デバイスの正常性、Microsoft Defenderウイルス対策の正常性レポート

  • [アーティクル]

適用対象:

Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。

Device Health レポートには、organization内のデバイスに関する情報が表示されます。 レポートには、ウイルス対策の状態と、ウイルス対策エンジン、インテリジェンス、プラットフォームのバージョンMicrosoft Defender示す傾向情報が含まれています。

重要

ウイルス対策デバイスの正常性レポートMicrosoft Defenderデバイスを表示するには、次の前提条件を満たす必要があります。

  • デバイスがMicrosoft Defender for Endpointにオンボードされる
  • OS: Windows 10、Windows 11、Windows Server 2012 R2/、2016 R2/2019/2022 (非 MMA)、MacOS、Linux
  • Sense (MsSense.exe): 10.8210. *+ 関連する詳細については 、「前提条件 」セクションを参照してください。

Windows Server 2012 R2 とWindows Server 2016をデバイス正常性レポートに表示するには、最新の統合ソリューション パッケージを使用してこれらのデバイスをオンボードする必要があります。 詳細については、「Windows Server 2012 R2 と 2016 の最新の統合ソリューションの新機能」を参照してください。

Microsoft 365 セキュリティ ダッシュボードのナビゲーション パネルで、[ レポート] を選択し、[ デバイスの正常性とコンプライアンス] を開きます。 [Microsoft Defender ウイルス対策の正常性] タブには、Microsoft Defender ウイルス対策の次の側面を報告する 8 枚のカードがあります。

レポート アクセス許可

Microsoft 365 セキュリティ ダッシュボードのデバイスの正常性とウイルス対策コンプライアンス レポートにアクセスするには、次のアクセス許可が必要です。

アクセス許可名 アクセス許可の種類
データの表示 脅威と脆弱性の管理 (TVM)

これらのアクセス許可を割り当てるには:

  1. セキュリティ管理者またはグローバル管理者ロールが割り当てられているアカウントを使用してMicrosoft Defender XDRにサインインします。
  2. ナビゲーション ウィンドウで、[設定] [エンドポイント>ロール]> ([アクセス許可] の下) を選択します。
  3. 編集するロールを選択します。
  4. [編集] を選択します。
  5. [ ロールの編集] の [ 全般 ] タブの [ ロール名] に、ロールの名前を入力します。
  6. [ 説明] に、ロールの概要を入力します。
  7. [ アクセス許可] で [ データの表示] を選択し、[ データの表示 ] で [ 脅威と脆弱性の管理 (TVM)] を選択します。

ユーザー ロールの管理の詳細については、「ロールベースのアクセス制御のロールのCreateと管理」を参照してください。

[Microsoft Defenderウイルス対策の正常性] タブ

[Microsoft Defender ウイルス対策の正常性] タブには、organizationの Microsoft Defender ウイルス対策のいくつかの側面について報告する 8 枚のカードが含まれています。

ウイルス対策モードカード最近のウイルス対策スキャンの結果の 2 つのカードカード、Microsoft Defenderウイルス対策機能について報告します。

残りの 6 枚のカードは、organization内のデバイスのMicrosoft Defenderウイルス対策の状態について報告します。

バージョン カード: カードの更新 {1}
ウイルス対策エンジンのバージョン カード
ウイルス対策セキュリティ インテリジェンス バージョン カード
ウイルス対策プラットフォームのバージョン カード		 ウイルス対策エンジンの更新プログラムカード
セキュリティ インテリジェンスの更新プログラムカード
ウイルス対策プラットフォームの更新プログラムカード
3 つのバージョン カードは、追加情報を提供するポップアップ レポートを提供し、さらに探索できるようにします。 3 つの最新のレポート カードには、詳細を確認するためのリソースへのリンクが用意されています。

