设备运行状况、传感器运行状况 & OS 报告
适用于:
- Microsoft Defender XDR
- Microsoft Defender for Endpoint
- Microsoft Defender for Endpoint 计划 1
- Microsoft Defender for Endpoint 计划 2
- Microsoft Defender 商业版
希望体验 Microsoft Defender for Endpoint? 注册免费试用版。
设备运行状况报告提供有关组织中设备的信息。 该报告包括显示传感器运行状况、防病毒状态、OS 平台、Windows 10 版本和Microsoft Defender 防病毒更新版本的趋势信息。
重要
若要在设备运行状况报告中显示 Windows Server 2012 R2 和 Windows Server 2016,必须使用新式统一解决方案包载入这些设备。 有关详细信息,请参阅 适用于 Windows Server 2012 R2 和 2016 的新式统一解决方案中的新功能。
在 Microsoft Defender 门户中,选择“ 报告”,然后打开 “设备运行状况和符合性”。
- “ 传感器运行状况 & OS ”选项卡 提供常规操作系统信息,分为三个卡,显示以下设备属性:
报表访问权限
若要在 Microsoft Defender 门户中访问设备运行状况和防病毒符合性报告,需要以下权限:
权限名称 | 权限类型 |
---|---|
查看数据 | TVM) (威胁和漏洞管理 |
重要
Microsoft建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一种高特权角色,在无法使用现有角色时,应仅限于紧急情况。
若要分配这些权限,请执行以下操作:
使用分配有安全管理员或全局管理员角色的帐户登录到 Microsoft Defender 门户 。
在导航窗格中,选择“权限) ”下的“设置>终结点>角色 (”。
选择要编辑的角色。
选择“编辑”。
在 “编辑角色”的“ 常规 ”选项卡上的“ 角色名称”中,键入角色的名称。
在 “说明” 中,键入角色的简要摘要。
在 “权限”中,选择“ 查看数据”,然后在“ 查看数据 ”下选择“ 威胁和漏洞管理 (TVM) ”。
有关用户角色管理的详细信息,请参阅 创建和管理基于角色的访问控制的角色。
“传感器运行状况 & OS”选项卡
传感器运行状况和 OS 卡报告常规操作系统运行状况,其中包括检测传感器运行状况、最新操作系统与过期操作系统以及 Windows 10 版本。
“传感器运行状况”选项卡上的三张卡片都有两个报告部分,即“当前状态和设备趋势”,显示为图形:
当前状态图
在每张卡片中,当前状态 (在一些文档中称为 “设备摘要 ”) 是顶部水平条形图。 当前状态是一个快照,显示收集的关于组织中设备的信息,范围限定为当天。 此图表示组织中报告状态或检测到处于特定状态的设备分布情况。
设备趋势图
三张卡片上的下角图未命名,但通常称为 设备趋势。 设备趋势图描绘了整个组织内的设备集合,在整个时间跨度内直接在图上指示。 默认情况下,设备趋势图显示 30 天期间的设备信息,以最近一整天结束。 若要更好地了解组织中发生的趋势,可以通过调整显示的时间段来微调报告周期。 若要调整时间段,请打开筛选器并选择开始日期和结束日。
筛选数据
使用提供的筛选器包含或排除具有某些属性的设备。 可以从设备属性中选择多个要应用的筛选器。 应用后,筛选器将应用于报表中的所有三个卡片。
例如,若要显示有关具有活动传感器运行状况状态的 Windows 10 设备的数据,请执行以下操作:
在“筛选器”>下,“传感器运行状况”状态>为“活动”。
然后选择 “操作系统平台>”“Windows 10”。
选择“应用”。
传感器运行状况卡
传感器运行状况卡显示有关设备上的传感器状态的信息。 传感器运行状况提供以下设备的聚合视图:
- 积极
- 无效
- 遇到通信受损
- 或未报告传感器数据的
遇到通信受损的设备或未检测到传感器数据的设备可能会使组织面临风险,并保证进行调查。 同样,长时间处于非活动状态的设备可能会因软件过期而使组织面临威胁。 长时间处于非活动状态的设备也需要进行调查。
注意
在一小部分情况下,单击水平传感器运行状况条形图时报告的数字和分布将与 “设备清单 ”页中显示的值不同步。 由于传感器运行状况报告与“设备清单”页面的刷新节奏不同,因此可能会出现值差异。
操作系统和平台卡
此卡显示组织中存在的操作系统和平台的分布情况。 OS 系统和平台 可以提供有关组织中设备是运行当前操作系统还是过时操作系统的有用见解。 引入新的操作系统时,通常会包括安全增强功能,以改进组织应对安全威胁的态势。
例如,Windows 8 中引入的安全启动 () 实际上消除了某些最有害类型的恶意软件的威胁。 Windows 10 中的改进为电脑制造商提供了阻止用户禁用安全启动的选项。 阻止用户禁用安全启动几乎消除了恶意 rootkit 或其他低级别恶意软件感染启动过程的任何机会。
理想情况下,“当前状态”图显示操作系统的数量加权,有利于较旧版本的操作系统。 否则,趋势图指示正在采用新系统和/或旧系统正在更新或替换。
Windows 版本卡
Windows 10 版本卡显示组织中 Windows 设备的分布情况及其版本。 从 Windows 8 升级到 Windows 10 可以提高组织中的安全性一样,从早期版本的 Windows 更改为更新的版本可改善你应对可能威胁的态势。
Windows 版本趋势图可以通过更新到最新、最安全的 Windows 10 版本来快速确定组织是否保持最新状态。
另请参阅
提示
性能提示 由于多种因素 (下面列出的示例) Microsoft Defender 防病毒,与其他防病毒软件一样,可能会导致终结点设备上的性能问题。 在某些情况下,可能需要优化 Microsoft Defender 防病毒的性能,以缓解这些性能问题。 Microsoft 的性能分析器 是一种 PowerShell 命令行工具,可帮助确定哪些文件、文件路径、进程和文件扩展名可能导致性能问题;一些示例包括:
- 影响扫描时间的首要路径
- 影响扫描时间的热门文件
- 影响扫描时间的顶级进程
- 影响扫描时间的热门文件扩展名
- 组合 - 例如:
- 每个扩展名的排名靠前的文件数
- 每个扩展的顶部路径
- 每个路径的顶级进程数
- 每个文件的顶级扫描数
- 每个进程的每个文件扫描数
可以使用性能分析器收集的信息来更好地评估性能问题并应用修正操作。 请参阅: Microsoft Defender 防病毒的性能分析器。
提示
想要了解更多信息? 在技术社区中与 Microsoft 安全社区互动: Microsoft Defender for Endpoint 技术社区。