EDR in modalità blocco : in modalità di rilevamento e risposta degli endpoint bloccata. Vedere Rilevamento degli endpoint e risposta in modalità blocco

I dispositivi che si trovano in modalità passiva, LPS o Off presentano un potenziale rischio per la sicurezza e devono essere analizzati.

Per informazioni dettagliate su LPS, vedere Usare un'analisi periodica limitata in Microsoft Defender Antivirus.

Scheda dei risultati dell'analisi antivirus recente

Questa scheda include due grafici a barre che mostrano i risultati completi per analisi rapide e analisi complete. In entrambi i grafici, la prima barra indica la frequenza di completamento per le analisi e indica Completato, Annullato o Non riuscito. La seconda barra in ogni sezione fornisce i codici di errore per le analisi non riuscite. Tramite l'analisi delle colonne Mode e Recent scan results (Modalità e Risultati recenti dell'analisi), è possibile identificare rapidamente i dispositivi che non sono in modalità di analisi antivirus attiva e i dispositivi che hanno eseguito analisi antivirus recenti non riuscite o annullate. È possibile tornare al report con queste informazioni e raccogliere altri dettagli e consigli sulla sicurezza. Se in questa scheda sono riportati codici di errore, sarà presente un collegamento per altre informazioni sui codici di errore.

Per altre informazioni sulle versioni Microsoft Defender antivirus correnti e su come aggiornare i diversi componenti Microsoft Defender Antivirus, vedere Gestire gli aggiornamenti antivirus Microsoft Defender e applicare le linee di base.

Scheda versione del motore antivirus

Mostra i risultati in tempo reale delle versioni più recenti del motore antivirus Microsoft Defender installate in dispositivi Windows, dispositivi Mac e dispositivi Linux nell'organizzazione. Microsoft Defender motore antivirus viene aggiornato mensilmente. Per altre informazioni sulle versioni correnti e su come aggiornare i diversi componenti antivirus Microsoft Defender, vedere Microsoft Defender Supporto della piattaforma Antivirus.

Scheda della versione di Intelligence per la sicurezza antivirus

Elenchi le versioni più comuni Microsoft Defender Antivirus Security Intelligence installate nei dispositivi della rete. Microsoft aggiorna continuamente Microsoft Defender intelligence di sicurezza per affrontare le minacce più recenti e perfezionare la logica di rilevamento. Questi miglioramenti all'intelligence di sicurezza migliorano la capacità di Microsoft Defender Antivirus (e altre soluzioni antimalware Microsoft) per identificare con precisione le potenziali minacce. Questa intelligence di sicurezza funziona direttamente con la protezione basata sul cloud per offrire una protezione avanzata per l'intelligenza artificiale di nuova generazione, veloce e potente.

Scheda della versione della piattaforma antivirus

Mostra i risultati in tempo reale delle versioni più recenti della piattaforma antivirus Microsoft Defender installate nelle versioni dei dispositivi Windows, Mac e Linux nell'organizzazione. Microsoft Defender piattaforma Antivirus viene aggiornata mensilmente. Per altre informazioni sulle versioni correnti e su come aggiornare i diversi componenti antivirus Microsoft Defender, vedere Microsoft Defender Supporto della piattaforma Antivirus

Schede aggiornate

Le schede aggiornate mostrano lo stato aggiornato per le versioni del motore antivirus, della piattaforma antivirus e dell'aggiornamento di Security Intelligence . Esistono tre stati possibili: Up to date (True), out of date (False) e no data available (Unknown).

Importante

La logica usata per effettuare le determinazioni aggiornate è stata recentemente migliorata e semplificata. Il nuovo comportamento è documentato in questa sezione.

Le definizioni per Up to date, out of datee no data available vengono fornite per ogni scheda seguente.

Microsoft Defender Antivirus usa i criteri aggiuntivi dell'"ora di aggiornamento della firma" (l'ultima volta che il dispositivo comunica con report aggiornati) per creare report e determinazioni aggiornati per gli aggiornamenti delle informazioni di sicurezza, della piattaforma e del motore.

Lo stato aggiornato viene contrassegnato automaticamente come "sconosciuto" o "nessun dato disponibile" se il dispositivo non comunica con i report da più di sette giorni (ora >di aggiornamento della firma 7).

Per altre informazioni sui termini indicati in precedenza, fare riferimento alla sezione New Microsoft Defender Antivirus filter definitions (Nuove definizioni di filtro antivirus Microsoft Defender)

Nota

La creazione di report aggiornata genera informazioni per i dispositivi che soddisfano i criteri seguenti:

  • Versione del motore: 1.1.19300.2 o versione successiva
  • Versione della piattaforma: 4.18.2202.1 o versione successiva
  • Protezione cloud abilitata
  • Sistema operativo Windows

La creazione di report attualmente aggiornata è disponibile solo per i dispositivi Windows. I dispositivi multipiattaforma, ad esempio Mac e Linux, sono elencati in no data available.>

Definizioni aggiornate

Di seguito sono riportate le definizioni aggiornate per il motore e la piattaforma:

Il motore/piattaforma nel dispositivo è considerato: Situazione
Aggiornato Se il dispositivo ha comunicato con l'evento del report di Defender (Signature refresh time) negli ultimi sette giorni e la versione di compilazione del motore o della piattaforma è maggiore o uguale a (>=) la versione di versione mensile più recente.
vecchio Se il dispositivo ha comunicato con l'evento del report di Defender (Signature refresh time) negli ultimi sette giorni, ma la versione di compilazione del motore o della piattaforma è minore di (<) la versione mensile più recente.
sconosciuto (nessun dato disponibile) Se il dispositivo non comunica con l'evento del report (Signature refresh time) da più di sette giorni.