{1} 3 つの 更新プログラム カード (最新のレポート カードとも呼ばれます) の場合、"使用できるデータなし" (または "不明" の値) は、更新プログラムの状態を報告していないデバイスを示します。 更新の状態を報告していないデバイスは、次のようなさまざまな理由が原因である可能性があります。

  • コンピューターがネットワークから切断されています。
  • コンピューターの電源が切れているか、休止状態です。
  • Microsoft Defenderウイルス対策が無効になっています。
  • デバイスは Windows (Mac または Linux) 以外のデバイスです。
  • クラウド保護が有効になっていません。
  • デバイスがウイルス対策エンジンまたはプラットフォーム バージョンの前提条件を満たしていません。

前提条件

最新のレポートでは、次の条件を満たすデバイスの情報が生成されます。

  • エンジン バージョン: 1.1.19300.2 以降

  • プラットフォーム バージョン: 4.18.2202.1 以降

  • クラウド保護が有効

  • Sense (MsSense.exe): 10.8210。 *+

  • Windows OS - Windows 10 1809 以降

    注:

    * 現在、最新のレポートは Windows デバイスでのみ使用できます。 Mac や Linux などのクロス プラットフォーム デバイスは、[データなし] または [不明] の下に一覧表示されます。

[ウイルス対策の正常性] タブMicrosoft Defender表示されます。

カード機能

この機能は基本的にすべてのカードで同じです。 カードの番号付きバーをクリックすると、Microsoft Defenderウイルス対策の詳細ポップアップが開き、そのカードのアスペクトのバージョン番号で構成されているすべてのデバイスに関する情報を確認できます。

[ウイルス対策の詳細] ポップアップMicrosoft Defender表示されます。

クリックしたバージョン番号が次の場合:

  • 現在のバージョン、次に 修復が必要 であり、 セキュリティに関する推奨事項 は存在しません。
  • 古いバージョンでは、レポートの上部に通知が表示され、 修復が必要であることを示す通知が表示され、 セキュリティの推奨事項 リンクが存在します。 [セキュリティに関する推奨事項] リンクを選択して、脅威と脆弱性の管理 コンソールに移動します。これにより、適切なウイルス対策更新プログラムを推奨できます。

Microsoft Defender [ウイルス対策の詳細] ポップアップで特定の種類の情報を追加または削除するには、[列のカスタマイズ] を選択します。 [列のカスタマイズ] で、項目を選択または選択解除して、Microsoft Defenderウイルス対策の詳細レポートに含めるものを指定します。

ウイルス対策の正常性レポートのカスタム列オプションMicrosoft Defender表示します。

新しいMicrosoft Defenderウイルス対策フィルター定義

次の表に、ウイルス対策レポートを初めてMicrosoft Defender用語の一覧を示します。

列名 説明
セキュリティ インテリジェンスの発行時間 デバイス上のセキュリティ インテリジェンス更新プログラムのバージョンの Microsoft のリリース日を示します。 セキュリティ インテリジェンスの発行時間が 7 日を超えるデバイスは、レポートでは古いと見なされます。
最終受信日 デバイスが最後に接続された日付を示します。
データ更新タイムスタンプ レポートの対象としてクライアント イベントが最後に受信されたタイミングを示します。AV モード、AV エンジンのバージョン、AV プラットフォームのバージョン、AV セキュリティ インテリジェンスのバージョン、スキャン情報。
署名の更新時刻 エンジン、プラットフォーム、署名の最新の状態に関するレポートに対してクライアント イベントが最後に受信されたタイミングを示します。

ポップアップ内: デバイスの名前をクリックすると、そのデバイスの [デバイス] ページにリダイレクトされ、詳細なレポートにアクセスできます。

レポートのエクスポート

エクスポートできるレポートには、次の 2 つのレベルがあります。

最上位レベルのエクスポート

ポータルを介してエクスポートする csv 機能には、次の 2 種類があります。

  • 最上位レベルのエクスポート。 最上位レベルの [エクスポート] ボタンを使用して、ウイルス対策の正常性レポート (500 K の制限) Microsoft Defender収集できます。

