Исследование проблем работоспособности агента
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender XDR
В следующей таблице содержатся сведения о значениях, возвращаемых при выполнении команды, mdatp health и их описания.
| Значение | Описание |
|---|---|
app_version |
Отображает Microsoft Defender версию приложения. |
automatic_definition_update_enabled |
True Значение , если включены автоматические обновления определений антивирусной программы; В противном случае — falseзначение . |
behavior_monitoring |
Функция обнаружения угроз в режиме реального времени и их предотвращения путем мониторинга поведения приложений, служб и файлов. Может иметь одно из следующих значений: - disabled — по умолчанию - Включен |
cloud_automatic_sample_submission_consent |
Текущий уровень отправки примера. Может иметь одно из следующих значений: - Нет. Подозрительные примеры не отправляются в корпорацию Майкрософт. - безопасно: автоматически отправляются только подозрительные образцы, не содержащие персональные данные. Это значение является значением по умолчанию для этого параметра. - Все. Все подозрительные примеры отправляются в корпорацию Майкрософт. |
cloud_diagnostic_enabled |
True Если включен необязательный сбор диагностических данных; В противном случае — falseзначение . Дополнительные сведения о Defender для конечной точки и других продуктах и службах, таких как антивирусная программа Microsoft Defender и Windows, см. в заявлении о конфиденциальности Майкрософт. |
cloud_enabled |
True Значение , если облачная защита включена; В противном случае — falseзначение . |
conflicting_applications |
Список приложений, которые могут конфликтовать с Microsoft Defender для конечной точки. Этот список включает, помимо прочего, другие продукты безопасности и другие приложения, которые, как известно, вызывают проблемы совместимости. |
definitions_status |
Состояние определений антивирусной программы. Может иметь одно из следующих значений: - up_to_date - Обновление - недоступный |
definitions_updated |
Дата и время последнего обновления определения антивирусной программы. |
definitions_updated_minutes_ago |
Количество минут с момента последнего обновления определения антивирусной программы. |
definitions_version |
Версия определения антивирусной программы. |
edr_client_version |
Версия клиента EDR, работающего на устройстве. |
edr_configuration_version |
Версия конфигурации EDR. |
edr_device_tags |
Список тегов, связанных с устройством. |
edr_early_preview_enabled |
Настройка ранней предварительной версии edr. Может иметь одно из следующих значений: - нетрудоспособный - Включен |
edr_group_ids |
Идентификатор группы, с которым связано устройство. |
edr_machine_id |
Идентификатор устройства, используемый на портале Microsoft Defender. |
engine_load_status |
Состояние антивирусного ядра, чтобы определить, работает ли он. Может иметь одно из следующих значений: - Подсистема не загружена — процесс антивирусного ядра не работает - Загрузка ядра выполнена успешно — процесс антивирусного ядра запущен и запущен |
engine_version |
Версия антивирусного ядра. |
healthy |
True если продукт работоспособен; В противном случае — falseзначение . |
health_issues |
Списки проблемы со работоспособностью, если таковые есть. |
licensed |
True значение , если устройство подключено к клиенту; В противном случае — falseзначение . |
log_level |
Текущий уровень журнала для продукта. Может иметь одно из следующих значений: - информация - отлаживать |
machine_guid |
Уникальный идентификатор компьютера, используемый компонентом антивирусной программы. |
network_protection_enforcement_level |
Режим защиты сети. Может иметь одно из следующих компонентов: - disabled — отключены все компоненты, связанные с защитой сети. - блокировать — защита сети предотвращает подключение к вредоносным веб-сайтам - audit — проверка того, как блоки возникают |
network_protection_status |
Состояние компонента защиты сети (только для macOS). Может иметь одно из следующих значений: - запуск — защита сети запускается - failed_to_start — не удалось запустить защиту сети из-за ошибки - запущено — на устройстве запущена защита сети - перезапуск — защита сети перезапускается - остановка — защита сети останавливается - остановлено — защита сети не запущена |
org_id |
Организация, в которую подключено устройство. Если устройство еще не подключено к какой-либо организации, оно отображается как unavailable. Дополнительные сведения о подключении см. в разделе Подключение к Microsoft Defender для конечной точки. |
passive_mode_enabled |
True Значение , если компонент антивирусной программы настроен для запуска в пассивном режиме; В противном случае — falseзначение . |
product_expiration |
Дата и время окончания поддержки для текущей версии продукта. |
real_time_protection_available |
True значение , если компонент защиты в режиме реального времени работоспособен; В противном случае — falseзначение . |
real_time_protection_enabled |
True Если включена антивирусная защита в режиме реального времени; В противном случае — falseзначение . |
real_time_protection_subsystem |
Подсистема, используемая для обеспечения защиты в режиме реального времени. Если защита в режиме реального времени работает не так, как ожидалось, она отображается как unavailable. |
release_ring |
Кольцо освобождения. Дополнительные сведения см. в разделе Круги развертывания. |
supplementary_events_subsystem |
Подсистема, предоставляющая дополнительные данные о событиях. Может иметь одно из следующих значений: - ebpf — по умолчанию из версии приложения: 101.2408.0000- auditd |
Работоспособности конкретного компонента
Вы можете получить более подробные сведения о работоспособности для различных функций Defender с помощью mdatp health --details <feature>. Например:
mdatp health --details edr
mdatp health --details definitions
mdatp health --details help
Вы можете запустить в mdatp health --help последних версиях, чтобы получить список всех поддерживаемых функций.
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.