Di seguito sono riportate le definizioni per l'intelligence di sicurezza aggiornata:

L'aggiornamento dell'intelligence per la sicurezza è considerato: Situazione
Aggiornato Se la versione di Security Intelligence nel dispositivo è stata scritta negli ultimi sette giorni e il dispositivo ha comunicato con l'evento del report negli ultimi sette giorni.

Per altre informazioni, vedere:

Scheda aggiornamenti del motore antivirus

Questa scheda identifica i dispositivi con versioni del motore antivirus aggiornate o non aggiornate.

La definizione generale di up to date - La versione del motore nel dispositivo è la versione più recente del motore. Il motore viene in genere rilasciato mensilmente, tramite Windows Update (WU). È previsto un periodo di tolleranza di tre giorni dal giorno in cui viene rilasciato Windows Update (WU).

La tabella seguente illustra i valori possibili per i report aggiornati per il motore antivirus. Stato segnalato si basa sull'ultima volta che è stato ricevuto l'evento di segnalazione (ora di aggiornamento della firma). Se il dispositivo non comunica con i report da più di sette giorni (tempo >di aggiornamento della firma di 7 giorni), lo stato viene contrassegnato automaticamente come / UnknownNo Data Available .

Ora ultimo aggiornamento dell'evento (noto anche come "Ora di aggiornamento della firma" nei report) Stato segnalato
< 7 giorni (nuovo) qualsiasi report client (aggiornato)
Data non aggiornata
Sconosciuto)
> 7 giorni (vecchio) Unknown

Per informazioni sulla gestione delle versioni di aggiornamento di Microsoft Defender Antivirus, vedere Versioni mensili della piattaforma e del motore.

Scheda aggiornamenti della piattaforma antivirus

Questa scheda identifica i dispositivi con versioni della piattaforma Antivirus aggiornate o non aggiornate.

La definizione generale di up to date è che la versione della piattaforma nel dispositivo è la versione più recente della piattaforma. La piattaforma viene in genere rilasciata mensilmente, tramite Windows Update (WU). È previsto un periodo di tolleranza di tre giorni dal giorno in cui viene rilasciato WU.

La tabella seguente illustra i possibili valori di report aggiornati per La piattaforma antivirus. I valori segnalati sono basati sull'ultima volta in cui è stato ricevuto l'evento di segnalazione (ora di aggiornamento della firma). Se il dispositivo non comunica con i report da più di sette giorni (ora >di aggiornamento della firma di 7 giorni), lo stato viene contrassegnato automaticamente come/ UnknownNo Data Available .

Ora ultimo aggiornamento dell'evento (noto anche come "Ora di aggiornamento della firma" nei report) Stato segnalato
< 7 giorni (nuovo) qualsiasi report client (Up to date
Out of date
Unknown)
> 7 giorni (vecchio) Unknown

Per informazioni sulla gestione delle versioni di aggiornamento di Microsoft Defender Antivirus, vedere Versioni mensili della piattaforma e del motore.

Scheda aggiornamenti dell'intelligence per la sicurezza

Questa scheda identifica i dispositivi con versioni di security intelligence aggiornate o non aggiornate.

La definizione generale di up to date è che la versione di Security Intelligence nel dispositivo è stata scritta negli ultimi 7 giorni.

La tabella seguente illustra i possibili valori di report aggiornati per gli aggiornamenti di Security Intelligence . I valori segnalati si basano sull'ultima volta che è stato ricevuto l'evento di creazione di report e sull'ora di pubblicazione dell'intelligence di sicurezza. Se il dispositivo non comunica con i report da più di sette giorni (tempo >di aggiornamento della firma di 7 giorni), lo stato viene contrassegnato automaticamente come Unknown/ No Data Available. In caso contrario, la determinazione viene effettuata in base al fatto che l'ora di pubblicazione dell'intelligence di sicurezza sia entro sette giorni.

Ora dell'ultimo aggiornamento dell'evento
(noto anche come "Ora di aggiornamento della firma" nei report)
Tempo di pubblicazione di Security Intelligence Stato segnalato
>7 giorni (vecchio) >7 giorni (vecchio) Unknown
<7 giorni (nuovo) >7 giorni (vecchio) Out of date
>7 giorni (vecchio) <7 giorni (nuovo) Unknown
<7 giorni (nuovo) <7 giorni (nuovo) Up to date

Vedere anche

Consiglio

Suggerimento per le prestazioni A causa di una serie di fattori (esempi elencati di seguito) Microsoft Defender Antivirus, come altri software antivirus, può causare problemi di prestazioni nei dispositivi endpoint. In alcuni casi, potrebbe essere necessario ottimizzare le prestazioni di Microsoft Defender Antivirus per ridurre tali problemi di prestazioni. Analizzatore prestazioni di Microsoft è uno strumento da riga di comando di PowerShell che consente di determinare quali file, percorsi di file, processi ed estensioni di file potrebbero causare problemi di prestazioni; Alcuni esempi sono:

  • Percorsi principali che influiscono sul tempo di analisi
  • File principali che influiscono sul tempo di analisi
  • Principali processi che influiscono sul tempo di analisi
  • Principali estensioni di file che influiscono sul tempo di analisi
  • Combinazioni, ad esempio:
    • file principali per estensione
    • percorsi principali per estensione
    • processi principali per percorso
    • analisi principali per file
    • analisi principali per file per processo

È possibile usare le informazioni raccolte tramite Analizzatore prestazioni per valutare meglio i problemi di prestazioni e applicare azioni correttive. Vedere: Analizzatore prestazioni per Microsoft Defender Antivirus.

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.