最上位レベルのエクスポート レポート ボタンを示すスクリーンショット。

  • ポップアップ レベルのエクスポート。 ポップアップ内の [エクスポート] ボタンを使用して、レポートを Excel スプレッドシートにエクスポートできます (100 K の制限)。

エクスポートされたレポートは、エントリ ポイントに基づいて詳細レポートに情報をキャプチャし、設定したフィルターまたはカスタマイズされた列を取得します。

API を使用したエクスポートの詳細については、次の記事を参照してください。

重要

現時点では、 ウイルス対策正常性 JSON 応答 のみが一般公開されています。 ファイル経由のウイルス対策正常性 API は、パブリック プレビューでのみ使用できます。

高度なハンティング カスタム クエリ は、現在、クエリが表示されている場合でも、パブリック プレビューでのみ使用できます。

Microsoft Defenderウイルス対策のバージョンと更新カードの機能

ウイルス対策エンジン、セキュリティ インテリジェンス、プラットフォーム コンポーネントのバージョン更新情報Microsoft Defender報告する 6 枚のカードの説明を次に示します。

完全なレポート

3 つのバージョン カードのいずれかで、[完全なレポートの表示] を選択して、Windows、Mac、Linux の 3 つのデバイスの種類ごとに最新の 9 つのMicrosoft Defenderウイルス対策バージョン レポートを表示します。存在するデバイスが 9 つ未満の場合は、すべて表示されます。 その他のカテゴリは、検出された場合、10 番目以下の最新のウイルス対策エンジンのバージョンをキャプチャします。

各種類の上位 9 つのオペレーティング システムの分布を示します

3 つの バージョン カードの主な利点は、ウイルス対策エンジン、プラットフォーム、およびセキュリティ インテリジェンスの最新バージョンが利用されているかどうかに関するクイック インジケーターを提供することです。 カードにリンクされている詳細情報と組み合わせて、バージョンカードは、バージョンが最新の場合にチェックし、個々のコンピュータ、またはコンピュータのグループに関する情報を収集するための強力なツールになります。 これらのレポートを実行すると、古いバージョンではなく、最新のウイルス対策バージョンがインストールされていることを示すのが理想的です。 これらのレポートを使用して、organizationが最新バージョンを最大限に活用しているかどうかを判断します。

Microsoft Defenderウイルス対策のバージョンの詳細を表示する

マルウェア対策ソリューションが最新の脅威を検出できるように、Windows Updateの一部として自動的に更新プログラムを取得します。

現在のバージョンの詳細と、さまざまなMicrosoft Defenderウイルス対策コンポーネントを更新する方法については、ウイルス対策プラットフォームのサポートMicrosoft Defender参照してください。

カードの説明

次に、各 ウイルス対策バージョン カードで報告された収集された情報の簡単な概要を示します。

ウイルス対策モードのカード

organization内のデバイスの数 (カードに示されている日付) が、次のMicrosoft Defenderウイルス対策モードのいずれかで報告されます。

mode
0 アクティブ
1 パッシブ
2 無効 (アンインストール、無効化、または SideBySidePassive {低定期スキャンとも呼ばれます})
3 その他 (実行されていない、不明)
4 EDRBlocked

フィルター処理Microsoft Defenderウイルス対策モードを表示する

各モードの説明を次に示します。

  • アクティブ モード - アクティブ モードでは、Microsoft Defenderウイルス対策がデバイス上のプライマリ ウイルス対策アプリとして使用されます。 ファイルがスキャンされ、脅威が修正され、検出された脅威が組織のセキュリティ レポートと Windows セキュリティ アプリに一覧表示されます。
  • パッシブ モード - パッシブ モードでは、Microsoft Defenderウイルス対策はデバイス上のプライマリ ウイルス対策アプリとして使用されません。 ファイルがスキャンされ、検出された脅威が報告されますが、脅威はMicrosoft Defenderウイルス対策によって修復されません。 重要: Microsoft Defender ウイルス対策は、Microsoft Defender for Endpoint にオンボードされているエンドポイントでのみパッシブ モードで実行できます。 「Microsoft Defender ウイルス対策をパッシブ モードで実行するための要件」を参照してください。
  • 無効 モード - と同義: アンインストール、無効化、sideBySidePassive、低定期スキャン。 無効にすると、Microsoft Defenderウイルス対策は使用されません。 ファイルはスキャンされず、脅威は修復されません。 一般に、Microsoft では、Microsoft Defenderウイルス対策を無効またはアンインストールすることはお勧めしません。
  • その他 のモード - 実行中ではない、不明
  • ブロック モードの EDR - エンドポイント検出と応答 (EDR) ブロック モード。 「ブロック モードでのエンドポイントの検出と応答」を参照してください

パッシブ、LPS、またはオフのいずれかのデバイスには、潜在的なセキュリティ リスクが存在し、調査する必要があります。

LPS の詳細については、「Microsoft Defender ウイルス対策で限定的な定期的スキャンを使用する」を参照してください。

最近のウイルス対策スキャンの結果カード

このカードには、クイック スキャンとフル スキャンの全結果を示す 2 つの棒グラフがあります。 どちらのグラフでも、最初のバーはスキャンの完了率を示し、 完了取り消し、または 失敗を示します。 各セクションの 2 番目のバーには、失敗したスキャンのエラー コードが表示されます。 [モード] 列と [最近のスキャン結果] 列をスキャンすると、アクティブなウイルス対策スキャン モードではないデバイスと、最近のウイルス対策スキャンに失敗または取り消されたデバイスをすばやく特定できます。 この情報を使用してレポートに戻り、詳細とセキュリティに関する推奨事項を収集できます。 このカードでエラー コードが報告された場合は、エラー コードの詳細を確認するためのリンクがあります。

現在のMicrosoft Defenderウイルス対策のバージョンと、さまざまなMicrosoft Defenderウイルス対策コンポーネントを更新する方法の詳細については、「Microsoft Defenderウイルス対策の更新プログラムを管理し、ベースラインを適用する」を参照してください。

ウイルス対策エンジンのバージョン カード

organization内の Windows デバイス、Mac デバイス、Linux デバイス全体にインストールされている最新のMicrosoft Defenderウイルス対策エンジンのバージョンのリアルタイムの結果を表示します。 Microsoft Defenderウイルス対策エンジンが毎月更新されます。 現在のバージョンの詳細と、さまざまなMicrosoft Defenderウイルス対策コンポーネントを更新する方法については、「Microsoft Defenderウイルス対策プラットフォームのサポート」を参照してください。

ウイルス対策セキュリティ インテリジェンス バージョン カード

Listsネットワーク上のデバイスにインストールされている最も一般的なMicrosoft Defenderウイルス対策セキュリティ インテリジェンス バージョンです。 Microsoft はMicrosoft Defenderセキュリティ インテリジェンスを継続的に更新して、最新の脅威に対処し、検出ロジックを改良します。 セキュリティ インテリジェンスに対するこれらの改良により、Microsoft Defenderウイルス対策 (およびその他の Microsoft マルウェア対策ソリューション) の機能が強化され、潜在的な脅威を正確に特定できます。 このセキュリティ インテリジェンスは、クラウドベースの保護と直接連携して、高速かつ強力な AI 強化の次世代保護を実現します。

ウイルス対策プラットフォームのバージョン カード

organization内の Windows、Mac、Linux デバイスのバージョン間でインストールされている最新のMicrosoft Defenderウイルス対策プラットフォーム バージョンのリアルタイムの結果を表示します。 Microsoft Defenderウイルス対策プラットフォームは毎月更新されます。 現在のバージョンの詳細と、さまざまなMicrosoft Defenderウイルス対策コンポーネントを更新する方法については、「Microsoft Defenderウイルス対策プラットフォームのサポート」を参照してください。

最新のカード

最新のカードには、ウイルス対策エンジン、ウイルス対策プラットフォームおよびセキュリティ インテリジェンス更新プログラムのバージョンの最新の状態が表示されます。 可能な状態は、 最新 ('True')、 い ('False')、 使用可能なデータなし ('Unknown') の 3 つです。

重要

最新の決定を行うために使用されるロジックが最近強化され、簡素化されました。 このセクションでは、新しい動作について説明します。

以下の各カードについて、最新古いおよび使用可能なデータの定義は提供されません。

Microsoft Defenderウイルス対策では、エンジン、プラットフォーム、およびセキュリティ インテリジェンスの更新に関する最新のレポートと決定を行うために、"署名更新時刻" (デバイスが最新のレポートと最後に通信した時刻) の追加条件が使用されます。

デバイスが 7 日を超えてレポートと通信していない場合、最新の状態は自動的に "不明" または "使用できるデータなし" としてマークされます (署名の更新時刻 >7)。

前述の用語の詳細については、「新しいMicrosoft Defenderウイルス対策フィルター定義」セクションを参照してください。

注:

最新のレポートの 前提条件

最新のレポートでは、次の条件を満たすデバイスの情報が生成されます。

  • エンジン バージョン: 1.1.19300.2 以降
  • プラットフォーム バージョン: 4.18.2202.1 以降
  • クラウド保護が有効
  • Windows OS*

*現在、最新のレポートは Windows デバイスでのみ使用できます。 Mac や Linux などのクロス プラットフォーム デバイスは、"使用できるデータなし" の下に表示されます

最新の定義

エンジンとプラットフォームの最新の定義を次に示します。

デバイス上のエンジン/プラットフォームは、次の処理が考慮されます。 状況
最新です デバイスが過去 7 日以内に Defender レポート イベント ('Signature refresh time') と通信し、エンジンまたはプラットフォームのビルド バージョンが最新の月次リリース バージョン以上>=である場合。
古い デバイスが過去 7 日以内に Defender レポート イベント ('Signature refresh time') と通信したが、エンジンまたはプラットフォームのビルド バージョンが最新の月次リリース バージョンより小さい場合<
unknown (使用可能なデータなし) デバイスがレポート イベント ('Signature refresh time') と 7 日以上通信していない場合。

最新のセキュリティ インテリジェンスの定義を次に示します。

セキュリティ インテリジェンスの更新プログラムは、次の場合に考慮されます。 状況
最新です デバイスのセキュリティ インテリジェンス バージョンが過去 7 日間に書き込まれ、デバイスが過去 7 日間にレポート イベントと通信した場合。

詳細については、以下を参照してください:

ウイルス対策エンジンの更新プログラムカード

このカードは、ウイルス対策エンジンのバージョンが最新のデバイスと古いデバイスを識別します。

"最新" の一般的な定義 - デバイス上のエンジン バージョンは、最新のエンジン リリースです。 エンジンは通常、Windows Update (WU) を介して毎月リリースされます。 Windows Update (WU) がリリースされた日から 3 日間の猶予期間があります。

次の表は、 ウイルス対策エンジンの最新のレポートで使用できる値を示しています。 報告された状態は、レポート イベントが最後に受信された時刻 (署名の更新時刻) に基づいています。 デバイスが 7 日を超えるレポートと通信していない場合 (署名の更新時刻 >7 日間)、状態は自動的に "不明" / "使用可能なデータなし" としてマークされます。

イベントの最終更新時刻 (レポートでは "署名更新時刻" とも呼ばれます) 報告された状態:
< 7 日 (新規) クライアントが報告するもの (最新)
古い
不明)
> 7 日 (古い) 不明

Microsoft Defenderウイルス対策更新プログラムのバージョンの管理の詳細については、「月次プラットフォームとエンジンのバージョン」を参照してください。

ウイルス対策プラットフォームの更新プログラムカード

このカードは、ウイルス対策プラットフォームのバージョンが最新のデバイスと古いデバイスを識別します。

"最新" の一般的な定義 は、デバイス上のプラットフォーム バージョンが最新のプラットフォーム リリースであるということです。 プラットフォームは通常、Windows Update (WU) を介して毎月リリースされます。 WU がリリースされた日から 3 日間の猶予期間があります。

次の表は、 ウイルス対策プラットフォームで可能な最新のレポート値を示しています。 報告された値は、レポート イベントが最後に受信された時刻 (署名の更新時刻) に基づいています。 デバイスが 7 日を超えるレポートと通信していない場合 (署名の更新時刻 >7 日間)、状態は自動的に "不明" または "使用可能なデータなし" としてマークされます。

イベントの最終更新時刻 (レポートでは "署名更新時刻" とも呼ばれます) 報告された状態
< 7 日 (新規) クライアントが報告するもの (最新)
古い
不明)
> 7 日 (古い) 不明

Microsoft Defenderウイルス対策更新プログラムのバージョンの管理の詳細については、「月次プラットフォームとエンジンのバージョン」を参照してください。

セキュリティ インテリジェンスの更新プログラムカード

このカードは、セキュリティ インテリジェンスバージョンが最新のデバイスと古いデバイスを識別します。

"最新" の一般的な定義 は、デバイス上のセキュリティ インテリジェンス バージョンが過去 7 日間に記述されたということです。

次の表は、 セキュリティ インテリジェンス 更新プログラムの最新のレポート値を示しています。 報告される値は、レポート イベントが最後に受信された時刻とセキュリティ インテリジェンスの発行時刻に基づいています。 デバイスが 7 日を超えるレポートと通信していない場合 (署名の更新時刻 >7 日間)、状態は自動的に "不明/ 使用可能なデータなし" としてマークされます。 それ以外の場合、セキュリティ インテリジェンスの発行時間が 7 日以内かどうかに基づいて判断されます。

イベントの最終更新時刻
(レポートでは "署名の更新時刻" とも呼ばれます)		 セキュリティ インテリジェンスの発行時間 報告された状態
>7 日 (古い) >7 日 (古い) 不明
<7 日 (新規) >7 日 (古い) 古い
>7 日 (古い) <7 日 (新規) 不明
<7 日 (新規) <7 日 (新規) 最新です

関連項目

ヒント

パフォーマンスのヒント他のウイルス対策ソフトウェアと同様に、ウイルス対策Microsoft Defenderさまざまな要因 (以下に示す例) が原因で、エンドポイント デバイスでパフォーマンスの問題が発生する可能性があります。 場合によっては、これらのパフォーマンスの問題を軽減するために、Microsoft Defenderウイルス対策のパフォーマンスを調整する必要がある場合があります。 Microsoft の パフォーマンス アナライザー は、パフォーマンスの問題を引き起こしている可能性のあるファイル、ファイル パス、プロセス、およびファイル拡張子を判断するのに役立つ PowerShell コマンド ライン ツールです。いくつかの例を次に示します。

  • スキャン時間に影響を与える上位パス
  • スキャン時間に影響を与える上位のファイル
  • スキャン時間に影響を与える上位のプロセス
  • スキャン時間に影響を与える上位のファイル拡張子
  • 組み合わせ – 例:
    • 拡張子ごとに上位のファイル
    • 拡張機能ごとの上位パス
    • パスあたりの上位プロセス数
    • ファイルあたりの上位スキャン数
    • プロセスごとのファイルあたりの上位スキャン数

パフォーマンス アナライザーを使用して収集した情報を使用して、パフォーマンスの問題をより適切に評価し、修復アクションを適用できます。 「Microsoft Defender ウイルス対策のパフォーマンス アナライザー」を参照してください。

ヒント

他のプラットフォームのウイルス対策関連の情報については、次を参照してください。

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。